SOC Prime 위협 현상금 다이제스트 — 2024년 6월 결과

탐지 콘텐츠 제출 및 릴리스

6월에 SOC Prime의 Threat Bounty Program 회원들은 Uncoder AI 를 사용하여 릴리스 전에 SOC Prime 플랫폼에 대한 리뷰를 위해 규칙을 생성, 검증 및 제출하기 시작했습니다. 우리는 저자에게 고품질의 위협 현상금 탐지 규칙 을 만드는 데 도움을 주는 도구를 제공하게 되어 기쁘며, 그들의 전문 발전을 지원합니다. 우리 팀은 탐지 엔지니어, DFIR 전문가 및 SOC 분석가에게 기술 및 분석 능력을 높이고, 실제 세계의 문제를 극복하며, 산업의 필요와 그들의 전문적 배경을 조정하는 데 도움이 되는 최고의 기술을 제공하기 위해 헌신하고 있습니다. SOC Prime의 크라우드소싱 탐지 엔지니어링 이니셔티브에 적극적으로 참여하는 저자에게 보상을 제공합니다. Threat Bounty Program의 진화를 이 글에서 알아보십시오 이 기사에서. 

6월에 프로그램 회원들은 악의적인 행동을 식별할 수 있는 24개의 새로운 독특한 Threat Bounty 탐지 규칙을 성공적으로 발표했습니다. 내장 검증의 도움으로, 콘텐츠 저자들은 Sigma 구문에 대한 이해를 높였으며, 이는 미래에 흔한 실수를 피하는 데 도움이 되었습니다. 검증 팀은 Threat Bounty 제출물의 수락 기준을 충족시키는 제출 규칙의 지속적인 개선을 관찰합니다.

SOC Prime 팀이 콘텐츠 검증 과정에서 제공한 피드백은 연구 및 규칙 생성에 쓰인 추가적 노력을 악의적 행동을 탐지하기 위한 실행 가능한 콘텐츠 요구와 일치시키는 데 도움이 되었습니다. 검증 팀은 Threat Bounty 수락 기준.

을 충족하는 더 많은 규칙을 수신했습니다. 프로그램 요구사항을 충족하는 탐지 규칙만을 수락하므로, SOC Prime 플랫폼에 게시하여 수익화하려는 저자에게는 수익화를 위해 규칙을 게시할 때마다 요구사항을 따르도록 권장합니다.

TOP Threat Bounty 탐지 규칙

다음 Threat Bounty 탐지는 SOC Prime을 활용하는 기업에 의해 가장 많이 언급되었습니다:

지속성을 위해 Windows 권한 상승 취약점(CVE-2024-26169)을 사용하는 Black Basta Exploit Tool의 가능한 탐지 (via registry_set) – threat hunting Sigma 규칙 Davut Selcuk 가 Black Basta 랜섬웨어 그룹과 관련된 익스플로잇 도구의 사용을 탐지하며, 이는 Windows 오류 보고 서비스에서 지속성을 얻기 위해 Windows 권한 상승 취약점(CVE-2024-26169)을 이용합니다. Cardinal 사이버 범죄 그룹(aka Storm-1811, UNC4393)은 이 취약점을 제로데이로 활용하는 것으로 알려져 있습니다. 익스플로잇 도구는 Windows 파일 werkernel.sys가 레지스트리 키를 생성할 때 null 보안 설명자를 사용하는 점을 악용합니다.

rundll32.exe 실행과 관련된 명령어를 통해 발견된 WARMCOOKIE 백도어 실행의 가능한 탐지 (via process_creation) – threat hunting Sigma 규칙 Davut Selcuk 는 rundll32.exe의 의심스러운 실행을 탐지하는 데 도움을 주며, 이는 WARMCOOKIE 백도어와 관련이 있습니다. WARMCOOKIE는 위협 행위자들이 시스템을 침투하고 취약시키기 위해 사용하는 백도어로, 주로 채용 테마를 가진 피싱 캠페인을 통해 전달됩니다. 이는 rundll32.exe를 사용하여 임시 디렉토리에 저장된 악성 페이로드를 실행하여 지속성 및 원격 제어를 목표로 합니다.

관계된 레지스트리 키를 수정하여 Microsoft Bitlocker를 악용하려는 ShrinkLocker 랜섬웨어 활동 (via registry_event) – threat hunting Sigma 규칙 Emre Ay 는 Microsoft Bitlocker를 악용하려는 관계된 레지스트리 값을 수정하려는 Shrinklocker 랜섬웨어 행동을 탐지합니다.

SolarWinds Serv-U-FTP 디렉토리 탐색 취약점 (CVE-2024-28995) – threat hunting Sigma 규칙 Emir Erdogan이 규칙은 웹 서버 로그의 도움으로 SolarWinds Serv-U-FTP 디렉토리 탐색 취약점의 익스플로잇 시도를 식별합니다.

관련된 명령어를 감지하여 STOP 랜섬웨어의 의심스러운 명령 실행 ( via process_creation) – threat hunting Sigma 규칙 Emre Ay 는 관련된 명령어를 사용하여 악성 활동을 시작하려는 STOP/DJVU 랜섬웨어와 관련된 의심스러운 명령을 탐지합니다.

가장 높은 평가를 받은 저자들

이 저자들의 Threat Bounty 탐지 규칙은 7월 플랫폼에서 가장 인기가 있었습니다:

Davut Selcuk

Sittikorn Sangrattanapitak

Nattatorn Chuensangarun

Osman Demir

Emir Erdogan

더욱이, Emir Erdogan은 올해 SOC Prime 플랫폼에 대한 그의 공헌을 인정받아 신뢰할 수 있는 기여자 로서 디지털 배지를 받았습니다.

SOC Prime이 정기적으로 제출물로 인정을 받는 저자들의 성공을 따르고 싶다면, Kyaw Pyiyt Htet 과의 통찰력 있는 인터뷰를 읽어보시기 바랍니다. 그는 상위 20명의 SOC Prime 기여자 중 한 명으로 인정받았습니다.

탐지 엔지니어링을 위한 IDE로 사용하여 실력을 향상시키고, SOC Prime 플랫폼에 게시하여 Uncoder AI Threat Bounty Program Threat Bounty Program.