SOC Prime Threat Bounty Digest — March 2024 Results

위협 현상금 게시물

2024년 3월, 저희 콘텐츠 팀의 검토 후 40개의 위협 탐지 규칙이 SOC Prime 플랫폼에 위협 현상금 프로그램을 통해 성공적으로 게시되었습니다. 제출물의 전반적인 품질이 향상되는 것을 확인했지만, 많은 저자들이 콘텐츠 게시 접근 방식에서 흔히 발생하는 오해도 있습니다. 오늘 우리는 이 정보를 여러분과 공유하여 위협 현상금 콘텐츠 기여자들이 더 많은 성공적인 게시물을 얻도록 돕고자 합니다.

일부 블로그 게시물, 기사, 뉴스레터 등에서 제공되는 IOC를 기반으로 한 탐지 규칙은 SOC Prime이 위협 현상금 회원들에게서 게시를 위한 기여로 기대하는 규칙이 아닙니다. 크라우드소싱 탐지 엔지니어링에 관해서는, 우리는 특정 행동의 상관 관계 측면과 관련된 도구 콘텐츠 및 탐지 규칙을 더 보기 원합니다.

게시물의 원활한 시작을 위해, 저희 팀은 프로그램 회원들이 아래에 설명된 지침을 따를 것을 권장합니다. 위협 현상금 FAQ SOC Prime의 도움말 센터 섹션에 있는 이 내용을 참조하십시오. 실질적인 접근 방식의 지침이 필요하다고 느끼시면, SOC Prime의 웨비나를 관람하실 수 있습니다, 특히 Sigma 및 위협 헌팅과 위협 현상금 프로그램에 중점을 둔 것들을요.

또한, 최근에 발표된 SOC Prime의 디스코드에서 다가오는 웨비나가 집중할 것입니다 SOC Prime의 디스코드에 이제 막 위협 현상금 규칙을 작성하기 시작한 사람들이 겪는 일반적인 고충 및 수락율과 성공적인 게시물 수를 개선하려는 저자들에게 지침을 제공할 것입니다. 질문, 제안, 위협 현상금 게시물에 대한 개인적인 경험 이야기에 열려 있습니다. 공유할 것이 있다면 디스코드에서 알려주세요. 웨비나의 날짜와 시간에 대한 추가 업데이트를 기대하세요.

최고의 위협 현상금 탐지 규칙

위협 현상금 프로그램을 통해 SOC Prime 플랫폼에 게시된 다음 규칙은 2024년 3월 동안 플랫폼 사용자들 사이에서 가장 큰 관심을 받았습니다.

1. 스크린 커넥트 사후 착취(CVE-2024-1709 & CVE-2024-1708)에서 지속 명령을 통한 암호화폐 마이너 배치 가능성(프로세스 생성)) – 위협 헌팅 Sigma 규칙 작성자 Davut Selcuk 이 스크린 커넥트를 통한 사후 착취 활동 동안 잠재적인 암호화폐 마이너 배치 및 지속 명령을 탐지합니다. schtasks.exe가 SentinelUI.exe를 포함한 예약 작업을 생성하는 특정 명령 시퀀스를 식별할 수 있습니다.
2. Microsoft Defender SmartScreen 제로데이 악용하는 APT 그룹 Water Hydra에 연결된 의심 파일 생성 탐지(CVE-2024-21412)(파일 이벤트 경유) – 위협 헌팅 Sigma 규칙 작성자 Davut Selcuk 이는 금융 시장 거래자를 대상으로 한 캠페인에서 Microsoft Defender SmartScreen 취약점을 악용하는 APT 그룹 Water Hydra의 의해 생성된 의심스러운 파일을 탐지합니다.
3. 관련 명령어를 통해 러시아 간첩 그룹의 TinyTurla 악성코드의 의심스러운 지속 활동(프로세스 생성 경유) – 위협 헌팅 Sigma 규칙 작성자 Mustafa Gurkan KARAKAYA 는 레지스트리 키 추가를 통해 관련 서비스를 생성하여 TinyTurla 악성코드의 잠재적 지속 활동을 탐지합니다.
4. 의심스러운 서비스 생성 통해 RA World 랜섬웨어 지속 가능 활동(보안 경유) – 위협 헌팅 Sigma 규칙 작성자 Mustafa Gurkan KARAKAYA RA World 랜섬웨어의 잠재적 지속 활동을 관련 서비스를 생성하여 탐지합니다.
5. Microsoft Outlook 원격 코드 실행 취약점 악용의 초기 접근 가능성 (MonikerLink) [CVE-2024-21413] – 위협 헌팅 Sigma 규칙 작성자 Kaan Yeniyol 이 Microsoft Outlook(CVE-2024-21413)에서 잠재적인 원격 코드 실행 및 NTLM 자격증명 공격을 탐지합니다.

최고의 저자

보상 지급을 위해 필요한 모든 정보를 수집하고 검증하는 과정에 있지만, 여전히 이달의 최고의 다섯 위협 현상금 저자의 목록을 공유하고 싶습니다. 3월 동안 위협 탐지 마켓플레이스 의 사용자들은 다른 저자의 위협 현상금 탐지 규칙 중에서 이 다섯 저자의 탐지 규칙을 가장 많이 참조했습니다.

Nattatorn Chuensangarun

Davut Selcuk

Sittikorn Sangrattanapitak

Emre Ay

Mustafa Gurkan KARAKAYA

또한, 이번 주 초에 위협 현상금 프로그램의 다섯 멤버가 2024년 자신들의 위협 탐지 규칙을 10회 성공적으로 게시하면서 SOC Prime으로부터 그들의 가치 있는 기여와 성과의 증명으로 인정 배지를 받았습니다. 위협 현상금 배지 및 최근 수상에 관한 자세한 내용을 확인하세요 이 기사에서. 

탐지 엔지니어링 기술을 개발하고 기여로 돈을 벌고 싶은 전문성과 동기 부여가 있는 사람들을 위해 위협 현상금 프로그램 신청을 환영합니다!