Resumo do SOC Prime Threat Bounty — Resultados de Junho de 2024
Índice:
Submissão e Lançamento de Conteúdo de Detecção
Em junho, os membros do Programa Threat Bounty da SOC Prime começaram a usar Uncoder AI para criar, validar e enviar regras para revisão antes do lançamento na Plataforma SOC Prime. Estamos felizes em fornecer aos autores a ferramenta que os ajuda a criar regras de detecção de alta qualidade para o Threat Bounty e apoia o seu avanço profissional. Nossa equipe está comprometida em equipar engenheiros de detecção, especialistas em DFIR e analistas de SOC com as melhores tecnologias para impulsionar suas habilidades técnicas e analíticas, superar desafios reais e alinhar seus antecedentes profissionais com as necessidades do setor, enquanto recompensamos autores que participam ativamente da iniciativa de engenharia de detecção colaborativa da SOC Prime. Saiba mais sobre a evolução do Programa Threat Bounty neste artigo.
Em junho, os membros do programa publicaram com sucesso 24 novas regras de detecção do Threat Bounty, capazes de identificar comportamentos maliciosos. Com a ajuda da validação embutida, os autores de conteúdo aprimoraram sua compreensão da sintaxe Sigma, o que os ajudou a evitar erros comuns no futuro. A equipe de verificação observa a melhoria constante nas regras submetidas para atender aos critérios de aceitação das submissões Threat Bounty.
O feedback fornecido pela equipe da SOC Prime durante o processo de verificação de conteúdo ajudou a alinhar ainda mais os esforços destinados à pesquisa e criação de regras com a necessidade de um conteúdo acionável para detectar comportamentos maliciosos. A equipe de verificação tem recebido mais regras que atendem aos critérios de aceitação do Threat Bounty.
As funcionalidades do Uncoder AI, incluindo um repositório privado de conteúdo dentro da Plataforma SOC Prime, estão disponíveis para todos os membros do Programa Threat Bounty, e incentivamos a utilização ativa da ferramenta para desenvolvimento pessoal e profissional e para trabalho com diversos tipos de conteúdo e formatos. No entanto, ainda aceitamos apenas regras de detecção que atendam aos requisitos do Programa, portanto, recomendamos que os autores que desejam monetizar suas regras de detecção sigam os requisitos cada vez que desejarem que sua regra seja publicada para monetização na Plataforma SOC Prime.
Principais Regras de Detecção do Threat Bounty
As seguintes detecções Threat Bounty foram as mais citadas pelas empresas que utilizam a SOC Prime:
Possível Detecção de Ferramenta de Exploração Black Basta Usando Vulnerabilidade de Escalação de Privilégio do Windows para Persistência (CVE-2024-26169) (via registry_set) – regra Sigma de caçada de ameaças por Davut Selcuk que detecta o uso de uma ferramenta de exploração associada ao grupo de ransomware Black Basta, que aproveita uma vulnerabilidade de escalonamento de privilégios do Windows (CVE-2024-26169) no Serviço de Relatórios de Erros do Windows para obter persistência. O grupo de cibercrime Cardinal (também conhecido como Storm-1811, UNC4393) foi vinculado à exploração desta vulnerabilidade como um zero-day. A ferramenta de exploração tira proveito do fato de que o arquivo do Windows werkernel.sys usa um descritor de segurança nulo ao criar chaves de registro.
Possível Detecção de Execução de Backdoor WARMCOOKIE Ligada à Execução Suspeita de rundll32.exe Comandos Associados (via process_creation) – regra Sigma de caçada de ameaças por Davut Selcuk que ajuda a detectar a execução suspeita de rundll32.exe associada ao backdoor WARMCOOKIE. O WARMCOOKIE é um backdoor usado por agentes de ameaças para infiltrar e comprometer sistemas, comumente entregue via campanhas de phishing com temas de recrutamento. Ele utiliza rundll32.exe para executar cargas maliciosas armazenadas em diretórios temporários, visando persistência e controle remoto.
Possível Atividade de Ransomware ShrinkLocker para Abusar do Microsoft Bitlocker via Modificação de Chave de Registro Associada (via registry_event) – a regra Sigma de caça à ameaças por Emre Ay detecta o comportamento do ransomware Shrinklocker que tenta modificar um valor de registro, permitindo que ele abuse do Microsoft Bitlocker.
Vulnerabilidade de Travessia de Diretório do SolarWinds Serv-U-FTP (CVE-2024-28995) – regra Sigma de caçada de ameaças por Emir Erdogan. Esta regra identifica tentativas de exploração da Vulnerabilidade de Travessia de Diretório do SolarWinds Serv-U-FTP com a ajuda de registros de servidor web.
Execução de Comando Suspeita do Ransomware STOP por Detecção de Linha de Comando Associada (via process_creation) – regra Sigma de caçada de ameaças por Emre Ay detecta comandos suspeitos relacionados ao Ransomware STOP/DJVU que visam iniciar sua atividade maliciosa usando comandos associados.
Principais Autores
As regras de detecção de Threat Bounty desses autores foram as mais populares na Plataforma em julho:
Além disso, Emir Erdogan recebeu um distintivo digital como Contribuidor Confiável em reconhecimento à sua contribuição para a Plataforma SOC Prime este ano.
Se você gostaria de acompanhar o sucesso dos autores que a SOC Prime regularmente reconhece por suas submissões, por favor leia a entrevista perspicaz com Kyaw Pyiyt Htet reconhecido como um dos Top 20 contribuintes da SOC Prime.
Aprimore suas habilidades usando Uncoder AI como seu IDE para engenharia de detecção e monetize suas habilidades através de publicações na Plataforma SOC Prime com o Programa Threat Bounty.
