Episodes
-
Tällä kertaa metsällä taas hieman teknisempää asiaa. Metsällä keskustelua kolmannen kerran uudistuneesta Rapsberry Robinista, Lorenz groupista, Microsoftin epäonnenpäivästä sekä Dark Pink APT ryhmästä.
Twitter: https://twitter.com/uhkametsaLinkedIn: https://fi.linkedin.com/company/uhkametsa
Mikäli haluat kysyä meiltä kysymyksiä tai antaa palautetta, tavoitat meidät:Lähteet:
Raspberry robin:
https://www.securityjoes.com/post/raspberry-robin-detected-itw-targeting-insurance-financial-institutes-in-europe
Lorenz group:
https://www.bleepingcomputer.com/news/security/lorenz-ransomware-gang-plants-backdoors-to-use-months-later/
Microsoft murheet:
https://www.reddit.com/r/sysadmin/comments/10ar1vb/multiple_users_reporting_microsoft_apps_have/
Dark pink:
https://www.bleepingcomputer.com/news/security/new-dark-pink-apt-group-targets-govt-and-military-with-custom-malware/ -
Jouluruuat on sulateltu ja juontajat kertaavat mieleenpainuvimpia tutkintoja kuluneelta vuodelta, keskustelevat Uhkametsän tulevaisuuden suunnitelmista ja puhuvat vähän jopa kyberiä!
Twitter: https://twitter.com/uhkametsaLinkedIn: https://fi.linkedin.com/company/uhkametsa
Jakson lähteet:
Dfir.fi memory dump haaste: https://files.dfir.fi/challenge/
Google Ads haittaohjelmanäyte: https://twitter.com/malware_traffic/status/1608673979132436481
LastPass artikkeli: https://www.theregister.com/2022/12/23/lastpass_attack_update/
CrowdStrike ProxyNotShell: https://www.crowdstrike.com/blog/owassrf-exploit-analysis-and-recommendations/
Moloch (nähtävästi nimi vaihtunut Arkimeksi): https://arkime.com/
Mikäli haluat kysyä meiltä kysymyksiä tai antaa palautetta, tavoitat meidät: -
Missing episodes?
-
Uhkametsän jouluerikoinen! Tällä kertaa puhutaan vähemmän kyberiä - metsällä haastatellaan Jens Säynäjärveä ja Antti Rössiä.
-
Tässä jaksossa ihmetellään salakuljettamista, kvanttihommia, verkkokuoria ja kaaosta? Metsäläiset myös antavat omat arvauksensa vuoden 2022 jouluiseen kriittiseen haavoittuvuuteen.
Twitter: https://twitter.com/uhkametsaLinkedIn: https://fi.linkedin.com/company/uhkamets
Mikäli haluat kysyä meiltä kysymyksiä tai antaa palautetta, tavoitat meidät:Jakson lähteet:
Quantum ransomware: https://www.avertium.com/resources/threat-reports/an-in-depth-look-at-quantum-ransomwareQuantum ransomware DFIRReport: https://thedfirreport.com/2022/11/28/emotet-strikes-again-lnk-file-leads-to-domain-wide-ransomware/Quantum ransomware: https://thedfirreport.com/2022/04/25/quantum-ransomware/HTML smuggling: https://blog.talosintelligence.com/html-smugglers-turn-to-svg-images/Nixu GitHub: https://www.nixu.com/blog/memory-forensics-against-citrix-adcNixu Blog: https://www.nixu.com/blog/vulnerabilities-citrixnetscaler-appliances-exploited-activelyNixu GitHub: https://github.com/nixu-corp/citrix-checkChaosRAT: https://www.theregister.com/2022/12/13/cryptoming_chaos_rat_targets_linux/IIS webshellit: https://www.microsoft.com/en-us/security/blog/2022/12/12/iis-modules-the-evolution-of-web-shells-and-how-to-detect-themIntro & Outro music by Ephmerix @ https://ephmerix.com/
Graphics by Panu Palm @ https://panupalm.fi/ -
Tänään metsällä käydään muutama erilainen enemmän tai vähemmän haitallinen sovellus läpi. Metsäläiset saattavat olla hieman kuutamolla kun puhutaan ankkojen hännistä, mutta se kuuluu välillä asiaan.
