У меня сегодня было ну просто изумительное утро. А все почему? И нет, не потому что форум начался, а потому что было время просто посидеть и просто почитать свежие репорты. Делюсь:

1. Ну, это классика, такое мы не пропускаем / TheDFIRReport

2. TeamTNT со своими майнерами и открытыми портами докера начали использовать Sliver. Растут! / Aqua Nautilus

3. PhaseShifters, они же Sticky Werewolf, если хотите, главное, что актуально для ру. Читать можно сразу вместе с выступлением Димы на оффзоне. Отчет прям интересный: стеганография, все эти связи битбакета, скрины лендинга с продажей подписки на обфускаторы. Занимательно / PT ESC

4. Тут можно посмотреть, как LLM сама себя выдает при создании вредоносных страниц / Kaspersky

5. Ну очень плохая маскировка под локбит, изученная TrendMicro. А еще там есть AWS, который между прочим сразу заблокировал вредоносные учетные записи. Все бы провайдеры облачных услуг так делали)

6. Никогда такого не было, и вот опять. Еще один пример злонамеренного использования QEMU / Securonix

7. TaskCache от Solar 4RAYS. Про это мало кто говорит, особенно учитывая все нюансы скрытия задач в винде, а ребята подробно разложили все по полочкам, еще и плагином сдобрили. Лайк

Ребят, горжусь!!! Всем читать!

Так
Ну, во-первых, хорошие читшиты из комментариев, если предпочитаете веб-версии

https://blog.onfvp.com/post/volatility-cheatsheet/

https://book.hacktricks.xyz/generic-methodologies-and-resources/basic-forensic-methodology/memory-dump-analysis/volatility-cheatsheet

А во-вторых, моя портянка. Немного личных заметок и наиболее часто юзабельные параметры (субъективненько)

Жарким воскресным утром родился новый #weekly: то, что было интересно и нужно почитать мне, а я рекомендую ознакомиться и вам

1. CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации / GReAT

2. Lifting Zmiy: взлом контроллеров SCADA-систем в погоне за главными жертвами / Solar 4RAYS

3. СМС-стилеры Азии: 1000 ботов и одно исследование (спойлер: для ру тоже вполне может быть актуально) / PT ESC

4. TgRat под ОС Linux и как оно выглядит / Dr.Web

5. DarkGate: Dancing the Samba With Alluring Excel Files / Unit 42

6. Threat Analysis: HardBit 4.0 (помним же, что файлы со 2 и 3 версиями поддавались расшифровке?) / Cybereason