home.social

#malware_analysis — Public Fediverse posts

Live and recent posts from across the Fediverse tagged #malware_analysis, aggregated by home.social.

  1. hasamba @[email protected] ·

    ----------------

    🛠️ Tool
    ===================

    Opening: FLARE Learning Hub is a curated collection of reverse-engineering and malware-analysis training materials published by the FLARE team (Google Cloud). The repository aggregates web-published module documents plus all associated artifacts: lab binaries, disassembler databases, and analysis scripts.

    Key Features:
    • Modular training content covering foundational and intermediate topics, including the Malware Analysis Crash Course, The Go Reverse Engineering Reference, and An Introduction to Time Travel Debugging.
    • Hands-on artifacts that accompany each module: instructor solutions, sample binaries for analysis, and disassembler database files to accelerate manual reverse engineering.
    • Platform constraints documented in the repo: exercises target Intel x86-64 Windows samples, and password-protected ZIPs use the password flare.

    Technical Implementation:
    • Documentation hosting: Module narratives and step-through labs are published as web-accessible Google Docs and mirrored in the repository as supporting artifacts.
    • Artifact types: Provided files include native Windows binaries, IDA/other disassembler databases, and automation/analysis scripts. The material is designed to be consumed in an isolated analysis environment.

    Use Cases:
    • Skill development for reverse engineers who need structured, exercise-driven practice in Windows assembly, binary analysis, and Go executable reverse engineering.
    • Reference material for instructors assembling hands-on malware analysis curricula or labs.

    Limitations and Considerations:
    • Scope limitation: All modules currently target Intel x86-64 Windows environments; non‑Intel or non‑Windows targets are not covered.
    • Operational risk: Distributed binaries may trigger AV or sandbox detections; the repository explicitly disclaims responsibility for executing artifacts outside secured, isolated VMs.
    • Access notes: Google Docs serve as the primary lesson pages while the GitHub repo stores artifacts — no single bundled install or tooling is provided.

    Conclusion: FLARE Learning Hub provides a practical, artifact-backed curriculum for hands-on reverse-engineering training. The combination of structured modules and raw analysis artifacts makes it especially relevant for practitioners seeking repeatable lab practice without curated commercial tooling.

    🔹 tool #bookmark #malware_analysis #reverse_engineering #FLARE

    🔗 Source: github.com/mandiant/flare-lear

    #flare #reverse_engineering #malware_analysis #bookmark
  2. Habr @[email protected] ·

    Охота на Emmenhtal: как мы восстановили полную kill chain банковского трояна с переформатированного диска

    Разбираем реальный IR-кейс: ClickFix → Emmenhtal Loader → банковский троян с Telegram C2. Форензик переформатированного диска на 930 ГБ, VDM-дисамбигуация ложноположительных и восстановление артефактов из hibernation-файла.

    habr.com/ru/articles/1021698/

    #DFIR #форензика #malware_analysis #банковский_троян #Emmenhtal #ClickFix #threat_hunting #YARA #fileless_malware #incident_response

    #incident_response #fileless_malware #yara #threat_hunting #clickfix #emmenhtal
  3. Habr @[email protected] ·

    Охота на Emmenhtal: как мы восстановили полную kill chain банковского трояна с переформатированного диска

    Разбираем реальный IR-кейс: ClickFix → Emmenhtal Loader → банковский троян с Telegram C2. Форензик переформатированного диска на 930 ГБ, VDM-дисамбигуация ложноположительных и восстановление артефактов из hibernation-файла.

    habr.com/ru/articles/1021698/

    #DFIR #форензика #malware_analysis #банковский_троян #Emmenhtal #ClickFix #threat_hunting #YARA #fileless_malware #incident_response

    #incident_response #fileless_malware #yara #threat_hunting #clickfix #emmenhtal
  4. Habr @[email protected] ·

    Охота на Emmenhtal: как мы восстановили полную kill chain банковского трояна с переформатированного диска

    Разбираем реальный IR-кейс: ClickFix → Emmenhtal Loader → банковский троян с Telegram C2. Форензик переформатированного диска на 930 ГБ, VDM-дисамбигуация ложноположительных и восстановление артефактов из hibernation-файла.

    habr.com/ru/articles/1021698/

    #DFIR #форензика #malware_analysis #банковский_троян #Emmenhtal #ClickFix #threat_hunting #YARA #fileless_malware #incident_response

    #incident_response #fileless_malware #yara #threat_hunting #clickfix #emmenhtal
  5. Habr @[email protected] ·

    Охота на Emmenhtal: как мы восстановили полную kill chain банковского трояна с переформатированного диска

