Digest de Recompensas por Ameaças da SOC Prime — Resultados de Dezembro de 2024
Índice:
Criação, Submissão e Liberação de Conteúdo de Detecção
Dezembro foi mais um mês impressionante para o Programa de Recompensa de Ameaças, com a comunidade mostrando um espírito colaborativo e habilidades de engenharia de detecção.
Apesar da correria de fim de ano, os membros do Programa continuaram ativamente enviando detecções para enfrentar ameaças emergentes. No total, 33 novas regras de detecção foram lançadas com sucesso para a Plataforma SOC Prime após serem validadas pela equipe de especialistas da SOC Prime.
Mudanças Contínuas e Melhorias no Programa
A partir de janeiro de 2025, suspendemos temporariamente a aceitação de novas detecções de Recompensa de Ameaças. Enquanto as atividades do Programa de Recompensa de Ameaças estão em pausa, estamos trabalhando em várias melhorias para a Plataforma SOC Prime que visam melhorar a experiência geral para todos os usuários e ampliar as oportunidades para os membros do Programa de Recompensa de Ameaças, incluindo a submissão de conteúdo em diferentes formatos e maneiras adicionais de monetizar seu trabalho. Veja detalhes aqui.
Enquanto isso, os membros da comunidade SOC Prime podem explorar os planos de assinatura para usuários individuais e incorporar algumas das funcionalidades premium da plataforma em seus projetos de engenharia de detecção.
Principais Regras de Dezembro por Autores de Recompensa de Ameaças
Durante o último mês do ano, as seguintes regras de detecção ganharam mais popularidade entre as empresas que usam o SOC Prime para aprimorar suas operações de cibersegurança:
Uso do Rundll32 para Exploração LOLBin (via process_creation) by Bogac KAYA. Esta regra detecta a execução de rundll32 aproveitando windows.storage.dll para invocar ShellExec_RunDLL.
Possível Tentativa de Escalação de Privilégio para Obter Usuário SYSTEM com Comando Powershell como Módulo (via ps_script) by Mustafa Gurkan KARAKAYA. Esta regra detecta possível comando malicioso que pode ser usado para criar uma tarefa agendada, executar um comando em um servidor remoto, iniciar um trabalho com uma conta específica de gMSA e realizar todas essas ações com privilégios SYSTEM.
Execução Suspeita de TA4557/FIN6 Invocando Malware More_Eggs através do Serviço de Hospedagem WMI Provider (via process_creation) by Nattatorn Chuensangarun – esta regra detecta atividade suspeita de TA4557/FIN6 liberando arquivos DLL maliciosos para implantar o malware More_Eggs através do serviço de hospedagem do fornecedor WMI.
Possível Atividade de Persistência do Grupo APT35 Criando Chave de Execução do Registro Suspeita (via registry_event) by Emre Ay. Esta regra detecta a criação suspeita de uma chave de execução do registro relacionada ao grupo APT35 que tenta manter a persistência no sistema da vítima e carregar silenciosamente o programa malicioso.
Possível Atividade de Persistência do Ransomware BlackCat Criando Tarefa Agendada Suspeita (via process_creation) by Emre Ay. Esta regra detecta a execução de schtasks com parâmetro de tarefa suspeita para manter a persistência no sistema da vítima e executar o malware.
Autores de Recompensa de Ameaças: TOP 5 de Dezembro
Estes autores obtiveram a classificação mais alta para suas regras de Recompensa de Ameaças:
À medida que o Programa de Recompensa de Ameaças evolui, sua missão central permanece a mesma: permitir a colaboração, inovação e impacto na indústria da cibersegurança e aprimorar a defesa cibernética global. Somos gratos aos autores de Recompensa de Ameaças que têm estado de mãos dadas fazendo esse imenso impacto no fortalecimento das defesas do mundo contra ataques cibernéticos.
Fique atento para mais notícias e atualizações!
