SOC Prime Threat Bounty Digest — Resultados de Março de 2024
Índice:
Publicações de Recompensas de Ameaças
Em março de 2024, 40 regras de detecção de ameaças foram publicadas com sucesso na Plataforma da SOC Prime através do Programa de Recompensa de Ameaças após a revisão de nosso Time de Conteúdo. Embora observemos uma melhoria geral na qualidade das submissões, também existem alguns equívocos típicos que podem ser reconhecidos nas abordagens de publicação de conteúdo por muitos autores. Hoje, gostaríamos de compartilhar essas informações com você, na esperança de que ajudem os contribuidores de conteúdo do Threat Bounty a obterem mais publicações bem-sucedidas.
Regras de detecção especificamente baseadas nos IOCs fornecidos em alguns blogs, artigos, newsletters, etc., não são as regras que a SOC Prime espera dos membros do Threat Bounty como contribuição para publicação. Quando se trata de engenharia de detecção de crowdsourcing, queremos ver mais conteúdo de ferramentas e regras de detecção relacionadas a aspectos de correlação de comportamentos específicos.
Para um início tranquilo com as publicações, nossa equipe recomenda que os membros do Programa sigam as diretrizes delineadas na FAQ do Programa de Recompensa de Ameaças seção do centro de ajuda da SOC Prime. Se você achar que também precisa de algumas diretrizes com uma abordagem prática, você é bem-vindo para assistir aos webinars da SOC Prime, especialmente aqueles focados em Sigma e Caça à Ameaças, e Programa de Recompensa de Ameaças.
Além disso, o próximo webinar, recentemente anunciado no Discord da SOC Prime, se concentrará nos desafios comuns daqueles que acabaram de começar a escrever regras para o Threat Bounty e fornecerá diretrizes para os autores interessados e motivados a melhorar sua taxa de aceitação e o número médio de publicações bem-sucedidas. Estamos abertos a perguntas, sugestões e histórias de experiência pessoal com as publicações do Threat Bounty – se você tiver algo para compartilhar, nos avise no Discord. Fique atento para mais atualizações sobre a data e hora do webinar.
Principais Regras de Detecção do Threat Bounty
As seguintes regras que foram publicadas na Plataforma SOC Prime através do Programa de Recompensa de Ameaças ganharam maior interesse entre os usuários da Plataforma durante março de 2024:
- Possível Implantação de Minerador de Criptomoedas com Comandos de Persistência no ScreenConnect Pós-Exploitation (CVE-2024-1709 e CVE-2024-1708) (via process_creation) – Regra Sigma de Caça à Ameaças por Davut Selcuk detecta a potencial implantação de miner minerador de criptomoedas e comandos de persistência durante atividades pós-exploração via ScreenConnect. Pode identificar sequências de comandos específicas envolvendo schtasks.exe criando tarefas agendadas contendo SentinelUI.exe.
- Detecção de Criação de Arquivo Suspeito Vinculado ao Grupo APT Water Hydra Explorando Vulnerabilidade Zero-Day do Microsoft Defender SmartScreen (CVE-2024-21412) (via file_event) – Regra Sigma de Caça à Ameaças por Davut Selcuk detecta a criação de arquivos suspeitos pelo grupo APT Water Hydra, que explora a vulnerabilidade do Microsoft Defender SmartScreen (CVE-2024-21412) em campanhas que visam traders do mercado financeiro.
- Atividade de Persistência Suspeita do Malware TinyTurla Por Grupo de Espionagem Russo via Linha de Comando Associada (via process_creation) – Regra Sigma de Caça à Ameaças por Mustafa Gurkan KARAKAYA detecta possível atividade de persistência do malware TinyTurla criando serviço associado através da adição de chave de registro.
- Possível Atividade de Persistência do Ransomware RA World Através da Criação de Serviço Suspeito (via security) – Regra Sigma de Caça à Ameaças por Mustafa Gurkan KARAKAYA detecta possível atividade de persistência do Ransomware RA World ao criar serviço associado.
- Possível Acesso Inicial por Exploração da Vulnerabilidade de Execução Remota de Código no Microsoft Outlook (MonikerLink) [CVE-2024-21413] – Regra Sigma de Caça à Ameaças por Kaan Yeniyol detecta possível execução remota de código e ataques de credenciais NTLM no Microsoft Outlook (CVE-2024-21413).
Principais Autores
Enquanto ainda estamos no processo de coletar e validar todas as informações necessárias para pagamentos de recompensas, gostaria ainda de compartilhar a lista dos cinco principais autores do Threat Bounty do mês. Durante março, os usuários do Marketplace de Detecção de Ameaças referiram-se mais às regras de detecção desses cinco autores, entre outros autores de regras de detecção do Threat Bounty:
Além disso, no início desta semana, cinco membros do Programa de Recompensa de Ameaças receberam distintivos de reconhecimento da SOC Prime como prova de suas contribuições valiosas e a conquista de dez publicações bem-sucedidas de suas regras de detecção de ameaças em 2024. Saiba mais sobre os distintivos de Recompensa de Ameaças e as premiações recentes neste artigo.
Convidamos pessoas habilidosas e motivadas que estão interessadas em desenvolver suas habilidades de engenharia de detecção e ganhar dinheiro com suas contribuições a se inscreverem para participar do Programa de Recompensa de Ameaças!
