SOC Prime Threat Bounty Digest — January 2024 Results

위협 바운티 콘텐츠

1월에는 위협 바운티 프로그램 의 구성원이 SOC Prime의 콘텐츠 검증팀에 검토를 위해 감지를 제출하는 데 아주 활발했습니다. 제안된 규칙의 검증과 검토 후, 44개의 감지가 위협 탐지 마켓플레이스에 게시되었으며, 일부 규칙은 경미한 수정이 필요하여 최종 수정 후 작성자에게 반환되었습니다.

탐지 살펴보기

평소와 같이, 우리의 팀은 SOC Prime의 Discord 서버에서 콘텐츠 승인 기준에 대한 질문에 열려 있습니다. SOC Prime 플랫폼이 발전하면서 콘텐츠 승인 기준도 변경되며, 위협 바운티 출판 경험과 관계없이 모든 작성자가 어떤 탐지 코드가 출판되는지 이해하는 것이 중요합니다. 이는 콘텐츠 작성자가 위협 바운티 규칙의 연구 및 개발에 시간을 더 합리적이고 효율적으로 투자할 수 있도록 도울 수 있습니다.

최상위 위협 바운티 탐지 규칙

위협 바운티 프로그램을 통해 게시된 이 다섯 가지 탐지는 SOC Prime 플랫폼을 활용하여 보안 작업을 강화한 조직들 사이에서 가장 인기가 있었습니다:

의심스러운 Ivanti Pulse Connect Secure 인증 우회 취약성 [CVE-2023-46805] 악용 시도 (프록시 경유) – 의 위협 사냥 Sigma 규칙 무스타파 귤칸 카라카야 가능한 Ivanti 인증 우회 취약성 [CVE-2023-46805] 악용 시도를 관련 요청을 통해 탐지합니다.

진단을 통해 이벤트 로그가 제거됨 (PowerShell 경유) – 의 위협 사냥 Sigma 규칙 미셸 드 크르바지에이 규칙은 공격자가 이벤트 로그를 제거하려는 시나리오를 감지합니다.

Ivanti Connect Secure VPN 원격 코드 실행 취약성을 통한 가능한 초기 접근 [CVE-2024-21887] (웹 서버 경유) – 의 위협 사냥 Sigma 규칙 칸 예니욜이 규칙은 Ivanti Connect Secure (9.x, 22.x) 및 Ivanti Policy Secure (9.x, 22.x)의 웹 구성 요소에서 인증된 관리자가 특수하게 조작된 요청을 보내 장치에서 임의의 명령을 실행할 수 있도록 하는 명령 주입 취약성을 감지합니다.

RegSvr의 자동 등록 기능을 조작하여 매개변수를 전달하지 않고 의심스러운 DLL 로드 (프로세스 생성 경유) – 감지 규칙 작성: 무스타파 귤칸 카라카야이 규칙은 regsvr의 자동 등록 기능을 조작하기 위한 레지스트리 키 추가 활동을 감지합니다.

TeamViewer를 통한 랜섬웨어 배포 탐지 (cmdline 경유) – 의 위협 사냥 규칙 푸르칸 첼릭 사용자 데스크톱에서 실행되는 .bat 확장 파일로 시작되는 가능한 초기 랜섬웨어 배포를 탐지합니다. 이후 rundll32 프로세스가 .bat 확장 파일과 함께 사용됩니다.

최고 저자

이 다섯 저자의 위협 바운티 규칙은 위협 탐지 마켓플레이스 사용자들 사이에서 가장 인기 있었습니다:

나타튼 촌상가룬 – 112개의 탐지가 SOC Prime을 사용하는 조직에 의해 사용되었으며, 이전 달에 게시된 6개의 규칙이 포함되었습니다.

오스만 데미르 – 이 저자의 80개의 탐지가 SOC Prime 클라이언트에 의해 사용되었습니다. 모든 탐지는 이전에 게시되었습니다.

다붓 셀축 – 이 저자의 27개 규칙, 최근 출시된 12개의 탐지를 포함하여, SOC Prime 사용자가 위협 탐지 마켓플레이스를 통해 사용했습니다.

무스타파 귤칸 카라카야 – 최근에 게시된 8개의 탐지를 포함하여 50개의 규칙이 SOC Prime을 활용한 조직이 위협 탐지 기능을 향상시키는 데 도움을 주었습니다.

싯티콘 상라타나피탁 – 최근 게시된 1개의 탐지를 포함하여 90개의 탐지 규칙이 SOC Prime을 사용하는 조직에 의해 사용되었습니다.

또한, 코드 시청 후 SOC Prime 클라이언트에 의해 다운로드되거나 배포됨을 의미하는 최고의 조회/다운로드 비율을 보여주는 위협 탐지 마켓플레이스의 탐지를 가진 저자들을 언급하고자 합니다:

엠레 아이

쾨 피잇 테트

조셉 카마우

미셸 크레보이제

아웅 쾨 민 나잉

C자신의 탐지 규칙으로 집단 사이버 방어에 기여하고, 위협 바운티 프로그램영향에 대한 보상을 받으세요.