SOC Prime Resumo de Ameaças e Recompensas — Resultados de Outubro de 2023

Descubra o que há de novo no programa Threat Bounty da SOC Prime e os resultados de outubro. 

Envios de Conteúdo do Threat Bounty

Estamos felizes que os autores das regras do Threat Bounty investem seu tempo em validar suas detecções com o Warden e pesquisando detecções existentes, o que os ajuda a evitar duplicidades enquanto criam e enviam regras para monetização. Em outubro, a equipe da SOC Prime recebeu 477 regras para verificação antes da publicação na Plataforma SOC Prime. Após a validação e avaliação padrão, 90 regras foram aprovadas para publicação.

Explore Detecções

O Programa Threat Bounty recebe novos autores de conteúdo entusiasmados atualmente, e convidamos todos eles a se juntarem ao servidor Discord da SOC Prime e aos canais privados dedicados para discussões sobre Threat Bounty. Além disso, para garantir que todos os novos membros estejam cientes dos critérios de aceitação de conteúdo e dos padrões da SOC Prime, encorajamos todos os autores a assistirem aos webinars da SOC Prime e a lerem nosso blog. 

Principais Regras de Detecção do Threat Bounty

Essas detecções enviadas pelos membros do Threat Bounty foram as mais demandadas por organizações utilizando a Plataforma SOC Prime:

1. Modificação Suspeita de Chave de Registro para Detecção de Ataque de Redefinição Rápida HTTP/2 (CVE-2023-44487) (via registro_event) regra Sigma de caça às ameaças por Davut Selcuk detecta atividade potencial de Ataque de Redefinição Rápida HTTP/2 relacionada ao CVE-2023-44487.
2. Tentativa de Exploração Possível de CVE-2023-42793 (Acesso Não Autorizado que Leva a RCE no JetBrains TeamCity Server) (via proxy) regra Sigma de caça às ameaças por Aykut Gürses identifica possível tentativa de exploração de CVE-2023-42793 (Acesso Não Autorizado que Leva a RCE no JetBrains TeamCity Server), que pode ser parte de uma cadeia de TeamCity RCE. Baseado em POC disponível publicamente.
3. Tentativa de Exploração Possível de CVE-2023-40044 (Falhas Críticas de RCE Pré-Autenticação no WS_FTP Server) (via proxy) regra Sigma de caça às ameaças por Aykut Gürses é baseado em POC disponível publicamente e identifica possíveis tentativas de exploração de CVE-2023-40044 (Falhas Críticas de RCE Pré-Autenticação no WS_FTP Server), que pode ser parte de uma cadeia de RCE do TeamCity. 
4. Atividade de Enumeração Suspeita Para Encontrar Usuários Habilitados Com a Função de Criptografia Reversível de Senha Associada ao Comando Powershell (via ps_script) regra Sigma de caça às ameaças por Mustafa Gurkan KARAKAYA detecta atividade de enumeração possível para descobrir usuário habilitado com a função de criptografia reversível de senha no Active Directory. Os invasores podem tentar identificar usuários com essa função e tentar obter suas informações de senha em texto simples.
5. Tentativa de Exploração Possível de CVE-2023-40044 WS_FTP e Módulo IIS de Transferência Ad Hoc (via servidor web) regra Sigma de caça às ameaças por Sittikorn Sangrattanapitak detecta potenciais tentativas de exploração contra a vulnerabilidade de Execução Remota de Código (RCE) (CVE-2023-40044) no WS_FTP.

Principais Autores

Com base em como os usuários da Plataforma SOC Prime utilizaram o conteúdo de detecção disponível na Plataforma, as detecções destes autores foram as mais demandadas:

Sittikorn Sangrattanapitak

Nattatorn Chuensangarun

Osman Demir

Mustafa Gurkan KARAKAYA

Emir Erdogan

Você está curioso para publicar suas próprias detecções na Plataforma SOC Prime? Junte-se ao Programa Threat Bounty e ajude empresas em todo o mundo a resistirem a ameaças cibernéticas.