Mikäli haluat kysyä meiltä kysymyksiä tai antaa palautetta, tavoitat meidät:
- Twitter: https://twitter.com/uhkametsa
- https://fi.linkedin.com/company/uhkametsa
Lähteet:
- ProxyNotShell: https://securezoo.com/2022/11/proxynotshell-poc-exploit-code-released/
- ProxyNotShell: https://cxsecurity.com/issue/WLB-2022120006
- USB: https://securityaffairs.co/wordpress/139097/apt/unc4191-used-usb-devices.html
- Ankan häntä: https://securityaffairs.co/wordpress/138894/cyber-crime/ducktail-information-stealer-evolution.html
- Ankan häntä: https://thehackernews.com/2022/11/ducktail-malware-operation-evolves-with.html
- Ankan häntä: https://www.bleepingcomputer.com/news/security/ducktail-hackers-now-use-whatsapp-to-phish-for-facebook-ad-accounts/
- Yöhaukka: https://thehackernews.com/2022/11/nighthawk-likely-to-become-hackers-new.html
- Revontulien varastaja: https://securityaffairs.co/wordpress/138851/malware/aurora-stealer-malware.html
- Revontulien varastaja: https://blog.sekoia.io/aurora-a-rising-stealer-flying-under-the-radar/ -
Aihena uhkametsällä kotilabrat, Qakbotin uudet metkut (sekä myös Qakbotin lyhyt historia) sekä aikajanojen käyttö DFIR raporteissa. Ihmetellään myös kuka on Metri Petri ja miten tämä liittyy tietomurtoon.
Mikäli haluat kysyä meiltä kysymyksiä tai antaa palautetta, tavoitat meidät:
- Twitter: https://twitter.com/uhkametsa
- https://fi.linkedin.com/company/uhkametsa
Lähteet:
- Jounin blogi postaus kotilabrasta: https://threathunt.blog/my-version-of-a-home-lab/
- Detection Lab: https://detectionlab.network/
- Unraid: https://unraid.net/
- Microsoft Security Immersion Workshop: Into the breach: https://mktoevents.com/Microsoft+Event/371427/157-GQE-382
- Qakbotin uudet metkut: https://www.bleepingcomputer.com/news/security/qbot-phishing-abuses-windows-control-panel-exe-to-infect-devices/
- Dropbox API yhteydet / verkkodata: https://thehackernews.com/2022/11/worok-hackers-abuse-dropbox-api-to.html
- TheDFIRReport: https://thedfirreport.com/2022/11/14/bumblebee-zeros-in-on-meterpreter/ -
Jaksossa käsitellään tällä kertaa vanhoja tuttuja, Emotetia ja Raspberry Robinia. Lisäksi jutustellaan OpenSSL haavasta, LAPS:sta ja Black Basta nimisestä ransusta. Tervetuloa metsälle!
Lähteet:
[Raspberry Robin] - https://www.microsoft.com/en-us/security/blog/2022/10/27/raspberry-robin-worm-part-of-larger-ecosystem-facilitating-pre-ransomware-activity/
[OpenSSL haava] - https://www.malwaretech.com/2022/11/everything-you-need-to-know-about-the-openssl-3-0-7-patch.html.
[Black Basta SentinelOne] - https://www.sentinelone.com/labs/black-basta-ransomware-attacks-deploy-custom-edr-evasion-tools-tied-to-fin7-threat-actor/
[Black Basta Trend] - https://www.trendmicro.com/en_ca/research/22/j/black-basta-infiltrates-networks-via-qakbot-brute-ratel-and-coba.html
Intro & Outro music by Ephmerix @ https://ephmerix.com/
Graphics by Panu Palm @ https://panupalm.fi/ -
Tässä jaksossa paljon puhetta kiristyshaittaohjelmista ja toimijoista näiden takana. Ihmetellään myös Jounin esiintymistä Ilta-Sanomien artikkelissa.
Kiristyshaittaohjelmien osalta mietitään niiden toimintaa, ransomwaren metsästystä ja tutkintaa ja kuinka näiltä voidaan välttyä.
Ilta-Sanomien artikkeli:
https://www.is.fi/digitoday/art-2000008990569.html
Windows forensiset artifaktit:
https://www.sans.org/posters/windows-forensic-analysis/
Ransomware uhkatoimijat:
https://www.csoonline.com/article/3677488/with-conti-gone-lockbit-takes-lead-of-the-ransomware-threat-landscape.html
Ransomware tutkinta:
https://www.microsoft.com/en-us/security/blog/2022/10/18/defenders-beware-a-case-for-post-ransomware-investigations/
Ransomware as a service:
https://www.microsoft.com/en-us/security/blog/2022/05/09/ransomware-as-a-service-understanding-the-cybercrime-gig-economy-and-how-to-protect-yourself/
https://www.csoonline.com/article/3669256/black-basta-new-ransomware-threat-aiming-for-the-big-league.html
Intro & Outro music by Ephmerix @ https://ephmerix.com/
Graphics by Panu Palm @ https://panupalm.fi/ -
Päivän agendalla helikopteri ja mäyrä, eli Exchange RCE, Brute Ratel ja muutama sana MFA:n kiertämisestä.