    Разбираем реальный IR-кейс: ClickFix → Emmenhtal Loader → банковский троян с Telegram C2. Форензик переформатированного диска на 930 ГБ, VDM-дисамбигуация ложноположительных и восстановление артефактов из hibernation-файла.

    habr.com/ru/articles/1021698/

    #DFIR #форензика #malware_analysis #банковский_троян #Emmenhtal #ClickFix #threat_hunting #YARA #fileless_malware #incident_response

    #dfir #форензика #malware_analysis #банковский_троян #emmenhtal #clickfix
  6. hasamba @[email protected] ·

    ----------------

    🛠️ Tool: REMnux OpenClaw Malware Triage Skill
    ===================

    Summary

    This OpenClaw skill for REMnux provides a triage-first workflow focused on rapid identification of the true malware payload, extraction of observed IOCs, and hunting for associated network/backend infrastructure. The design is explicitly opinionated toward fast responder outcomes rather than exhaustive reversing by default.

    Core capabilities
    • Real payload identification: inventories archives/installers/wrappers and selects the highest-risk child object as the primary analysis target.
    • Focused IOC extraction: separates observed IOCs from inferred artifacts and normalizes output for responder use.
    • Infrastructure hunting: highlights network/back-end indicators discovered in static artifacts and first-pass dynamic traces.
    • Controlled escalation: applies strict first-pass budgets and escalates to deeper static or dynamic reversing only when justified.

    Workflow

    The skill accepts a single primary artifact (file path, hash, or chat attachment), detects wrappers and multipart archives, and prioritizes the child object most likely to contain the actionable payload. It performs a 2–4 step first-pass triage that balances evidence preservation with rapid insight generation, and writes concise markdown triage reports to disk for analyst consumption.

    Inputs and outputs

    Inputs supported include absolute file paths, archives, hashes, and chat attachments. Outputs include a short chat summary, a normalized IOC section, and a markdown triage report, plus optional follow-on deeper reports if escalation criteria are met.

    Operational considerations and limitations

    The skill is not intended as a full reverse-engineering pipeline; it is optimized for incident responders who need high-signal answers quickly. It emphasizes evidence-first findings and avoids speculative conclusions. Implementation details (deployment or run instructions) are intentionally out-of-scope for the skill description.

    Conclusion

    For IR teams leveraging REMnux and OpenClaw, this skill formalizes a triage-first approach: prioritize payload discovery, extract high-value IOCs, and hunt infrastructure while limiting unnecessary deep analysis.

    🔹 REMnux #OpenClaw #malware_analysis #IOCs #IR

    🔗 Source: github.com/ionsec/remnux-malwa

    #ir #iocs #malware_analysis #openclaw
  7. hasamba @[email protected] ·

    ----------------

    🛠️ Tool
    ===================

    Executive summary
    OpenAI has rebranded its GPT-5-powered vulnerability scanner Aardvark as Codex Security and introduced a dedicated malware analysis pipeline. The new Malware tab accepts .zip bundles up to 200MB, stages samples in an internal system called Sediment, and produces structured analysis artifacts including verdicts, SHA256 hashes, extracted files, runtime metrics, and downloadable artifact bundles.

    Key features
    • Purpose-built malware workflow with a two-step process: staging in Sediment followed by job-driven analysis and a SOC-style dashboard.
    • Existing code-security features retained: repository scanning with a reported 92% detection rate, commit-level threat modeling, sandbox validation, and Codex-powered patch generation.
    • Job visibility: filtering by filename/hash, status categories (Active, Succeeded, Failed), average runtime tracking, and per-job artifact bundles.

    Technical implementation (as reported)
    • Staging layer named Sediment appears to be a centralized orchestration and analysis environment; OpenAI has not published architecture or operational details.
    • The product previously used GPT-5 capabilities for static reasoning and sandbox-driven validation; it is unclear whether the malware pipeline relies on GPT-5.3-Codex, a specialized model, or a hybrid LLM plus conventional static/dynamic analysis stack.

    Use cases
    • Security teams seeking integrated code-vulnerability scanning and malware triage within a single interface.
    • SOC analysts needing rapid artifact extraction, hash-based tracking, and structured verdicts for incident tracking.

    Limitations and unknowns
    • Access model is unspecified: private beta, Pro-tier, or restricted via Trusted Access for Cyber remains unclear.
    • Underlying analysis engines, model variants, and isolation guarantees for handling malicious binaries have not been disclosed.
    • No formal documentation or published detection performance metrics for the malware pipeline yet; prior 92% detection rate applies to repository code scanning benchmarks.

