SOC Prime Threat Bounty Digest — 2023년 10월 결과

새로운 점을 발견하세요 SOC Prime의 위협 현상금 프로그램 그리고 10월 결과. 

위협 현상금 콘텐츠 제출

위협 현상금 규칙 작성자들이 Warden을 사용하여 탐지를 검증하고 기존 탐지를 연구하는 것에 시간을 투자하는 것에 우리는 기쁩니다. 이는 그들이 규칙을 생성하고 제출하여 수익을 창출하는 동안 중복을 피하도록 돕습니다. 10월, SOC Prime 팀은 477개의 규칙을 SOC Prime 플랫폼에 게시하기 전에 검증을 위해 받았습니다. 표준 검증과 평가를 거친 후, 90개의 규칙이 게시 승인을 받았습니다.

탐지 탐색

요즘 위협 현상금 프로그램은 새로운 열정적인 콘텐츠 작가들을 환영합니다. 우리는 모든 이들을 SOC Prime의 디스코드 서버 와 위협 현상금 논의를 위한 전용 비공개 채널에 참여하기를 초대합니다. 게다가, 모든 새로운 구성원이 콘텐츠 수용 기준과 SOC Prime의 표준을 알 수 있도록 우리는 모든 작가들이 SOC Prime의 웹 세미나 를 보고 우리의 블로그. 

최고 위협 현상금 탐지 규칙

SOC Prime 플랫폼을 활용하는 조직들이 가장 많이 요구한 위협 현상금 회원들이 제출한 이 탐지들은 다음과 같습니다:

1. HTTP/2 빠른 초기화 공격 (CVE-2023-44487) 감지 (registry_event 경유) 위한 의심스러운 레지스트리 키 수정 위협 사냥 Sigma 규칙 작성자 Davut Selcuk 는 CVE-2023-44487과 관련된 잠재적인 HTTP/2 빠른 초기화 공격 활동을 감지합니다.
2. 가능성 있는 CVE-2023-42793 (JetBrains TeamCity 서버의 원격 코드 실행(RCE)으로 이어지는 인증 우회) 악용 시도 (프록시 경유) 위협 사냥 Sigma 규칙 작성자 Aykut Gürses 는 CVE-2023-42793 악용 시도 (JetBrains TeamCity 서버의 인증 우회로 이어지는 RCE) 가능성을 식별합니다. 이는 TeamCity RCE 체인의 일부일 수 있습니다. 공개적으로 제공된 POC를 기반으로 합니다.
3. 가능성 있는 CVE-2023-40044 (WS_FTP 서버의 중요한 사전 인증 RCE 결함) 악용 시도 (프록시 경유) 위협 사냥 Sigma 규칙 작성자 Aykut Gürses 는 공개적으로 제공된 POC를 기반으로 하며, CVE-2023-40044 악용 시도 (WS_FTP 서버의 중요한 사전 인증 RCE 결함) 가능성을 식별합니다. 이는 TeamCity RCE 체인의 일부일 수 있습니다. 
4. 사용자 활성화 허용 및 되돌릴 수 있는 암호 암호화와 연관된 Powershell 명령어를 찾기 위한 의심스러운 열거 활동 (ps_script 경유) 위협 사냥 Sigma 규칙 작성자 Mustafa Gurkan KARAKAYA 는 Active Directory에서 되돌릴 수 있는 암호 암호화 기능을 활성화하는 사용자를 발견하기 위한 잠재적인 열거 활동을 탐지합니다. 공격자는 이 기능을 가진 사용자를 식별하고 평문으로 암호 정보를 얻으려고 시도할 수 있습니다.
5. 가능성 있는 CVE-2023-40044 WS_FTP 및 Ad Hoc 전송 IIS 모듈 악용 시도 (웹 서버 경유) 위협 사냥 Sigma 규칙 작성자 Sittikorn Sangrattanapitak 는 WS_FTP의 원격 코드 실행(RCE) 취약성 (CVE-2023-40044)에 대한 잠재적인 악용 시도를 탐지합니다.

최고 작가

SOC Prime 플랫폼의 사용자가 플랫폼에서 제공하는 탐지 콘텐츠를 활용하는 방식에 따라, 이 작가들의 탐지가 가장 많이 요구되었습니다:

Sittikorn Sangrattanapitak

Nattatorn Chuensangarun

Osman Demir

Mustafa Gurkan KARAKAYA

Emir Erdogan

SOC Prime 플랫폼에 자신만의 탐지를 게시하는 것에 궁금하신가요? 참여하세요 위협 현상금 프로그램 그리고 전 세계 기업들이 사이버 위협에 맞서도록 도와주세요.