SOC Prime 위협 현상금 요약 — 2024년 12월 결과

탐지 콘텐츠 생성, 제출 및 출시

12월은 커뮤니티가 협력 정신과 탐지 엔지니어링 기술을 발휘한 보상 프로그램의 또 다른 인상적인 달이었습니다.

연말의 분주함에도 불구하고, 프로그램 회원들은 적극적으로 탐지를 제출하여 새로운 위협에 대응하기 위해 노력했습니다. 총 33개의 새로운 탐지 규칙이 성공적으로 SOC Prime 플랫폼 에 팀의 전문가들에 의해 검증된 후 출시되었습니다.

지속적인 변경 및 프로그램 향상

2025년 1월부터 새로운 탐지 제출 수락이 일시 중단됩니다. 보상 프로그램 활동이 잠시 중단됨에 따라, 모든 사용자를 위한 전반적 경험을 개선하고 프로그램 회원들을 위해 다양한 형식의 콘텐츠 제출 및 작업을 수익화하는 추가 방법을 포함한 SOC Prime 플랫폼의 여러 개선 작업을 진행 중입니다. 자세한 내용을 여기에서 확인하세요.

한편, SOC Prime 커뮤니티 회원들은 SOC Prime 플랫폼 개인 사용자용 멤버십 플랜을 탐색하고 탐지 엔지니어링 프로젝트에 플랫폼의 프리미엄 기능 중 일부를 통합할 수 있습니다.

보상 프로그램 저자의 12월 최고 규칙

올해 마지막 달 동안 SOC Prime을 사용하는 기업들 사이에서 다음 탐지 규칙이 가장 큰 인기를 끌었습니다.

LOLBin 악용을 위한 Rundll32 사용 (프로세스 생성 기반) by Bogac KAYA. 이 규칙은 rundll32가 windows.storage.dll을 이용해 ShellExec_RunDLL을 호출하는 실행을 탐지합니다.

Powershell 명령 대신 모듈로 SYSTEM 사용자 획득 시도 시의 권한 상승 시도 가능성 (ps_script 기준) by Mustafa Gurkan KARAKAYA. 이 규칙은 예약된 작업을 생성하고, 원격 서버에서 명령을 실행하고, 특정 gMSA 계정으로 작업을 시작하며, 이러한 모든 작업을 SYSTEM 권한으로 수행할 수 있는 악성 명령을 탐지합니다.

WMI 제공자 호스트 서비스를 통한 More_Eggs 악성코드 실행으로 인한 의심스러운 TA4557/FIN6 실행 (프로세스 생성 기반) by Nattatorn Chuensangarun – 이 규칙은 WMI 제공자 호스팅 서비스를 통해 More_Eggs 악성코드를 배포하기 위해 악성 DLL 파일을 릴리스하는 의심스러운 TA4557/FIN6 활동을 탐지합니다.

APT35 그룹의 의심스러운 레지스트리 RunKey 생성으로 인한 지속성 활동 가능성 (레지스트리 이벤트 기준) by Emre Ay. 이 규칙은 피해 시스템에서 지속성을 유지하고 악성 프로그램을 비밀리에 로드하기 위해 APT35 그룹과 관련된 의심스러운 레지스트리 RunKey 생성을 탐지합니다.

의심스러운 예약된 작업 생성으로 인한 BlackCat 랜섬웨어의 지속성 활동 가능성 (프로세스 생성 기반) by Emre Ay. 이 규칙은 피해 시스템에서 지속성을 유지하고 악성코드를 실행하기 위한 의심스러운 taskrun 매개변수를 사용한 schtasks 실행을 탐지합니다.

보상 프로그램 저자: 12월 TOP 5

이 저자들은 보상 프로그램 규칙으로 가장 높은 평가를 받았습니다.

Davut Selcuk

Nattatorn Chuensangarun 

Emre Ay

Sittikorn Sangrattanapitak

Bogac KAYA

보상 프로그램이 발전함에 따라 핵심 목표는 여전히 강화된 사이버 방어를 통해 글로벌 사이버 방위를 향상하는 것입니다. 우리는 공동 작업의 손을 잡고 세계의 방어를 사이버 공격으로부터 강화하기 위해 엄청난 영향을 미친 저자들에게 감사드립니다.

더 많은 뉴스 및 업데이트를 기다려 주세요!