SOC Prime Threat Bounty Digest — February  2024 Results

위협 바운티 출판물

2월에는 위협 바운티 프로그램 의 회원들이 SOC 프라임 팀의 검토를 위해 350개 이상의 탐지 규칙을 제출했습니다. 내용 검증 팀의 검토 후 70개의 규칙이 성공적으로 SOC 프라임 플랫폼에 게시되었습니다. 검증 과정에서 SOC 프라임 팀은 400개 이상의 콘텐츠 거부 설명과 규칙 개선을 위한 권고안을 제공했습니다. 저자들은 모든 규칙이 하나씩 검토되며, 이전에 받은 순서부터 시작하고 규칙에 대한 수정은 자동으로 새로운 검증 반복을 시작하는 것을 이해하는 것이 중요합니다.

탐지 탐색

우리는 위협 바운티 회원인 Phyo Paing Htun과의 대화를 반가워하며 매우 통찰력 있는 SOC 프라임 블로그에서의 인터뷰와 짧은 비디오 를 진행했습니다. 여기서 Phyo Paing Htun은 규칙 작성 경험과 위협 바운티 출판을 위한 접근 방식을 공유했습니다.

위협 바운티 뉴스

SOC 프라임 위협 바운티 프로그램이 펄슨의 Credly 와 함께 디지털 자격증 도입을 발표하게 되어 기쁩니다. 디지털 자격증은 위협 바운티 커뮤니티 회원들의 헌신과 전문성을 인정하는 중요한 단계를 나타내며, 출범 이후 얻은 성과의 실질적인 상징을 제공하고 현재의 성취를 인정합니다. 탐지 규칙 저자를 축하하고 강화하기 위한 이번 여정을 주의 깊게 지켜봐 주세요.

최고 위협 바운티 탐지 규칙

다음 다섯 가지 탐지 규칙은 SOC 프라임 플랫폼을 활용하여 위협 탐지 역량을 강화하려는 조직들 사이에서 가장 많이 요구되었습니다:

Ivanti Connect Secure 인증 우회 및 명령 주입 취약점 (웹 서버 통해) 가능성 있는 악용 (CVE-2023-46805 / CVE-2024-21887) – Davut Selcuk의 위협 탐색 Sigma 규칙 으로 Ivanti Connect Secure 취약점 (CVE-2023-46805 및 CVE-2024-21887) 관련 인증 우회 및 명령 주입의 잠재적 악용을 탐지합니다. that detects potential exploitation of Ivanti Connect Secure vulnerabilities (CVE-2023-46805 and CVE-2024-21887) related to authentication bypass and command injection. 

Microsoft Outlook 원격 코드 실행 취약점 (MonikerLink) [CVE-2024-21413] 악용에 의한 초기 접근 가능성 – Kaan Yeniyol의 위협 탐지 규칙 으로 Microsoft Outlook (CVE-2024-21413)에서 원격 코드 실행 및 NTLM 자격 증명 공격을 탐지합니다. 이 취약점은 공격자가 악성 링크를 포함한 이메일을 열 때 로컬 NTLM 자격 증명 누출과 코드 실행을 초래할 수 있습니다. that detects remote code execution and NTLM credential attacks in Microsoft Outlook (CVE-2024-21413). This vulnerability can lead to local NTLM credential leakage and code execution when attackers open emails containing malicious links.

Ivanti Pulse Connect Secure 인증 우회 취약점 [CVE-2023-46805] 악용 시도 (프록시 통해) – Davut Selcuk의 위협 탐색 Sigma 규칙 Mustafa Gurkan KARAKAYA 는 관련 요청을 통해 발생할 수 있는 Ivanti 인증 우회 취약점 [CVE-2023-46805] 악용 시도를 탐지합니다.

Ivanti Connect Secure VPN 원격 코드 실행 취약점 [CVE-2024-21887] (웹 서버 통해) 악용에 의한 초기 접근 가능성 – Kaan Yeniyol의 위협 탐지 규칙 으로 Microsoft Outlook (CVE-2024-21413)에서 원격 코드 실행 및 NTLM 자격 증명 공격을 탐지합니다. 이 취약점은 공격자가 악성 링크를 포함한 이메일을 열 때 로컬 NTLM 자격 증명 누출과 코드 실행을 초래할 수 있습니다. 으로 Ivanti Connect Secure (9.x, 22.x)와 Ivanti Policy Secure (9.x, 22.x)의 웹 구성 요소에서 인증된 관리자가 특별히 제작된 요청을 보내고 장치에서 임의의 명령을 실행할 수 있는 명령 주입 취약점을 탐지합니다.

TrustedInstaller를 통한 Lsass 덤프의 권한 상승 가능성 (프로세스 생성 통해 연관된 명령 탐지) – Davut Selcuk의 위협 탐색 Sigma 규칙 으로 Ivanti Connect Secure 취약점 (CVE-2023-46805 및 CVE-2024-21887) 관련 인증 우회 및 명령 주입의 잠재적 악용을 탐지합니다. 으로 SeDebugPrivilege 비활성화와 관련된 활동을 탐지하여 잠재적인 권한 상승 시도를 식별합니다. 특히 TrustedInstaller 계정을 활용하여 권한 제한을 우회하고 lsass.exe를 위해 ProcDump와 같은 도구를 사용하여 메모리를 덤프하는 기술에 중점을 둡니다.

최고 저자

이 저자들의 위협 바운티 탐지 규칙은 SOC 프라임 플랫폼을 사용하며 일상 보안 작업을 수행하는 회사들에게 대체로 흥미롭고 유용했습니다:

으로 Ivanti Connect Secure 취약점 (CVE-2023-46805 및 CVE-2024-21887) 관련 인증 우회 및 명령 주입의 잠재적 악용을 탐지합니다. – 그는 2월에 25개의 새로운 규칙을 발표했으며, 이전에 게시된 규칙을 포함한 그의 탐지 58개가 SOC 프라임 고객 회사에서 사용되었습니다.

Emre Ay 는 12개의 새로운 규칙을 발표했으며, SOC 프라임 플랫폼의 회사들이 그의 탐지 38개를 다운로드했습니다.

Sittikorn Sangrattanapitak – 58개의 독창적인 규칙이 있으며, 그중 2월에 발표된 6개의 규칙이 다운로드되었습니다.

Nattatorn Chuensangarun – 45개의 탐지, 그중 2월에 발표된 4개의 규칙이 SOC 프라임 플랫폼을 통해 회사들에 의해 다운로드되었습니다.

Osman Demir – 40개의 탐지 규칙이 있으며, 그중 2월에 발표된 규칙 하나가 다운로드 되었으며, 결과는 위협 바운티 2월 성과에 포함되었습니다.

망설이지 말고 위협 바운티 프로그램 에 참여하여 전 세계 기업들이 새로 떠오르는 위협에 맞설 수 있도록 하는 집단 탐지 엔지니어링 이니셔티브에 기여하고, 전 세계 조직의 실제 수요를 해결하는 실질적인 사례에 대한 탐지 엔지니어링에 집중하십시오.