    References / artifacts reported
    • SHA256 hashes and downloadable artifact bundles are part of the job output.
    • Backend reference: Sediment (staging/analysis engine).

    🔹 Codex_Security #malware_analysis #tool #AIsec #Sediment

    🔗 Source: awesomeagents.ai/news/openai-c

    #sediment #aisec #tool #malware_analysis
  8. Habr @[email protected] ·

    Как я построил полностью изолированную пентест-лабораторию и почему ИИ нельзя доверять

    Как я построил полностью изолированную пентест-лабораторию и почему ИИ нельзя доверять Уже месяц я изучаю создание пентест-инструментов (назовем это так, чтобы с модерацией проблем не было :-)) по книге "Black Hat Go", и до недавних пор я тестировал малварь на своём хосте, ибо в них нет ничего опасного, это простейшие утилиты по типу TCP-сканера. Значит, нужно построить свою виртуальную и изолированную лабу. В них должно быть минимум 3 машины: Windows 11 в роли жертвы, Ubuntu server lts в роли C2 сервака, и, конечно, классический Metasploitable2 опять же в роли жертвы. Читать, как я мучился последние 3 дня

    habr.com/ru/articles/973434/

    #изолированная_пентестлаборатория #malware_analysis #pfsense #виртуальная_сеть #виртуализация_KVM #libvirt #сетевой_изолятор #сетевые_правила_firewall #изоляция_трафика #информационная_безопасность

    #информационная_безопасность #изоляция_трафика #сетевые_правила_firewall #сетевой_изолятор #libvirt #виртуализация_kvm
  9. Habr @[email protected] ·

    Как я построил полностью изолированную пентест-лабораторию и почему ИИ нельзя доверять

    Как я построил полностью изолированную пентест-лабораторию и почему ИИ нельзя доверять Уже месяц я изучаю создание пентест-инструментов (назовем это так, чтобы с модерацией проблем не было :-)) по книге "Black Hat Go", и до недавних пор я тестировал малварь на своём хосте, ибо в них нет ничего опасного, это простейшие утилиты по типу TCP-сканера. Значит, нужно построить свою виртуальную и изолированную лабу. В них должно быть минимум 3 машины: Windows 11 в роли жертвы, Ubuntu server lts в роли C2 сервака, и, конечно, классический Metasploitable2 опять же в роли жертвы. Читать, как я мучился последние 3 дня

    habr.com/ru/articles/973434/

    #изолированная_пентестлаборатория #malware_analysis #pfsense #виртуальная_сеть #виртуализация_KVM #libvirt #сетевой_изолятор #сетевые_правила_firewall #изоляция_трафика #информационная_безопасность

    #информационная_безопасность #изоляция_трафика #сетевые_правила_firewall #сетевой_изолятор #libvirt #виртуализация_kvm
  10. Habr @[email protected] ·

    Как я построил полностью изолированную пентест-лабораторию и почему ИИ нельзя доверять

    Как я построил полностью изолированную пентест-лабораторию и почему ИИ нельзя доверять Уже месяц я изучаю создание пентест-инструментов (назовем это так, чтобы с модерацией проблем не было :-)) по книге "Black Hat Go", и до недавних пор я тестировал малварь на своём хосте, ибо в них нет ничего опасного, это простейшие утилиты по типу TCP-сканера. Значит, нужно построить свою виртуальную и изолированную лабу. В них должно быть минимум 3 машины: Windows 11 в роли жертвы, Ubuntu server lts в роли C2 сервака, и, конечно, классический Metasploitable2 опять же в роли жертвы. Читать, как я мучился последние 3 дня

    habr.com/ru/articles/973434/

    #изолированная_пентестлаборатория #malware_analysis #pfsense #виртуальная_сеть #виртуализация_KVM #libvirt #сетевой_изолятор #сетевые_правила_firewall #изоляция_трафика #информационная_безопасность

    #информационная_безопасность #изоляция_трафика #сетевые_правила_firewall #сетевой_изолятор #libvirt #виртуализация_kvm
  11. Habr @[email protected] ·

    Как я построил полностью изолированную пентест-лабораторию и почему ИИ нельзя доверять

