SOC Prime 위협 현상금 다이제스트 — 2024년 9월 결과

탐지 콘텐츠 생성, 제출 및 릴리스

9월에는 위협 현상금 프로그램 은 탐지 규칙 검증을 위한 제출이 증가하고 SOC Prime 플랫폼으로의 위협 현상금 규칙의 성공적인 릴리스가 늘어나면서 상당한 성장을 경험했습니다. 우리는 위협 현상금 프로그램의 모든 회원들이 Uncoder AI에 대한 접근을 통해 SOC Prime에서 탐지 엔지니어링 기술을 수익화할 수 있도록 최선을 다하고 있습니다.

위협 탐지 규칙의 모든 작성자들의 노력을 높이 평가하면서도, 검증을 통과한 규칙만이 게시될 수 있음을 강조하는 것이 중요합니다. 프로그램의 일부 회원들은 SIEM 구체적인 쿼리 경험을 우리의 요구 사항, 즉 복잡한 탐지 논리와 공격 지표에 중점을 둔 탐지 규칙으로 적응하는 데에 약간의 어려움을 겪을 수 있다는 것을 알고 있습니다. 그러나 이러한 도전은 위협 현상금 프로그램 회원들의 전문적 발전을 촉진하고 공동의 위협 탐지 노력을 향상시킵니다.

위협 현상금 프로그램이 계속 성장함에 따라, 우리는 Uncoder AI를 능숙하게 활용하는프로그램 회원들을 인정할 수 있어 기쁩니다. 이들은 자신의 능력을 향상시킬 뿐만 아니라, 탐지 엔지니어링의 효율성을 증대시키는 기술과 방법론의 활용을 통해 채용 시장에서 두각을 나타내고 있습니다.

9월 최고의 규칙들: 위협 현상금 저자들

일반 RAT(원격 관리 도구) 실행 탐지—Sigma 규칙: Emanuele De Lucia. 이 규칙은 가장 인기 있는 RAT의 실행을 탐지합니다(프로세스 생성 경로를 통해).

Hadooken 멀웨어의 암호화폐 채굴기 멀웨어 배포를 위한 페이로드 투하를 통한 가능성 있는 실행 [Linux] (파일 이벤트를 통해) by Nattatorn Chuensangarun. 이 Sigma 규칙은 악성 ELF 페이로드를 배포하여 암호화폐 채굴기 멀웨어를 배포하는 의심스러운 Hadooken 멀웨어 활동을 탐지합니다.

SEO 조작 캠페인과 연결된 의심스러운 Microsoft IIS(인터넷 정보 서비스) 구성—위협 현상금 Sigma 규칙: Joseph Kamau. 이 규칙은 IIS의 구성 설정을 변경하여 DragonRank SEO 캠페인에서 볼 수 있는 것처럼 컴프레션되지 않은 스크립트를 배출할 수 없는 악성코드의 단점으로 인해 BadIIS 멀웨어가 손상된 IIS 서버에 성공적으로 배포될 수 있도록 탐지합니다.

Latrodectus 멀웨어와 연결된 서명된 바이너리 프록시 실행 탐지 (CmdLine을 통해)—위협 헌팅 Sigma 규칙: Kyaw Pyiyt Htet. 이 규칙은 일반적으로 이메일 스팸 캠페인을 통해 배포되는 Latrodectus 멀웨어와 관련된 서명된 바이너리 프록시의 실행을 탐지합니다.

의심스러운 SChannel 약한 인증서 매핑 방법 설정 (레지스트리 이벤트를 통해)—위협 헌팅 Sigma 규칙: Sittikorn Sangrattanapitak. 작성자에 따르면, 이 규칙은 레지스트리 변경을 통해 약한 인증서 매핑 방법 설정을 탐지합니다. 서버 애플리케이션이 클라이언트 인증을 요구할 때, SChannel은 자동으로 클라이언트의 인증서를 해당하는 사용자 계정으로 매핑하려고 시도합니다. 이는 인증서 정보를 Windows 사용자 계정에 연결하는 매핑을 생성하여 클라이언트 인증서를 통해 사용자 인증이 가능하게 합니다.

위협 현상금 저자: 9월 TOP 5

9월의 하이라이트에서, 우리는 SOC Prime 플랫폼에 크게 기여하여 우수한 성과를 보여준 다섯 명의 위협 현상금 프로그램 회원들을 자랑스럽게 인정합니다. 이들의 탐지 규칙은 그 품질로 두드러질 뿐만 아니라, SOC Prime 플랫폼을 활용하는 조직들이 군중소싱 탐지 엔지니어들에게 부여한 신뢰를 반영합니다.

Sittikorn Sangrattanapitak

Nattatorn Chuensangarun 또한 2024년에 50개의 릴리스 규칙을 달성하고 탁월한 기여자로서 디지털 인정서를 받은

Davut Selcuk

Emir Erdogan

Osman Demir

우리는 위협 현상금 프로그램의 모든 회원들에게 탐지 규칙을 계속 세련되게 발전시키고 SOC Prime의 Discord 서버에서 커뮤니티와 교류하도록 장려합니다. 여러분의 기여와 기술 발전은 우리의 공동 사이버 방어 노력을 향상시키는 데 필수적입니다. 위협 현상금 프로그램더 많은 업데이트와 기회를 위하여 기대해 주시고, 여러분이 창작하는 모든 규칙이 탁월함을 향한 한 걸음임을 기억하세요.