SOC Prime 위협 바운티 다이제스트 — 2023년 9월 결과

새로운 위협 현상금 프로그램 은 SOC Prime의 크라우드 소싱 탐지 엔지니어링 이니셔티브의 최근 소식 및 업데이트를 다루는 다이제스트입니다.

위협 현상금 콘텐츠 제출물

9월 동안, 위협 현상금 프로그램의 회원들은 수익화 목적의 출판 전에 SOC Prime 팀의 검토를 위해 629개의 규칙을 제출했습니다. 검토와 품질 평가를 거친 후, 가능한 경우 여러 번의 개선 반복을 통해 90개의 규칙이 SOC Prime 플랫폼에 게시 승인되었습니다.

탐지 탐색하기

위협 현상금 콘텐츠 개발자와 글로벌 사이버 보안 커뮤니티 모두가 SOC Prime 플랫폼에서 최대 가치를 얻을 수 있도록, 기존 워크플로와 커뮤니케이션에 대한 일련의 개선 사항을 도입하고 있습니다. 예를 들어, 위협 현상금 콘텐츠 개발에 대한 활용 방법이 프로그램 회원들에게 알려지고 이용 가능하도록 SOC Prime의 디스코드 서버 에 동료들과의 지식 및 경험 공유를 위한 전용 채널을 시작했습니다.

따라서 SOC Prime은 현재 워크플로에 변경 사항을 도입하며, SOC Prime 탐지 엔지니어링 팀의 커뮤니케이션 및 감독, 규칙 승인, 검토 과정, 보상을 포함합니다. 도입된 변경 사항은 위협 현상금 프로그램의 추가 개발과 성숙도를 보장하고, 커뮤니티의 요구에 맞춘 적극적인 위협 탐지 및 위협 사냥과의 일치를 위해 필요합니다.

TOP 위협 현상금 탐지 규칙

기존 플랫폼 클라이언트들에게 가장 주목받은 규칙들입니다:

1. Microsoft Office 문서를 타겟으로 한 Lokibot 캠페인의 가능성 (process_creation을 통한 명령어 탐지) – 탐지 사냥 Sigma 규칙 by Emre AY. 이 규칙은 취약점을 통한 명령어를 통해 Microsoft Office 문서를 목표로 하는 Lokibot 캠페인을 탐지합니다.
2. 환경 변수를 설정하기 위한 Steal-It 캠페인 활동 탐지 (process_creation을 통한 명령어 탐지) – 탐지 사냥 규칙 by Mustafa Gurkan KARAKAYA. 이 규칙은 의심스러운 파일 위치로 환경 변수를 설정하기 위한 Steal-It 캠페인의 명령어 실행 가능성을 탐지합니다.
3. 수상한 Akira 랜섬웨어 실행 간 매개변수 탐지 (cmdline을 통한 명령어 탐지) – 탐지 사냥 규칙 by Osman Demir. 이 규칙은 특정 매개변수로 랜섬웨어 활동을 수행하는 악성 소프트웨어 실행과 함께 발생할 수 있는 공격 캠페인을 탐지합니다.
4. Powershell 명령어 탐지에 의한 BlackCat 랜섬웨어(aka ALPHV) 열거 활동 가능성 (ps_script를 통한 명령어 탐지) – 탐지 사냥 규칙 by Mustafa Gurkan KARAKAYA.
5. Apple 원격 데스크탑 에이전트를 활성화하여 원격 코드 실행 및 측면 이동 가능성 탐지 (process_creation을 통한 명령어 탐지) – 탐지 사냥 규칙 by Emre AY. 이 규칙은 모든 사용자가 모든 권한을 가진 대상 시스템에 원격으로 액세스할 수 있도록 원격 데스크탑 관리를 활성화하려는 적군을 탐지합니다.

최고 저자

위협 현상금 탐지 규칙의 저자 중 이들은 플랫폼 사용자들과의 콘텐츠 상호작용에서 가장 많은 관심을 받았습니다:

Nattatorn Chuensangarun

Osman Demir

Mustafa Gurkan KARAKAYA

Sittikorn Sangrattanapitak

Emir Erdogan

SIEM 탐지 규칙의 열정적인 개발자들이 SOC Prime 위협 현상금 프로그램 에 참여하여 시장 선두주자와 함께 개인 포트폴리오를 구축하고 글로벌 사이버 보안 커뮤니티에서 전문적으로 성장하며 집단적 사이버 방어에 기여하도록 격려합니다.