    Как я построил полностью изолированную пентест-лабораторию и почему ИИ нельзя доверять Уже месяц я изучаю создание пентест-инструментов (назовем это так, чтобы с модерацией проблем не было :-)) по книге "Black Hat Go", и до недавних пор я тестировал малварь на своём хосте, ибо в них нет ничего опасного, это простейшие утилиты по типу TCP-сканера. Значит, нужно построить свою виртуальную и изолированную лабу. В них должно быть минимум 3 машины: Windows 11 в роли жертвы, Ubuntu server lts в роли C2 сервака, и, конечно, классический Metasploitable2 опять же в роли жертвы. Читать, как я мучился последние 3 дня

    habr.com/ru/articles/973434/

    #изолированная_пентестлаборатория #malware_analysis #pfsense #виртуальная_сеть #виртуализация_KVM #libvirt #сетевой_изолятор #сетевые_правила_firewall #изоляция_трафика #информационная_безопасность

    #изолированная_пентестлаборатория #malware_analysis #pfsense #виртуальная_сеть #виртуализация_kvm #libvirt
  12. Habr @[email protected] ·

    Living off the Land: Как легитимные утилиты стали оружием в руках хакеров на примере Rare Werewolf

    В мире кибербезопасности уже не первый год набирает популярность тактика «Living off the Land» (LOTL) — «живущие за счёт земли». Её суть заключается в том, чтобы максимально использовать легитимное программное обеспечение и встроенные функции операционной системы для достижения злонамеренных целей. Это позволяет злоумышленникам эффективно маскироваться на заражённой системе, ведь активность программ вроде curl.exe, AnyDesk.exe или установщика WinRAR редко вызывает подозрения у рядовых пользователей и даже у некоторых систем защиты. Давайте детально разберём один из ярких примеров использования этой тактики, чтобы наглядно увидеть, как безобидные, на первый взгляд, программы могут быть превращены в мощное оружие для целевой атаки. Всем привет! Меня зовут Александр, я вирусный аналитик и реверс-инженер. Подписывайтесь на мой тг-канал - там много полезного контента. Поднять занавес атаки

    habr.com/ru/articles/967934/

    #анализ_вредоносов #реверсинжиниринг #Librarian_Ghouls #Rare_Werewolf #living_off_the_land #lotl #malware_analysis #троян #стилер #упаковщик

    #анализ_вредоносов #реверсинжиниринг #librarian_ghouls #rare_werewolf #living_off_the_land #lotl
  13. Habr @[email protected] ·

    Living off the Land: Как легитимные утилиты стали оружием в руках хакеров на примере Rare Werewolf

    В мире кибербезопасности уже не первый год набирает популярность тактика «Living off the Land» (LOTL) — «живущие за счёт земли». Её суть заключается в том, чтобы максимально использовать легитимное программное обеспечение и встроенные функции операционной системы для достижения злонамеренных целей. Это позволяет злоумышленникам эффективно маскироваться на заражённой системе, ведь активность программ вроде curl.exe, AnyDesk.exe или установщика WinRAR редко вызывает подозрения у рядовых пользователей и даже у некоторых систем защиты. Давайте детально разберём один из ярких примеров использования этой тактики, чтобы наглядно увидеть, как безобидные, на первый взгляд, программы могут быть превращены в мощное оружие для целевой атаки. Всем привет! Меня зовут Александр, я вирусный аналитик и реверс-инженер. Подписывайтесь на мой тг-канал - там много полезного контента. Поднять занавес атаки

    habr.com/ru/articles/967934/

    #анализ_вредоносов #реверсинжиниринг #Librarian_Ghouls #Rare_Werewolf #living_off_the_land #lotl #malware_analysis #троян #стилер #упаковщик

    #анализ_вредоносов #реверсинжиниринг #librarian_ghouls #rare_werewolf #living_off_the_land #lotl
  14. Habr @[email protected] ·

    Living off the Land: Как легитимные утилиты стали оружием в руках хакеров на примере Rare Werewolf

    В мире кибербезопасности уже не первый год набирает популярность тактика «Living off the Land» (LOTL) — «живущие за счёт земли». Её суть заключается в том, чтобы максимально использовать легитимное программное обеспечение и встроенные функции операционной системы для достижения злонамеренных целей. Это позволяет злоумышленникам эффективно маскироваться на заражённой системе, ведь активность программ вроде curl.exe, AnyDesk.exe или установщика WinRAR редко вызывает подозрения у рядовых пользователей и даже у некоторых систем защиты. Давайте детально разберём один из ярких примеров использования этой тактики, чтобы наглядно увидеть, как безобидные, на первый взгляд, программы могут быть превращены в мощное оружие для целевой атаки. Всем привет! Меня зовут Александр, я вирусный аналитик и реверс-инженер. Подписывайтесь на мой тг-канал - там много полезного контента. Поднять занавес атаки

    habr.com/ru/articles/967934/

    #анализ_вредоносов #реверсинжиниринг #Librarian_Ghouls #Rare_Werewolf #living_off_the_land #lotl #malware_analysis #троян #стилер #упаковщик

