home.social

#yara — Public Fediverse posts

Live and recent posts from across the Fediverse tagged #yara, aggregated by home.social.

  1. Linux Incident Response: системный подход. Часть 2

    Это вторая часть статьи про Linux Incident Response — разбор live response на работающем Linux-хосте с подозрением на компрометацию. Если вы не читали первую часть, лучше начать с неё: в ней разобрали принципы расследования, изоляцию хоста, trusted toolkit, фиксацию исходного состояния, сетевые соединения и процессы. Без этого контекста часть команд и логика дальнейшего анализа будут менее понятны. Первая часть здесь . В этой части процесс идет далее — к менее изменчивым артефактам. Рассмотрим механизмы закрепления и следы на диске: systemd-сервисы и timers, cron, автозапуск, пользователи, группы, пакеты, логи, kernel-артефакты. В финале расскажем о построении таймлайна, оформлении IOC и действия с системой после завершения расследования.

    habr.com/ru/companies/first/ar

    #ioc #yara #incident_response

  2. Linux Incident Response: системный подход. Часть 1

    Пару лет назад я уже публиковал статью о реагировании на инциденты в Linux-системах. Она по-прежнему может быть полезна как практическая шпаргалка, но с тех пор изменился и мой опыт, и требования к таким материалам. В этом цикле статей я хочу разобрать Linux live response более системно. Большинство материалов по Linux IR сводятся к спискам команд: посмотреть процессы, сеть, пользователей, cron, логи. Проблема в том, что сами по себе команды мало что дают, если нет порядка их применения, ограничения live response, смысл полученного вывода и вообще — методологии, базиса работы. Этот материал исправляет такие упущения. Он будет разбит на две части. В этой статье обсудим принципы расследования, изоляции, подготовки инструментария, начала анализа и исследования сети и процессов. Добро пожаловать под кат.

    habr.com/ru/companies/first/ar

    #incident_response #yara #ioc

  3. 🚀 SO-CRATES 1.1 is here — now with Light Mode! ☀️

    The tool you loved as OhMyPCAP keeps getting better.

    Your all-in-one Docker/Podman container for rapid analysis of PCAPs, logs, and binaries just leveled up.

    ✅ PCAPs → Suricata alerts, rich metadata, ASCII transcripts, stream carving
    ✅ Logs → Sigma alerts + originals
    ✅ Binaries → YARA matches + metadata

    Perfect for air-gapped environments, malware analysis, IR, threat hunting, forensics & teaching.

    What’s your preference?
    → Dark Mode 🖤
    → Light Mode ☀️
    → Why not both?
    → Needs glorious 4-color CGA option lol
    Comment below!

    #DFIR #Cybersecurity #BlueTeam #ThreatHunting #Suricata #YARA #Sigma #DarkMode #LightMode

  4. 🚀Introducing SO-CRATES 1.0 — Security Onion Containerized Rapid Analysis of Threats, Evil, and Sus!

    SO-CRATES is a single container image for analyzing pcap files, log files, and binary files. It was formerly known as OhMyPCAP.

    Here's what you can do with SO-CRATES:
    ✅analyze pcap files and then review Suricata alerts, metadata, and extracted files
    ✅import log files and then review Sigma alerts and the original log entries
    ✅import binary files and then review YARA matches and file metadata

    All of this runs in a single Docker/Podman container — perfect for air-gapped environments, malware analysis, incident response, threat hunting, forensics & teaching.

    Who’s trying it out? Drop a ❤️ and reply with your main use case!

    #DFIR #Cybersecurity #BlueTeam #ThreatHunting #Suricata #YARA #Sigma

    @securityonion
    @chrissanders88

  5. 🚀Introducing SO-CRATES 1.0 — Security Onion Containerized Rapid Analysis of Threats, Evil, and Sus!

    SO-CRATES is a single container image for analyzing pcap files, log files, and binary files. It was formerly known as OhMyPCAP.

