Resumo do Programa de Recompensas por Ameaças — Resultados de Maio de 2024
Índice:
Publicações
Em maio, nossa equipe de verificação de conteúdo recebeu mais de 300 submissões para revisão. Após a revisão e, em alguns casos, revisões repetidas com pequenas correções no código, 59 novas regras de detecção de ameaças únicas foram Threat Bounty Program pelos autores de conteúdo foram publicadas com sucesso no Threat Detection Marketplace.
As submissões que foram recusadas não atenderam aos critérios de aceitação para publicação. Queremos lembrar a todos os membros do Threat Bounty Program que planejam ter seu conteúdo publicado na Plataforma SOC Prime para monetização que considerem os requisitos de conteúdo ao criar e enviar suas regras do Threat Bounty.
Regras de detecção que não podem ser efetivamente usadas para detecção de ameaças comportamentais em condições reais nos ambientes de produção das empresas não são aceitas para publicação pela SOC Prime. Para manter o nível de profissionalismo dos nossos autores ativos do Threat Bounty alinhado com a demanda real por algoritmos acionáveis de detecção de ameaças comportamentais, falamos sobre nossos padrões e tecnologias nos webinars e workshops da SOC Prime e recomendamos acompanhar nossas atividades para se manter atualizado e desenvolver suas habilidades e interesses profissionais de acordo.
Principais Regras de Detecção do Threat Bounty
Essas cinco regras de detecção publicadas por membros do Threat Bounty Program demonstraram a melhor correspondência para a demanda das organizações que usam a Plataforma SOC Prime para aprimorar suas operações de segurança:
Atividade Suspeita de Execução de Malware IcedID(aka Latrodectus [IceNova]) pela Detecção de Comandos Associados (via process_creation) – regra Sigma de caça a ameaças por Davut Selcuk visa identificar atividades suspeitas de execução relacionadas ao malware IcedID(aka Latrodectus [IceNova]) monitorando eventos de criação de processo.
Possível Atividade de Ransomware ShrinkLocker para Abusar do Microsoft Bitlocker Modificando a Chave de Registro Associada (via registry_event) – regra Sigma de caça a ameaças por Emre Ay detecta o comportamento do ransomware Shrinklocker que tenta modificar um valor de registro, permitindo que ele abuse do Microsoft Bitlocker.
Atividade Suspeita de Execução de Malware Latrodectus (IceNova) Detectada por rundll32.exe (via process_creation) – regra Sigma de caça a ameaças por Davut Selcuk que detecta atividades suspeitas de execução associadas ao malware Latrodectus (IceNova) utilizando rundll32.exe para execução.
Possível Atividade de Modificação de Chave de Registro do Ransomware ShrinkLocker para Abusar do Bitlocker (via registry_event) – regra Sigma de caça a ameaças por Emre Ay detecta a modificação suspeita da chave de registro associada realizada pelo ransomware ShrinkLocker para abusar do valor de registro relacionado ao BitLocker.
Atividade Suspeita de C2 Malicioso de ‘MuddyWater contra um alvo do Oriente Médio’ Pela Detecção de PowerShell CommandLine – regra Sigma de caça a ameaças por Aung Kyaw Min Naing. Esta regra detecta execução maliciosa de powershell pelo MuddyWater contra um alvo do Oriente Médio para abusar da chave de registro AutodialDLL e carrega DLL para o framework C2.
Principais Autores
Os seguintes colaboradores de regras de detecção de ameaças de crowdsourcing para o Threat Bounty Program alcançaram as posições de classificação mais altas por suas contribuições, com base em como suas detecções Threat Bounty foram usadas por organizações via Plataforma SOC Prime:
Dois autores de regras de detecção de Threat Bounty, Joseph Kamau and Bogac Kaya, alcançaram a marca de 10 publicações bem-sucedidas este ano e são reconhecidos como Trusted SOC Prime Contributors.
Próximas mudanças
As mudanças nas ferramentas do Threat Bounty Program que foram descritas nos digests Mensais anteriores entrarão no ar em breve. Nomeadamente, os membros do Threat Bounty Program começarão a usar o Uncoder AI para suas publicações Threat Bounty e acompanhamento de progresso. O Developer Portal, assim como o Sigma Rules Slack Bot, não serão mais suportados e não serão usados para o Threat Bounty Program. As diretrizes para o usuário estarão disponíveis no Help Center da SOC Prime e os membros do programa poderão experimentar a nova ferramenta para enviar suas detecções após o Uncoder AI estar pronto para uso com as regras do Threat Bounty. Fique atento aos nossos próximos anúncios sobre o Threat Bounty Program!