    #анализ_вредоносов #реверсинжиниринг #librarian_ghouls #rare_werewolf #living_off_the_land #lotl
  15. Habr @[email protected] ·

    Living off the Land: Как легитимные утилиты стали оружием в руках хакеров на примере Rare Werewolf

    В мире кибербезопасности уже не первый год набирает популярность тактика «Living off the Land» (LOTL) — «живущие за счёт земли». Её суть заключается в том, чтобы максимально использовать легитимное программное обеспечение и встроенные функции операционной системы для достижения злонамеренных целей. Это позволяет злоумышленникам эффективно маскироваться на заражённой системе, ведь активность программ вроде curl.exe, AnyDesk.exe или установщика WinRAR редко вызывает подозрения у рядовых пользователей и даже у некоторых систем защиты. Давайте детально разберём один из ярких примеров использования этой тактики, чтобы наглядно увидеть, как безобидные, на первый взгляд, программы могут быть превращены в мощное оружие для целевой атаки. Всем привет! Меня зовут Александр, я вирусный аналитик и реверс-инженер. Подписывайтесь на мой тг-канал - там много полезного контента. Поднять занавес атаки

    habr.com/ru/articles/967934/

    #анализ_вредоносов #реверсинжиниринг #Librarian_Ghouls #Rare_Werewolf #living_off_the_land #lotl #malware_analysis #троян #стилер #упаковщик

    #упаковщик #стилер #троян #malware_analysis #lotl #living_off_the_land
  16. Habr @[email protected] ·

    Без дизассемблера: как предварительный анализ документа GOFFEE раскрыл всю цепочку заражения

    Всем привет! Киберугрозы постоянно эволюционируют, и для эффективного противодействия важно понимать тактики и инструменты злоумышленников. Группировка GOFFEE, также известная как Paper Werewolf, представляет собой яркий пример такой угрозы. В этом материале мы разберем один из вредоносных документов этой группировки без применения глубоких знаний в реверс-инжиниринге и убедимся, что большую часть цепочки заражения можно восстановить, не прибегая к сложным инструментам вроде дизассемблера или отладчика. Перейти к разбору

    habr.com/ru/articles/965970/

    #goffee #powermodul #malware_analysis

    #malware_analysis #powermodul #goffee
  17. Habr @[email protected] ·

    Без дизассемблера: как предварительный анализ документа GOFFEE раскрыл всю цепочку заражения

    Всем привет! Киберугрозы постоянно эволюционируют, и для эффективного противодействия важно понимать тактики и инструменты злоумышленников. Группировка GOFFEE, также известная как Paper Werewolf, представляет собой яркий пример такой угрозы. В этом материале мы разберем один из вредоносных документов этой группировки без применения глубоких знаний в реверс-инжиниринге и убедимся, что большую часть цепочки заражения можно восстановить, не прибегая к сложным инструментам вроде дизассемблера или отладчика. Перейти к разбору

    habr.com/ru/articles/965970/

    #goffee #powermodul #malware_analysis

    #malware_analysis #powermodul #goffee
  18. Habr @[email protected] ·

    Без дизассемблера: как предварительный анализ документа GOFFEE раскрыл всю цепочку заражения

    Всем привет! Киберугрозы постоянно эволюционируют, и для эффективного противодействия важно понимать тактики и инструменты злоумышленников. Группировка GOFFEE, также известная как Paper Werewolf, представляет собой яркий пример такой угрозы. В этом материале мы разберем один из вредоносных документов этой группировки без применения глубоких знаний в реверс-инжиниринге и убедимся, что большую часть цепочки заражения можно восстановить, не прибегая к сложным инструментам вроде дизассемблера или отладчика. Перейти к разбору

    habr.com/ru/articles/965970/

    #goffee #powermodul #malware_analysis

    #malware_analysis #powermodul #goffee
  19. Habr @[email protected] ·

    Без дизассемблера: как предварительный анализ документа GOFFEE раскрыл всю цепочку заражения

    Всем привет! Киберугрозы постоянно эволюционируют, и для эффективного противодействия важно понимать тактики и инструменты злоумышленников. Группировка GOFFEE, также известная как Paper Werewolf, представляет собой яркий пример такой угрозы. В этом материале мы разберем один из вредоносных документов этой группировки без применения глубоких знаний в реверс-инжиниринге и убедимся, что большую часть цепочки заражения можно восстановить, не прибегая к сложным инструментам вроде дизассемблера или отладчика. Перейти к разбору

    habr.com/ru/articles/965970/

    #goffee #powermodul #malware_analysis

    #goffee #powermodul #malware_analysis
  20. Habr @[email protected] ·

    Остерегайтесь «песочных террористов»

