Descubra o que há de novo no programa Threat Bounty da SOC Prime e os resultados de outubro.
Envios de Conteúdo do Threat Bounty
Estamos felizes que os autores das regras do Threat Bounty investem seu tempo em validar suas detecções com o Warden e pesquisando detecções existentes, o que os ajuda a evitar duplicidades enquanto criam e enviam regras para monetização. Em outubro, a equipe da SOC Prime recebeu 477 regras para verificação antes da publicação na Plataforma SOC Prime. Após a validação e avaliação padrão, 90 regras foram aprovadas para publicação.
O Programa Threat Bounty recebe novos autores de conteúdo entusiasmados atualmente, e convidamos todos eles a se juntarem ao servidor Discord da SOC Prime e aos canais privados dedicados para discussões sobre Threat Bounty. Além disso, para garantir que todos os novos membros estejam cientes dos critérios de aceitação de conteúdo e dos padrões da SOC Prime, encorajamos todos os autores a assistirem aos webinars da SOC Prime e a lerem nosso blog.
Principais Regras de Detecção do Threat Bounty
Essas detecções enviadas pelos membros do Threat Bounty foram as mais demandadas por organizações utilizando a Plataforma SOC Prime:
- Modificação Suspeita de Chave de Registro para Detecção de Ataque de Redefinição Rápida HTTP/2 (CVE-2023-44487) (via registro_event) regra Sigma de caça às ameaças por Davut Selcuk detecta atividade potencial de Ataque de Redefinição Rápida HTTP/2 relacionada ao CVE-2023-44487.
- Tentativa de Exploração Possível de CVE-2023-42793 (Acesso Não Autorizado que Leva a RCE no JetBrains TeamCity Server) (via proxy) regra Sigma de caça às ameaças por Aykut Gürses identifica possível tentativa de exploração de CVE-2023-42793 (Acesso Não Autorizado que Leva a RCE no JetBrains TeamCity Server), que pode ser parte de uma cadeia de TeamCity RCE. Baseado em POC disponível publicamente.
- Tentativa de Exploração Possível de CVE-2023-40044 (Falhas Críticas de RCE Pré-Autenticação no WS_FTP Server) (via proxy) regra Sigma de caça às ameaças por Aykut Gürses é baseado em POC disponível publicamente e identifica possíveis tentativas de exploração de CVE-2023-40044 (Falhas Críticas de RCE Pré-Autenticação no WS_FTP Server), que pode ser parte de uma cadeia de RCE do TeamCity.
- Atividade de Enumeração Suspeita Para Encontrar Usuários Habilitados Com a Função de Criptografia Reversível de Senha Associada ao Comando Powershell (via ps_script) regra Sigma de caça às ameaças por Mustafa Gurkan KARAKAYA detecta atividade de enumeração possível para descobrir usuário habilitado com a função de criptografia reversível de senha no Active Directory. Os invasores podem tentar identificar usuários com essa função e tentar obter suas informações de senha em texto simples.
- Tentativa de Exploração Possível de CVE-2023-40044 WS_FTP e Módulo IIS de Transferência Ad Hoc (via servidor web) regra Sigma de caça às ameaças por Sittikorn Sangrattanapitak detecta potenciais tentativas de exploração contra a vulnerabilidade de Execução Remota de Código (RCE) (CVE-2023-40044) no WS_FTP.
Principais Autores
Com base em como os usuários da Plataforma SOC Prime utilizaram o conteúdo de detecção disponível na Plataforma, as detecções destes autores foram as mais demandadas:
Você está curioso para publicar suas próprias detecções na Plataforma SOC Prime? Junte-se ao Programa Threat Bounty e ajude empresas em todo o mundo a resistirem a ameaças cibernéticas.
