Resumo de Caça de Ameaças da SOC Prime — Resultados de Agosto de 2023
Índice:
Os resumos mensais do Threat Bounty cobrem o que está acontecendo na comunidade SOC Prime Threat Bounty. Todo mês, publicamos notícias e atualizações do Programa e damos recomendações sobre melhorias de conteúdo baseadas em nossas observações e análises durante a verificação de conteúdo do Threat Bounty.
Envios de Conteúdo do Threat Bounty
Durante o mês de agosto, os membros do Programa Threat Bounty enviaram 625 regras para revisão pela equipe da SOC Prime. Embora as regras passem por validação automática pelo rule Warden, um exame e validação minuciosos pela equipe de especialistas garantem que apenas as detecções da melhor qualidade estejam disponíveis na Plataforma SOC Prime. Após a revisão e sugestões de melhorias, 103 regras Sigma de membros do Threat Bounty foram publicadas no Threat Detection Marketplace e estão disponíveis para os usuários da Plataforma de acordo com seus planos de assinatura.
Estamos muito preocupados com a situação em que muitos desenvolvedores do Threat Bounty, que têm sido membros ativos do Programa por meses ou até anos, continuam a enviar conteúdo que não se qualifica de acordo com os critérios de aceitação do Programa. Para alguns membros, o percentual de regras publicadas com sucesso é inferior a 10% do que foi enviado. É por isso que insistimos que os desenvolvedores Sigma do Threat Bounty, que continuamente têm a maior parte de seu conteúdo rejeitado, devem revisar regularmente as diretrizes do Threat Bounty disponíveis no Centro de Ajuda e assistir aos webinars da SOC Prime sobre criação de conteúdo. A equipe da SOC Prime e a comunidade profissional estão disponíveis para você no Discord da SOC Prime caso você tenha alguma dúvida.
TOP Regras de Detecção do Threat Bounty
Estamos encantados em apresentar as 5 principais regras de detecção escritas por desenvolvedores do Threat Bounty. Essas regras têm se mostrado as melhores para atender às necessidades de segurança das empresas que utilizam a SOC Prime entre o conteúdo do Threat Bounty.
- Possível Execução de Comando da Vulnerabilidade Zero-Day do Citrix ADC (CVE-2023-3519) Para Extrair Informações Para Caminho Suspeito (via process_creation) Regra Sigma por Mustafa Gurkan KARAKAYA detecta possíveis comandos utilizados na exploração da CVE-2023-3519 para copiar informações críticas e gravar em um caminho suspeito.
- Possível Ransomware Rhysida (RaaS) Grupo Alvo Instituições Governamentais Latino-Americanas com Uso de Parâmetros de Linha de Comando Associados (via process_creation) Regra Sigma por Mehmet Kadir CIRIK detecta parâmetros de linha de comando suspeitos usados pelo Ransomware Rhysida.
- Possível Execução de Storm-0978 (RomCom) Aproveitando Vulnerabilidade Zero-day do Microsoft Office HTML [CVE-2023-36884] Através de Portas SMB (via network_connection) Regra Sigma por Nattatorn Chuensangarun detecta atividade suspeita do Storm-0978 (RomCom) aproveitando a Vulnerabilidade Zero-day HTML do Microsoft Office (CVE-2023-36884) ataque através de Portas SMB.
- Possível Impacto e Atividades de Execução do Trojan de Acesso Remoto XWORM Detectados Por Comando Associado.[via Process_Creation] Regra Sigma por Phyo Paing Htun pode detectar o impacto e atividades de execução do trojan de acesso remoto XWORM que pode abusar da linha de comando para realizar uma solicitação POST repetida ao host fornecido e também executar processos de desligamento, reinício e logoff.
- Detecção de Web Shell Suspeito Dia Zero do Citrix ADC [CVE-2023-3519] Com Arquivos Associados (via file_event) Regra Sigma por Mustafa Gurkan KARAKAYA detecta possíveis arquivos de web shell que caem em caminho de arquivo suspeito após CVE-2023-3519 exploração de vulnerabilidade.
Autores Principais
Gostaríamos de reconhecer e celebrar os desenvolvedores Sigma que têm constantemente entregue conhecimentos excepcionais, contribuindo para as capacidades de detecção de ameaças das empresas que dependem da SOC Prime em suas operações de segurança diárias. Em agosto, os membros do programa a seguir ganharam o status de autores mais bem-avaliados do Threat Bounty:
Ansioso para se juntar a uma iniciativa de engenharia de detecção crowdsourced e monetizar suas habilidades? Não hesite em se juntar ao Programa Threat Bountyda SOC Prime, onde você pode melhorar suas habilidades de detecção e caça a ameaças e se tornar parte da comunidade profissional.
