Digest do SOC Prime Threat Bounty — Resultados de Janeiro de 2024

[post-views]
Fevereiro 19, 2024 · 4 min de leitura
Digest do SOC Prime Threat Bounty — Resultados de Janeiro de 2024

Conteúdo do Threat Bounty

Em janeiro, os membros do Programa Threat Bounty foram muito ativos na submissão de detecções para revisão pela equipe de verificação de conteúdo da SOC Prime. Após a verificação e exame das regras sugeridas, 44 detecções foram publicadas no Threat Detection Marketplace, embora algumas regras tenham exigido pequenas alterações e foram devolvidas aos autores para correções finais.

Explore Detecções

Como sempre, nossa equipe está disponível para responder a perguntas sobre os critérios de aceitação de conteúdo no servidor Discord da SOC Prime. À medida que a Plataforma SOC Prime evolui, os critérios de aceitação de conteúdo também mudam, e é essencial que todos os autores, independentemente de sua experiência com publicações do Threat Bounty, compreendam o que é aceito para publicação. Isso pode ajudar os autores a investir seu tempo na pesquisa e desenvolvimento de regras do Threat Bounty de forma mais razoável e eficiente.

Principais Regras de Detecção do Threat Bounty

Essas cinco detecções publicadas sob os termos do Programa Threat Bounty foram as mais populares entre as organizações que utilizam a Plataforma SOC Prime para aprimorar suas operações de segurança:

Tentativa de Exploração de Vulnerabilidade de Bypass de Autenticação Ivanti Pulse Connect Secure [CVE-2023-46805] Suspeita (via proxy) – uma regra Sigma de caça à ameaças por Mustafa Gurkan KARAKAYA detecta uma possível tentativa de exploração da vulnerabilidade de bypass de autenticação Ivanti [CVE-2023-46805] através de solicitação associada.

Log de eventos limpo usando Diagnósticos (via PowerShell) – regra Sigma de caça à ameaças por Michel de Crevoisier. Esta regra detecta cenários onde um invasor tenta limpar os logs de eventos.

Possível Acesso Inicial por Exploração de Vulnerabilidade de Execução Remota de Código Ivanti Connect Secure VPN [CVE-2024-21887] (via servidor web) – regra Sigma de caça à ameaças por Kaan Yeniyol. Esta regra detecta uma vulnerabilidade de injeção de comando nos componentes web do Ivanti Connect Secure (9.x, 22.x) e Ivanti Policy Secure (9.x, 22.x), permitindo que um administrador autenticado envie solicitações especialmente manipuladas e execute comandos arbitrários no dispositivo.

Carregamento de DLL Suspeito Sem Passar Nenhum Parâmetro Manipulando a Função AutoRegistrar do RegSvr (via process_creation) – detecção por Mustafa Gurkan KARAKAYA. Esta regra detecta possível atividade de adição de chave de registro para manipular a função de autoregistro do regsvr.

Detectar Distribuição de Ransomware via TeamViewer (via cmdline) – a regra de caça à ameaças por Furkan Celik detecta possível distribuição inicial de ransomware, que é iniciada com um arquivo de extensão .bat executado a partir da área de trabalho do usuário. Em seguida, o processo rundll32 é usado com o arquivo de extensão .bat.

Principais Autores

Regras de Threat Bounty por esses cinco autores foram as mais populares entre os usuários do Threat Detection Marketplace :

Nattatorn Chuensangarun 112 detecções foram usadas por organizações que usam a SOC Prime, incluindo 6 regras publicadas durante o mês anterior.

Osman Demir – 80 detecções deste autor foram usadas pelos clientes da SOC Prime. Todas as detecções foram publicadas anteriormente.

Davut Selcuk – 27 regras por este autor, incluindo 12 detecções recentemente liberadas, foram usadas via Threat Detection Marketplace pelos usuários da SOC Prime.

Mustafa Gurkan KARAKAYA – 50 regras, incluindo oito detecções recentemente publicadas, ajudaram as organizações que usam a SOC Prime a aprimorar suas capacidades de detecção de ameaças.

Sittikorn Sangrattanapitak – 90 regras de detecção, incluindo uma detecção recém-publicada, foram usadas pelas organizações que utilizam a SOC Prime.

Além disso, gostaríamos de mencionar os autores cujas detecções no Threat Detection Marketplace demonstram o melhor índice de visualização/download, significando que as detecções são baixadas ou implantadas por clientes da SOC Prime após visualizarem o código:

Emre Ay

Kyaw Pyiyt Htet

Joseph Kamau

Michel Crevoisier

Aung Kyaw Min Naing

CContribua para a defesa cibernética coletiva com suas próprias regras de detecção via Programa Threat Bounty, e seja recompensado por seu impacto.

Este artigo foi útil?

Curta e compartilhe com seus colegas.
Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e obter valor imediato, agende uma reunião agora com os especialistas da SOC Prime.
Junte-se Gratuitamente Agende uma Reunião

Publicações Relacionadas

Detecção de Atividades do Grupo XE: Da Cópia de Cartões de Crédito à Exploração de Vulnerabilidades Zero-Day CVE-2024-57968 e CVE-2025-25181 no VeraCore
Ameaças Mais Recentes, Blog — 4 min de leitura
Detecção de Atividades do Grupo XE: Da Cópia de Cartões de Crédito à Exploração de Vulnerabilidades Zero-Day CVE-2024-57968 e CVE-2025-25181 no VeraCore
Veronika Telychko
Detecção da CVE-2025-0411: Grupos Cibercriminosos Russos Dependem de Vulnerabilidade Zero-Day no 7-Zip para Alvo em Organizações Ucranianas
Ameaças Mais Recentes, Blog — 5 min de leitura
Detecção da CVE-2025-0411: Grupos Cibercriminosos Russos Dependem de Vulnerabilidade Zero-Day no 7-Zip para Alvo em Organizações Ucranianas
Veronika Telychko
Detecção do Lumma Stealer: Campanha Sofisticada Usando Infraestrutura do GitHub para Espalhar SectopRAT, Vidar, Cobeacon e Outros Tipos de Malware
Ameaças Mais Recentes, Blog — 4 min de leitura
Detecção do Lumma Stealer: Campanha Sofisticada Usando Infraestrutura do GitHub para Espalhar SectopRAT, Vidar, Cobeacon e Outros Tipos de Malware
Veronika Telychko