Digest de Recompensas de Ameaças SOC Prime — Resultados de Fevereiro de 2024
Índice:
Publicações de Caça às Ameaças
Em fevereiro, os membros do programa Threat Bounty submeteram mais de 350 detecções para revisão pela Equipe SOC Prime. Após a revisão pela equipe de verificação de conteúdo, 70 regras foram publicadas com sucesso na Plataforma SOC Prime. Durante a verificação, a Equipe SOC Prime forneceu mais de 400 explicações de rejeição de conteúdo e recomendações para melhorias de regras onde foi possível. É importante para os autores entenderem que todas as regras são revisadas uma por uma, começando pelas regras que foram recebidas para revisão mais cedo, e quaisquer alterações na regra, incluindo correções, automaticamente iniciam uma nova iteração de verificação de regras.
Ficamos felizes em conversar com Phyo Paing Htun, membro do Threat Bounty, o que resultou em uma perspicaz entrevista no Blog da SOC Prime, e um vídeo curto onde Phyo Paing Htun compartilha sua experiência e abordagens para criar regras para publicação no Threat Bounty.
Notícias de Caça às Ameaças
Estamos empolgados em anunciar a próxima introdução de credenciais digitais pelo Programa Threat Bounty da SOC Prime com Credly da Pearson. As credenciais digitais representam um passo significativo para reconhecer a dedicação e a expertise dos membros da comunidade Threat Bounty, fornecendo-lhes um símbolo tangível de suas conquistas desde o lançamento da iniciativa Threat Bounty, bem como reconhecimento de suas conquistas atuais. Fique atento enquanto embarcamos nesta jornada para celebrar e capacitar os autores de regras de detecção dentro do Programa Threat Bounty.
REGRAS DE DETECÇÃO SUPERIORES DO THREAT BOUNTY
As cinco regras de detecção a seguir foram as mais requisitadas entre as organizações que utilizam a Plataforma SOC Prime para aprimorar suas capacidades de detecção de ameaças:
Possível Exploração (CVE-2023-46805 / CVE-2024-21887) das Vulnerabilidades de Bypass de Autenticação e Injeção de Comandos do Ivanti Connect Secure (via servidor web) – regra Sigma de caça às ameaças de Davut Selcuk que detecta possível exploração das vulnerabilidades do Ivanti Connect Secure (CVE-2023-46805 e CVE-2024-21887) relacionadas ao bypass de autenticação e injeção de comandos.
Possível Acesso Inicial por Exploração da Vulnerabilidade de Execução Remota de Código do Microsoft Outlook (MonikerLink) [CVE-2024-21413] – regra de caça às ameaças de Kaan Yeniyol que detecta ataques de execução remota de código e credenciais NTLM no Microsoft Outlook (CVE-2024-21413). Esta vulnerabilidade pode levar ao vazamento local de credenciais NTLM e execução de código quando atacantes abrem e-mails contendo links maliciosos.
Tentativa de Exploração da Vulnerabilidade de Bypass de Autenticação do Ivanti Pulse Connect Secure [CVE-2023-46805] Suspeita (via proxy) – regra Sigma de caça às ameaças de Mustafa Gurkan KARAKAYA detecta possível tentativa de exploração da vulnerabilidade de bypass de autenticação do Ivanti [CVE-2023-46805] via solicitação associada.
Possível Acesso Inicial por Exploração da Vulnerabilidade de Execução Remota de Código do Ivanti Connect Secure VPN [CVE-2024-21887] (via servidor web) – regra de caça às ameaças de Kaan Yeniyol que detecta uma vulnerabilidade de injeção de comandos nos componentes web do Ivanti Connect Secure (9.x, 22.x) e Ivanti Policy Secure (9.x, 22.x), permitindo que um administrador autenticado envie solicitações especialmente criadas e execute comandos arbitrários no dispositivo.
Possível Escalada de Privilégios via TrustedInstaller para Dump do Lsass por Detecção de Comandos Associados (via process_creation) – regra Sigma de caça às ameaças de Davut Selcuk que identifica potenciais tentativas de escalada de privilégios ao detectar atividades relacionadas à desativação do SeDebugPrivilege. Especificamente, foca em técnicas que utilizam a conta TrustedInstaller para contornar restrições de privilégios, permitindo o despejo de memória usando ferramentas como ProcDump para lsass.exe.
Principais Autores
As regras de detecção do Threat Bounty destes autores foram principalmente interessantes e úteis para as empresas que utilizam a Plataforma SOC Prime para suas operações diárias de segurança:
Davut Selcuk – ele publicou 25 novas regras em fevereiro, e um total de 58 das suas detecções, incluindo as regras publicadas anteriormente, foram usadas por empresas clientes da SOC Prime.
Emre Ay publicou 12 novas regras, e as empresas na Plataforma SOC Prime baixaram um total de 38 das suas detecções.
Sittikorn Sangrattanapitak – 58 regras únicas, incluindo 6 regras publicadas durante fevereiro, foram baixadas.
Nattatorn Chuensangarun – 45 detecções, incluindo 4 regras que foram publicadas em fevereiro, foram baixadas por empresas via Plataforma SOC Prime.
Osman Demir – 40 regras de detecção, incluindo uma regra publicada em fevereiro, foram baixadas, e os resultados foram incluídos nos resultados de fevereiro do Threat Bounty.
Não hesite em se juntar ao Programa Threat Bounty e contribuir para a iniciativa coletiva de engenharia de detecção que permite às empresas em todo o mundo resistirem às ameaças emergentes, e mantenha seu foco na engenharia de detecções para casos reais abordando a demanda atual das organizações em todo o mundo.
