위협 현상금 프로그램 요약 — 2024년 5월 결과

출판물

5월에, 우리 콘텐츠 검증팀은 검토를 위해 300개 이상의 제출물을 받았습니다. 검토 후, 그리고 경우에 따라서는 코드의 사소한 수정과 함께 반복적인 수정 후, 위협 보상 프로그램 의 콘텐츠 작성자가 작성한 59개의 새로운 고유한 위협 탐지 규칙이 위협 탐지 마켓플레이스. 

탐지 탐험

거절된 제출물은 출판 수락 기준에 맞지 않았습니다. 수익 창출을 위해 SOC Prime 플랫폼에 콘텐츠를 게시하려는 Threat Bounty Program의 모든 구성원이 Threat Bounty 규칙을 작성하고 제출할 때 콘텐츠 요구 사항을 고려하시기 바랍니다.

기업의 실제 생산 환경에서 행동 기반 위협 탐지에 효과적으로 사용될 수 없는 탐지 규칙은 SOC Prime에서 출판을 위해 수락되지 않습니다. 우리의 적극적인 Threat Bounty 저자들의 전문성을 실질적인 행동 기반 위협 탐지 알고리즘 수요와 일치시키기 위해, 우리는 SOC Prime의 웹 세미나와 워크숍에서 우리 표준과 기술에 대해 이야기하고, 우리 활동을 따르며, 이에 따라 전문 기술과 관심사를 발전시키는 것을 권장합니다.

TOP 위협 보상 탐지 규칙

Threat Bounty Program 회원이 출판한 이 다섯 가지 탐지 규칙은 SOC Prime 플랫폼을 사용하여 보안 운영을 강화하는 조직의 수요에 가장 잘 부합했습니다:

관련 명령어 탐지를 통한 IcedID(일명 Latrodectus [IceNova]) 멀웨어 실행 활동 탐지 (프로세스 생성 경유) – 위협 사냥 Sigma 규칙 작성자 Davut Selcuk 는 프로세스 생성 이벤트를 모니터링하여 IcedID(일명 Latrodectus [IceNova]) 멀웨어와 관련된 의심스러운 실행 활동을 식별하는 것을 목표로 합니다.

Microsoft Bitlocker를 악용하기 위한 ShrinkLocker 랜섬웨어 활동 가능성 (레지스트리 이벤트 경유) – 위협 사냥 Sigma 규칙 작성자 Emre Ay 는 Microsoft Bitlocker를 악용할 수 있도록 하는 레지스트리 값을 수정하려는 Shrinklocker 랜섬웨어 동작을 탐지합니다.

rundll32.exe에 의해 감지된 Latrodectus (IceNova) 멀웨어 실행 활동 (프로세스 생성 경유) – 위협 사냥 Sigma 규칙 작성자 Davut Selcuk 는 rundll32.exe를 활용하여 실행되는 Latrodectus (IceNova) 멀웨어와 관련된 의심스러운 실행 활동을 탐지합니다.

Bitlocker를 악용하기 위한 ShrinkLocker 랜섬웨어의 레지스트리 키 수정 활동 가능성 (레지스트리 이벤트 경유) – 위협 사냥 Sigma 규칙 작성자 Emre Ay 는 ShrinkLocker 랜섬웨어가 BitLocker 관련 레지스트리 값을 악용하기 위해 수행한 관련된 레지스트리 키의 의심스러운 수정을 탐지합니다.

중동 타겟에 대한 ‘MuddyWater의 악성 C2 활동’의 PowerShell 명령어로 감지 – 위협 사냥 Sigma 규칙 작성자 Aung Kyaw Min Naing입니다. 이 규칙은 중동 타겟을 대상으로 하는 MuddyWater의 악의적인 PowerShell 실행을 탐지하여 AutodialDLL 레지스트리 키를 악용하고 C2 프레임워크를 위한 DLL을 로드합니다.

최고 저자

Threat Bounty Program에 군중 소싱 위협 탐지 규칙을 기여한 다음 기여자들은 SOC Prime 플랫폼을 통해 조직에 의해 어떻게 목표 위협 탐지가 사용되었는지에 기반하여 가장 높은 평가 직위를 달성했습니다:

Davut Selcuk

Nattatorn Chuensangarun

Emir Erdogan

Sittikorn Sangrattanapitak

Osman Demir

Threat Bounty 탐지 규칙의 두 저자인 Joseph Kamau and Bogac Kaya, 는 올해 10개 성공적인 출판을 달성했고, 신뢰받는 SOC Prime 기여자로 인정받고 있습니다.

다가오는 변경 사항

이전 월간 다이제스트에 설명된 Threat Bounty Program 도구의 변경 사항이 곧 적용됩니다. 즉, Threat Bounty Program 회원들은 그들의 Threat Bounty 출판과 진행 상황 추적을 위해 Uncoder AI를 사용하게 될 것입니다. 개발자 포털과 Sigma Rules Slack Bot은 더 이상 지원되지 않으며 Threat Bounty Program에 사용되지 않을 것입니다. 사용자 지침은 SOC Prime의 도움 센터에서 제공되며, 프로그램 회원들은 Threat Bounty 규칙을 위한 Uncoder AI 사용 준비가 완료되면 새로운 도구로 그들의 탐지를 제출할 수 있습니다. 다가오는 발표에 주목하세요 위협 보상 프로그램!