SOC Prime 위협 현상금 다이제스트 — 2024년 11월 결과

새로운 위협 현상금 월간 다이제스트 에디션에 오신 것을 환영합니다. 11월 결과 및 업데이트에 대해 알아보십시오.

무엇보다도, 모든 헌신적인 위협 현상금 프로그램의 회원들에게 큰 감사를 드립니다. 총 80개의 탐지 규칙이 위협 탐지 마켓플레이스에 출시되어, 새로운 사이버 위협을 탐지할 수 있는 귀중한 기회를 제공하고 프로그램 회원들에게 그들의 전문성을 향상시키고 수익화할 기회를 제공합니다.

그러나 이번 달에는 제출된 콘텐츠의 수용률이 예상보다 낮아, 우리의 가이드라인 및 권장 사항을 준수하는 데 있어서 여전히 어려움을 겪고 있음을 강조합니다. 이는 전반적으로 위협 현상금 규칙에 대한 관심 저하와 기여자들의 보상 감소로 이어졌음을 이해하는 것이 중요합니다. 이러한 콘텐츠 제출 접근 방식은 콘텐츠 검증 및 출시 시간뿐만 아니라 콘텐츠 및 연구 품질을 양보다 우선시하는 프로그램 회원들의 동기에도 영향을 미칩니다.

현재의 거절률과 프로그램 기준에 부합하지 않아 게시할 수 없는 제출물을 해결하기 위해, 위협 현상금 프로그램에 몇 가지 개선 사항을 탐구하고 있습니다. 이러한 조정은 위협 탐지 마켓플레이스 에서 탐지 규칙의 높은 기준을 유지하고, 기여자들이 그들의 귀중한 작업에 대해 적절하게 보상받을 수 있도록 도와줄 것입니다. 위협 현상금 프로그램에 대한 변경사항이 있을 경우 알려 드리며, 콘텐츠 품질 향상에 대한 지속적인 헌신에 감사드립니다.

저자들은 제출된 탐지가 프로그램 기준을 준수하도록 하여, 규칙의 제목에 대한 품질 요구사항과 가이드라인을 포함하고, SOC Prime 플랫폼에서 프리미엄 콘텐츠에 대한 기대치를 충족시키기 위해 우리의 지침을 철저히 따르도록 권장합니다.

11월에 인기 있었던 탐지 규칙은 무엇입니까?

여기 SOC Prime 플랫폼을 사용하여 보안 운영을 향상시키는 조직들 사이에서 위협 현상금 저자들이 작성한 가장 인기 있는 다섯 가지 탐지 규칙이 있습니다:

VEILDrive 멀웨어의 지속성과 C2 통신을 위한 레지스트리 수정의 가능한 탐지(Microsoft Services를 통해, registry_event) by Davut Selcuk 이 Windows Run 키 아래에서 레지스트리 수정을 모니터링하여 VEILDrive 멀웨어가 사용하는 지속성 메커니즘을 탐지합니다.

Possible Midnight Blizzard SpearPhishing 캠페인(file_event를 통해) by Joseph Kamau 이 2024년 10월에 Midnight Blizzard 위협 행위자와 연결된 가능성 있는 스피어피싱 첨부 파일 실행을 탐지합니다(Microsoft 위협 인텔리전스에 따르면).

PowerShell 제거 네트워크 공유 탐지(ps_script를 통해) by Onur Atali 가 PowerShell을 통해 장착된 네트워크 공유 제거를 탐지합니다. 공격자는 흔적을 없애고 작업 후 가시성을 제한하기 위해 공유 연결을 삭제할 수 있습니다.

EDR 통신을 차단하고 스텔스를 가능하게 하기 위한 방화벽 규칙을 타겟으로 한 EDR 회피를 위한 의심스러운 레지스트리 수정의 가능한 탐지(registry_event를 통해) by Davut Selcuk EDR 네트워크 통신을 차단함으로써 엔드포인트 탐지 및 대응 시스템을 회피하기 위한 잠재적으로 악성 레지스트리 수정을 식별합니다.

Possible Scattered Spider x RansomHub에 의한 VM을 종료하기 위한 Bat 파일 호출로 가능한 실행(VMware Tools를 통한 process_creation)에 의한 Nattatorn Chuensangarun 규칙이 vmtoolsd 프로세스를 통해 VM을 종료하기 위한 악성 .bat 파일 실행과 관련된 의심스러운 Scattered Spider x RansomHub 활동을 탐지합니다.

최고 콘텐츠 저자

여기 11월에 고객들 사이에서 가장 인기 있었던 탐지를 해낸 상위 5명의 위협 현상금 저자들이 있습니다:

Davut Selcuk

Nattatorn Chuensangarun

Onur Atali

Sittikorn Sangrattanapitak

Osman Demir

영향을 주고 기술을 수익화할 준비가 되셨나요? 지금 위협 현상금 프로그램 에 가입하여 글로벌 사이버 보안을 강화하기 위해 여러분의 전문성을 기여하십시오. 탐지 규칙을 제출하여 보상을 받고, 귀중한 작업에 대한 인정을 받으세요.