    Представьте: вы разработчик коммерческого ПО. В один прекрасный день пользователи начинают сообщать, что популярный блокировщик uBlock Origin не дает скачать ваш продукт. Никакой рекламы или сторонних баннеров в приложении нет и никогда не было. Невозможно? Вчера мы столкнулись именно с такой целенаправленной атакой на репутацию. Под катом — интриги, расследование, анатомия атаки и выводы, которые могут спасти и ваш проект. больше чернухи

    habr.com/ru/articles/917702/

    #anyrun #антивирус #spamhaus #динамический_анализ_кода #песочница #malware #malware_analysis #атака_на_репутацию #antivirus

    #antivirus #атака_на_репутацию #malware_analysis #malware #песочница #динамический_анализ_кода
  21. Habr @[email protected] ·

    Остерегайтесь «песочных террористов»

    Представьте: вы разработчик коммерческого ПО. В один прекрасный день пользователи начинают сообщать, что популярный блокировщик uBlock Origin не дает скачать ваш продукт. Никакой рекламы или сторонних баннеров в приложении нет и никогда не было. Невозможно? Вчера мы столкнулись именно с такой целенаправленной атакой на репутацию. Под катом — интриги, расследование, анатомия атаки и выводы, которые могут спасти и ваш проект. больше чернухи

    habr.com/ru/articles/917702/

    #anyrun #антивирус #spamhaus #динамический_анализ_кода #песочница #malware #malware_analysis #атака_на_репутацию #antivirus

    #antivirus #атака_на_репутацию #malware_analysis #malware #песочница #динамический_анализ_кода
  22. Habr @[email protected] ·

    Остерегайтесь «песочных террористов»

    Представьте: вы разработчик коммерческого ПО. В один прекрасный день пользователи начинают сообщать, что популярный блокировщик uBlock Origin не дает скачать ваш продукт. Никакой рекламы или сторонних баннеров в приложении нет и никогда не было. Невозможно? Вчера мы столкнулись именно с такой целенаправленной атакой на репутацию. Под катом — интриги, расследование, анатомия атаки и выводы, которые могут спасти и ваш проект. больше чернухи

    habr.com/ru/articles/917702/

    #anyrun #антивирус #spamhaus #динамический_анализ_кода #песочница #malware #malware_analysis #атака_на_репутацию #antivirus

    #antivirus #атака_на_репутацию #malware_analysis #malware #песочница #динамический_анализ_кода
  23. Habr @[email protected] ·

    Остерегайтесь «песочных террористов»

    Представьте: вы разработчик коммерческого ПО. В один прекрасный день пользователи начинают сообщать, что популярный блокировщик uBlock Origin не дает скачать ваш продукт. Никакой рекламы или сторонних баннеров в приложении нет и никогда не было. Невозможно? Вчера мы столкнулись именно с такой целенаправленной атакой на репутацию. Под катом — интриги, расследование, анатомия атаки и выводы, которые могут спасти и ваш проект. больше чернухи

    habr.com/ru/articles/917702/

    #anyrun #антивирус #spamhaus #динамический_анализ_кода #песочница #malware #malware_analysis #атака_на_репутацию #antivirus

    #anyrun #антивирус #spamhaus #динамический_анализ_кода #песочница #malware
  24. Habr @[email protected] ·

    «Волки надели кольца» — разбор способа доставки бэкдора RingSpy и варианты его детектирования

    Привет, Хабр! Меня зовут Илья Ефимов, я аналитик-исследователь угроз кибербезопасности в компании R-Vision. Сегодня я расскажу про вредоносное ПО RingSpy, которое использует группировка Mysterious Werewolf. В этой статье мы подробно разберём один из способов его установки на компьютер жертвы. RingSpy — это программа для удаленного доступа, которая позволяет скачивать файлы и выполнять различные команды атакующих (С2). Она пришла на смену другому инструменту — агенту Athena фреймворка Mythic. RingSpy управляется через бот в мессенджере Telegram , что делает его идеальным для скрытой атаки и контроля над скомпрометированными системами. А основной «фишкой» способа доставки бэкдора стала эксплуатация уязвимости CVE‑2023‑38831 в WinRAR. Наши коллеги уже подготовили отчет о функционале этого бэкдора. Я же хочу разобрать один из способов его внедрения в скомпрометированную систему и рассмотреть, как его можно обнаружить с помощью R-Vision SIEM. Поймать волка

    habr.com/ru/companies/rvision/

    #siem #malware #malware_analysis #correlation #correlation_rule

    #siem #malware #malware_analysis #correlation #correlation_rule
  25. Habr @[email protected] ·

