Resumo do SOC Prime Threat Bounty — Resultados de Setembro de 2024
Índice:
Criação, Envio e Lançamento de Conteúdo de Detecção
Em setembro, o Programa de Recompensa por Ameaças experimentou um crescimento significativo, com mais envios de regras de detecção para verificação e um maior número de lançamentos bem-sucedidos das regras de Recompensa por Ameaças na Plataforma SOC Prime. Continuamos comprometidos em garantir que todos os membros do Programa de Recompensa por Ameaças aproveitem ao máximo o acesso ao Uncoder AI para monetizar suas habilidades de engenharia de detecção com a SOC Prime.
Enquanto apreciamos os esforços de todos os autores das regras de detecção de ameaças, é importante enfatizar que apenas as regras que passam pela verificação podem ser publicadas. Reconhecemos que alguns membros do Programa podem achar um pouco desafiador adaptar sua experiência com consultas específicas de SIEM para regras de detecção que atendam aos nossos requisitos, como lógica de detecção complexa e foco nos indicadores de ataque, não nos indicadores de compromisso de baixo nível. No entanto, esse desafio impulsiona o avanço profissional dos membros do Programa de Recompensa por Ameaças e melhora a eficácia dos nossos esforços coletivos de detecção de ameaças.
À medida que o Programa de Recompensa por Ameaças continua a crescer, estamos entusiasmados em reconhecer os membros do Programa que utilizam habilmente o Uncoder AI. Esses indivíduos não apenas estão aprimorando suas próprias capacidades, mas também se destacando no mercado de trabalho, demonstrando proficiência no uso da tecnologia e metodologia que tornam a engenharia de detecção mais eficiente.
Principais Regras de Setembro pelos Autores do Programa de Recompensa por Ameaças
Detecção de Execução Comum de RAT (Ferramentas de Administração Remota)—Regra Sigma por Emanuele De Lucia. Esta regra detecta a execução dos RATs mais populares (via process_creation).
Possível Execução de Malware Hadooken ao Lançar Payload para Implantar Malware Cryptominer Alvos Aplicações Weblogic [Linux] (via file_event) by Nattatorn Chuensangarun. Esta regra Sigma detecta atividade suspeita do Malware Hadooken ao implantar um payload elf malicioso para implantar Malware Cryptominer.
Configuração Suspeita de IIS (Serviços de Informação da Internet) da Microsoft vinculada a Campanha de Manipulação de SEO—Regra Sigma de Recompensa por Ameaças por Joseph Kamau. Esta regra detecta alterações em uma configuração no II, que permite a implantação bem-sucedida do malware BadIIS em um servidor comprometido de IIS devido às deficiências do malware (não pode comprimir a saída dos scripts), como visto na campanha DragonRank SEO.
Detecção de Execução de Proxy Binário Assinado Ligada ao Malware Latrodectus (via CmdLine)—regra Sigma de caça a ameaças por Kyaw Pyiyt Htet. A regra detecta a execução de um proxy binário assinado associado ao malware Latrodectus, comumente distribuído através de campanhas de spam por e-mail.
Configuração Suspeita de Métodos Fracos de Mapeamento de Certificados SChannel (via evento de registro)—regra Sigma de caça a ameaças por Sittikorn Sangrattanapitak. De acordo com o autor, esta regra detecta configurações fracas de mapeamento de certificado através de alterações no registro. Quando uma aplicação de servidor requer autenticação de cliente, o SChannel tenta automaticamente mapear o certificado do cliente para uma conta de usuário correspondente. Isso permite a autenticação do usuário através de certificados de cliente ao criar mapeamentos que vinculam as informações do certificado a uma conta de usuário do Windows.
Autores de Recompensa por Ameaça: TOP 5 de Setembro
Nos destaques de setembro, orgulhosamente reconhecemos os cinco principais membros do Programa de Recompensa por Ameaças, cujas contribuições para a Plataforma SOC Prime demonstraram desempenho excepcional. Suas regras de detecção não apenas se destacam pela qualidade, mas também refletem a confiança depositada nos engenheiros de detecção e crowdsourcing pelas organizações que utilizam a Plataforma SOC Prime.
Nattatorn Chuensangarun que também alcançou a marca de 50 regras lançadas em 2024 e recebeu uma credencial digital como Contribuidor Excelente
Incentivamos todos os membros do Programa de Recompensa por Ameaças a continuarem refinando suas regras de detecção e a se envolverem com a comunidade no servidor do Discord da SOC Prime. Suas contribuições e aprimoramento de habilidades são vitais para aumentar nossos esforços coletivos de defesa cibernética. Fique atento para mais atualizações e oportunidades no Programa de Recompensa por Ameaças, e lembre-se, cada regra que você cria é um passo em direção à sua excelência.