    Here's what you can do with SO-CRATES:
    ✅analyze pcap files and then review Suricata alerts, metadata, and extracted files
    ✅import log files and then review Sigma alerts and the original log entries
    ✅import binary files and then review YARA matches and file metadata

    All of this runs in a single Docker/Podman container — perfect for air-gapped environments, malware analysis, incident response, threat hunting, forensics & teaching.

    Who’s trying it out? Drop a ❤️ and reply with your main use case!

    #DFIR #Cybersecurity #BlueTeam #ThreatHunting #Suricata #YARA #Sigma

    @securityonion
    @chrissanders88

  6. Охота на Emmenhtal: как мы восстановили полную kill chain банковского трояна с переформатированного диска

    Разбираем реальный IR-кейс: ClickFix → Emmenhtal Loader → банковский троян с Telegram C2. Форензик переформатированного диска на 930 ГБ, VDM-дисамбигуация ложноположительных и восстановление артефактов из hibernation-файла.

    habr.com/ru/articles/1021698/

    #DFIR #форензика #malware_analysis #банковский_троян #Emmenhtal #ClickFix #threat_hunting #YARA #fileless_malware #incident_response

  7. ClearWater — обзор нового шифровальщика

    Приветствую, сегодня я расскажу про новый шифровальщик, который мне удалось обнаружить на просторах Интернета. Первые упоминания ClearWater появились ещё в январе 2026 года. Исследуя всемирную паутину, я ещё не находил ни одной нормальной статьи по этому вредоносу, поэтому решил сам написать такую. Данный шифровальщик не отличается какой-то технической сложностью или необычными приемами поэтому его обзор несёт больше информативный характер и предназначен для Malware и TI-аналитиков.

    habr.com/ru/articles/1018822/

    #ClearWater #шифровальщик #вредонос #вредоносное_по #реверсинжиниринг #реверс #анализ_вредоносов #yara #mitre

  8. This report complements @_CERT_UA’s findings and arms #SOC teams with fresh #IOCs, #YARA rules and detailed behavioural indicators. We thank our trusted partner for his time and insights into this subject.

  9. We did it! ❤🔥✊ Auf engagiere-dich.ch kannst du ab sofort nach bestehenden #Kollektiv'en in deiner Nähe suchen. Über 80 sind es schon, alle freuen sich über neue #MitstreiterInnen.

    Bin überglücklich, haben wir mit diesem Projekt im Kleinen "beweisen" können, worum es uns im Grossen geht: Wenn sich Menschen zusammenschliessen, wird vieles möglich. Danke an #Sandro, #Noemi, #Timothy, #Nina, #Flurin, #Eticus, #Fabio, #Jasmin, #Luc, #Mo, #Florin und #Yara, dass ihr dieser Idee Zeit ...

    2/3

  10. We did it! ❤🔥✊ Auf engagiere-dich.ch kannst du ab sofort nach bestehenden #Kollektiv'en in deiner Nähe suchen. Über 80 sind es schon, alle freuen sich über neue #MitstreiterInnen.

    Bin überglücklich, haben wir mit diesem Projekt im Kleinen "beweisen" können, worum es uns im Grossen geht: Wenn sich Menschen zusammenschliessen, wird vieles möglich. Danke an #Sandro, #Noemi, #Timothy, #Nina, #Flurin, #Eticus, #Fabio, #Jasmin, #Luc, #Mo, #Florin und #Yara, dass ihr dieser Idee Zeit ...

    2/3

  11. Security Onion 2.4.70 now available including our new Detections interface and much more!

    Tune your:
    ☑️#NIDS rules for #Suricata
    ☑️#Sigma rules for #ElastAlert
    ☑️#YARA rules for #Strelka

    Take your #DetectionEngineering game to a new level!

    blog.securityonion.net/2024/05

  12. Security Onion 2.4.70 now available including our new Detections interface and much more!

    Tune your:
    ☑️#NIDS rules for #Suricata
    ☑️#Sigma rules for #ElastAlert
    ☑️#YARA rules for #Strelka

    Take your #DetectionEngineering game to a new level!

    blog.securityonion.net/2024/05