    «Волки надели кольца» — разбор способа доставки бэкдора RingSpy и варианты его детектирования

    Привет, Хабр! Меня зовут Илья Ефимов, я аналитик-исследователь угроз кибербезопасности в компании R-Vision. Сегодня я расскажу про вредоносное ПО RingSpy, которое использует группировка Mysterious Werewolf. В этой статье мы подробно разберём один из способов его установки на компьютер жертвы. RingSpy — это программа для удаленного доступа, которая позволяет скачивать файлы и выполнять различные команды атакующих (С2). Она пришла на смену другому инструменту — агенту Athena фреймворка Mythic. RingSpy управляется через бот в мессенджере Telegram , что делает его идеальным для скрытой атаки и контроля над скомпрометированными системами. А основной «фишкой» способа доставки бэкдора стала эксплуатация уязвимости CVE‑2023‑38831 в WinRAR. Наши коллеги уже подготовили отчет о функционале этого бэкдора. Я же хочу разобрать один из способов его внедрения в скомпрометированную систему и рассмотреть, как его можно обнаружить с помощью R-Vision SIEM. Поймать волка

    habr.com/ru/companies/rvision/

    #siem #malware #malware_analysis #correlation #correlation_rule

    #siem #malware #malware_analysis #correlation #correlation_rule
  26. Habr @[email protected] ·

    «Волки надели кольца» — разбор способа доставки бэкдора RingSpy и варианты его детектирования

    Привет, Хабр! Меня зовут Илья Ефимов, я аналитик-исследователь угроз кибербезопасности в компании R-Vision. Сегодня я расскажу про вредоносное ПО RingSpy, которое использует группировка Mysterious Werewolf. В этой статье мы подробно разберём один из способов его установки на компьютер жертвы. RingSpy — это программа для удаленного доступа, которая позволяет скачивать файлы и выполнять различные команды атакующих (С2). Она пришла на смену другому инструменту — агенту Athena фреймворка Mythic. RingSpy управляется через бот в мессенджере Telegram , что делает его идеальным для скрытой атаки и контроля над скомпрометированными системами. А основной «фишкой» способа доставки бэкдора стала эксплуатация уязвимости CVE‑2023‑38831 в WinRAR. Наши коллеги уже подготовили отчет о функционале этого бэкдора. Я же хочу разобрать один из способов его внедрения в скомпрометированную систему и рассмотреть, как его можно обнаружить с помощью R-Vision SIEM. Поймать волка

    habr.com/ru/companies/rvision/

    #siem #malware #malware_analysis #correlation #correlation_rule

    #siem #malware #malware_analysis #correlation #correlation_rule
  27. Habr @[email protected] ·

    «Волки надели кольца» — разбор способа доставки бэкдора RingSpy и варианты его детектирования

    Привет, Хабр! Меня зовут Илья Ефимов, я аналитик-исследователь угроз кибербезопасности в компании R-Vision. Сегодня я расскажу про вредоносное ПО RingSpy, которое использует группировка Mysterious Werewolf. В этой статье мы подробно разберём один из способов его установки на компьютер жертвы. RingSpy — это программа для удаленного доступа, которая позволяет скачивать файлы и выполнять различные команды атакующих (С2). Она пришла на смену другому инструменту — агенту Athena фреймворка Mythic. RingSpy управляется через бот в мессенджере Telegram , что делает его идеальным для скрытой атаки и контроля над скомпрометированными системами. А основной «фишкой» способа доставки бэкдора стала эксплуатация уязвимости CVE‑2023‑38831 в WinRAR. Наши коллеги уже подготовили отчет о функционале этого бэкдора. Я же хочу разобрать один из способов его внедрения в скомпрометированную систему и рассмотреть, как его можно обнаружить с помощью R-Vision SIEM. Поймать волка

    habr.com/ru/companies/rvision/

    #siem #malware #malware_analysis #correlation #correlation_rule

    #correlation_rule #correlation #malware_analysis #malware #siem
  28. Habr @[email protected] ·

    YoungLotus – анализ китайского вредоноса

    В ходе своего анализа ВПО, я наткнулся на вредонос, который ещё не был никем проанализирован. Его имя – YoungLotus, в Интернете очень мало информации по нему. Именно поэтому я решил изучить его и написать эту статью. Как и в прошлой моей статье, я распакую и опишу основные характеристики вредоноса, его методы закрепления, способ коммуникации с C2 и его основные возможности.

