Resumo do Programa de Recompensa de Ameaças da SOC Prime — Resultados de Dezembro de 2023
Índice:
Aceitação de Conteúdo do Threat Bounty
Desde o lançamento do Programa Threat Bounty, a SOC Prime tem fornecido engenheiros de detecção qualificados e entusiastas para alinhar suas habilidades com a demanda real e em tempo real por conteúdo de detecção de ameaças. Durante o ano de 2023, continuamos a alinhar os esforços dos membros do Threat Bounty com a evolução da Plataforma, o que resultou em algumas mudanças nos critérios de aceitação de conteúdo. Nomeadamente, seguimos estritamente os procedimentos de verificação de conteúdo e diretrizes de publicação para as regras baseadas em IOCs de baixo nível, regras projetadas para acionar alertas com base em alertas de outras soluções de segurança e regras que têm aplicabilidade ou adaptabilidade limitadas, — referidas como ‘baixa resiliência para uso a longo prazo na Plataforma SOC Prime’. Na SOC Prime, estamos confiantes de que esse esforço coletivo e o compartilhamento de feedback estimulam o desenvolvimento de habilidades profissionais que são vitais na indústria de cibersegurança atualmente.
Esperamos que todos os membros do Programa Threat Bounty levem em consideração as regras de aceitação de conteúdo e prestem atenção às recomendações gerais que recebem em relação a melhorias de conteúdo ou como motivo para rejeição de publicação.
Principais Regras de Detecção do Mês no Threat Bounty
As seguintes detecções dos desenvolvedores do Threat Bounty na Plataforma SOC Prime foram as mais populares:
Possível Detecção de Persistência pelo Grupo APT38/Lazarus da Coreia do Norte via Detecção de Parâmetros de Linha de Comando Associados (via process_creation) – regra de caça a ameaças por Davut Selcuk que identifica potenciais indicadores de persistência pelo Grupo APT38/Lazarus da Coreia do Norte, aproveitando a detecção de parâmetros de linha de comando associados.
Possível Execução de Código VBA Malicioso em Documentos Excel ou Word pela Detecção de Comandos Associados (via ps_script) – regra de caça a ameaças por Emre Ay que detecta os atores de ameaças que tentam executar código vba malicioso em documentos Excel ou Word usando comandos powershell suspeitos.
Mudança Suspeita de Chave de Registro de Atividade de Malware DarkGate (via registry_event) – regra de caça a ameaças por Davut Selcuk que detecta mudanças nas chaves de registro associadas ao DarkGate.
Possível Execução de Malware Agent Racoon Usando Plug-Ins PowerShell para Dump de Emails em Ambientes MS Exchange com Bloco de Script PowerShell – regra de caça a ameaças por Nattatorn Chuensangarun detecta atividade suspeita de malware Agent Racoon usando o plugin PowerShell para executar arquivos pst maliciosos dentro do diretório do sistema IIS (inetsrv) para dumps de emails em ambientes MS Exchange.
Possível Atividade de Ameaça de Ransomware ESXi de Todos os VMs e Exclusão de Seus Snapshots via VIM-CMD – regra de caça a ameaças por Kaan Yeniyol detecta a exclusão de snapshots e máquinas virtuais em dispositivos ESXi usando o comando VMSVC. Grupos de ransomware, ao comprometer sistemas ESXi, excluem snapshots associados a dispositivos e criptografam arquivos.
Principais Autores do Mês
Embora às vezes os membros do Threat Bounty cessem suas atividades com o Programa e não possuam mais os privilégios como autores ativos do Threat Bounty, suas detecções ainda permitem que as empresas aproveitem a SOC Prime para resistir às ameaças cibernéticas:
Os seguintes autores demonstraram uma contribuição excepcional com seu conteúdo de detecção que passou pela verificação de qualidade da Equipe da SOC Prime:
Fique atento às notícias, atualizações e discussões da comunidade para estar entre os primeiros a saber sobre as próximas mudanças no Programa Threat Bounty, e não hesite em permitir que empresas em todo o mundo se defendam contra ameaças emergentes com suas detecções do Threat Bounty impulsionadas pelas inovações da SOC Prime.