    habr.com/ru/articles/827184/

    #YoungLotus #FatalRAT #реверсинжиниринг #информационная_безопасность #malware #malware_analysis #malware_reversing

    #malware_reversing #malware_analysis #malware #информационная_безопасность #реверсинжиниринг #fatalrat
  29. Habr @[email protected] ·

    YoungLotus – анализ китайского вредоноса

    В ходе своего анализа ВПО, я наткнулся на вредонос, который ещё не был никем проанализирован. Его имя – YoungLotus, в Интернете очень мало информации по нему. Именно поэтому я решил изучить его и написать эту статью. Как и в прошлой моей статье, я распакую и опишу основные характеристики вредоноса, его методы закрепления, способ коммуникации с C2 и его основные возможности.

    habr.com/ru/articles/827184/

    #YoungLotus #FatalRAT #реверсинжиниринг #информационная_безопасность #malware #malware_analysis #malware_reversing

    #malware_reversing #malware_analysis #malware #информационная_безопасность #реверсинжиниринг #fatalrat
  30. Habr @[email protected] ·

    YoungLotus – анализ китайского вредоноса

    В ходе своего анализа ВПО, я наткнулся на вредонос, который ещё не был никем проанализирован. Его имя – YoungLotus, в Интернете очень мало информации по нему. Именно поэтому я решил изучить его и написать эту статью. Как и в прошлой моей статье, я распакую и опишу основные характеристики вредоноса, его методы закрепления, способ коммуникации с C2 и его основные возможности.

    habr.com/ru/articles/827184/

    #YoungLotus #FatalRAT #реверсинжиниринг #информационная_безопасность #malware #malware_analysis #malware_reversing

    #younglotus #fatalrat #реверсинжиниринг #информационная_безопасность #malware #malware_analysis
  31. RedPacket Security @[email protected] ·

    Raspberry Robin Evolves With Stealth Tactics, New Exploits - redpacketsecurity.com/raspberr

    #threatintel #Malware_analysis #Cybersecurity_threats #Raspberry_Robin

    #threatintel #malware_analysis #cybersecurity_threats #raspberry_robin
  32. RedPacket Security @[email protected] ·

    Raspberry Robin Evolves With Stealth Tactics, New Exploits - redpacketsecurity.com/raspberr

    #threatintel #Malware_analysis #Cybersecurity_threats #Raspberry_Robin

    #threatintel #malware_analysis #cybersecurity_threats #raspberry_robin
  33. RedPacket Security @[email protected] ·

    Raspberry Robin Evolves With Stealth Tactics, New Exploits - redpacketsecurity.com/raspberr

    #threatintel #Malware_analysis #Cybersecurity_threats #Raspberry_Robin

    #raspberry_robin #cybersecurity_threats #malware_analysis #threatintel
  34. RedPacket Security @[email protected] ·

    Raspberry Robin Evolves With Stealth Tactics, New Exploits - redpacketsecurity.com/raspberr

    #threatintel #Malware_analysis #Cybersecurity_threats #Raspberry_Robin

    #threatintel #malware_analysis #cybersecurity_threats #raspberry_robin
  35. RedPacket Security @[email protected] ·

    Rust Payloads Exploiting Ivanti Zero-Days Linked to Sophisticated Sliver Toolkit - redpacketsecurity.com/rust-pay

    #threatintel #Ivanti_Connect_Secure #Malware_Analysis #APT-Level_Sophistication

    #threatintel #ivanti_connect_secure #malware_analysis #apt
  36. RedPacket Security @[email protected] ·

    Rust Payloads Exploiting Ivanti Zero-Days Linked to Sophisticated Sliver Toolkit - redpacketsecurity.com/rust-pay

    #threatintel #Ivanti_Connect_Secure #Malware_Analysis #APT-Level_Sophistication

    #threatintel #ivanti_connect_secure #malware_analysis #apt
  37. RedPacket Security @[email protected] ·

    Rust Payloads Exploiting Ivanti Zero-Days Linked to Sophisticated Sliver Toolkit - redpacketsecurity.com/rust-pay

    #threatintel #Ivanti_Connect_Secure #Malware_Analysis #APT-Level_Sophistication

    #apt #malware_analysis #ivanti_connect_secure #threatintel
  38. RedPacket Security @[email protected] ·

    Rust Payloads Exploiting Ivanti Zero-Days Linked to Sophisticated Sliver Toolkit - redpacketsecurity.com/rust-pay

    #threatintel #Ivanti_Connect_Secure #Malware_Analysis #APT-Level_Sophistication

    #threatintel #ivanti_connect_secure #malware_analysis #apt