https://techcommunity.microsoft.com/t5/microsoft-entra-azure-ad-blog/defend-your-users-from-mfa-fatigue-attacks/ba-p/2365677https://mrd0x.com/phishing-with-chromium-application-mode/
MFA Fatigue & Chromium Application Mode:Exchange RCE:
https://www.microsoft.com/security/blog/2022/09/30/analyzing-attacks-using-the-exchange-vulnerabilities-cve-2022-41040-and-cve-2022-41082/https://doublepulsar.com/proxynotshell-the-story-of-the-claimed-zero-day-in-microsoft-exchange-5c63d963a9e9https://twitter.com/gossithedog/status/1578415137031352320?s=46&t=KeVQW4u6YTNTnCmlBUSlKwBrute Ratel:
https://www.splunk.com/en_us/blog/security/deliver-a-strike-by-reversing-a-badger-brute-ratel-detection-and-analysis.htmlhttps://research.splunk.com/stories/brute_ratel_c4/Intro & Outro music by Ephmerix @ https://ephmerix.com/
Graphics by Panu Palm @ https://panupalm.fi/ -
Suomalaisen suosikkiartisti Kuhan sanoituksia myötäillen: Peruna on paha. Tänään siis aiheena peruna ja muutama muu iljetys.
Linkit episodista:
[Giving Juicy Potato a second chance] - https://decoder.cloud/2022/09/21/giving-juicypotato-a-second-chance-juicypotatong/
[Potatoes Windows Privesc] - https://jlajara.gitlab.io/Potatoes_Windows_Privesc
[User Rights Assignment] - https://learn.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/user-rights-assignment
[Teams Gifshell] - https://medium.com/@bobbyrsec/gifshell-covert-attack-chain-and-c2-utilizing-microsoft-teams-gifs-1618c4e64ed7
[OpenDIR Tweet] - https://twitter.com/1ZRR4H/status/1555094224525197313
[Domain Shadowing] - https://unit42.paloaltonetworks.com/domain-shadowing/
[LOTS project] - https://lots-project.com/
Intro & Outro music by Ephmerix @ https://ephmerix.com/
Graphics by Panu Palm @ https://panupalm.fi/ -
Tällä kertaa uhkametsällä puhutaan Mitre ATT&CK:sta, raspberry robinista ja muutama sana Jounin Shodan to MDE query skriptistä. Tervetuloa kuulemaan!
Linkit episodista:
[Mitre Att&ck] - https://attack.mitre.org/
[Atomic Red Team] - https://atomicredteam.io/
[Mitre Caldera] - https://caldera.mitre.org/
[Mitre Engenuity] - https://mitre-engenuity.org/
[Cyber Kill Chain] - https://www.lockheedmartin.com/en-us/capabilities/cyber/cyber-kill-chain.html
[Raspberry Robin] - https://redcanary.com/blog/raspberry-robin/
[Deutche Telekom cert] - https://nitter.it/DTCERT/status/1565664874633564162#m
[Jounin Shodan to MDE kikkare] - https://threathunt.blog/from-shodan-to-mde-queries/ - https://github.com/JouniMi/Threathunt.blog/blob/main/shodan_to_mde.py
Intro & Outro music by Ephmerix @ https://ephmerix.com/
Graphics by Panu Palm @ https://panupalm.fi/ -
Toisessa jaksossa keskustellaan Threat Huntingista yleisesti, Sysmonin viimeisimmästä päivityksestä, Bumblebee loaderista, Cozy Bearin viimeisimmistä kujeista - sekä Sliver nimisestä työkalusta. Tervetuloa kuuntelemaan!
Linkit episodista:
[APT 29 targets M365 - Mandiant] - https://www.mandiant.com/resources/blog/apt29-continues-targeting-microsoft
[Sysmon 14 - Olaf Hartong] - https://medium.com/@olafhartong/sysmon-14-0-fileblockexecutable-13d7ba3dff3e
[Pyramid of pain] - http://detect-respond.blogspot.com/2013/03/the-pyramid-of-pain.html
[Sliver - Microsoft] - https://www.microsoft.com/security/blog/2022/08/24/looking-for-the-sliver-lining-hunting-for-emerging-command-and-control-frameworks/
[Sliver - GitHub] - https://github.com/BishopFox/sliver
Intro & Outro music by Ephmerix @ https://ephmerix.com/
Graphics by Panu Palm @ https://panupalm.fi/ -
Ensimmäisessä episodissa säädetään ja rävelletään kera teknisten ongelmien, kuten asiaan kuuluu. Samalla jutellaan hieman ISO-tiedostoista ja viime aikaisista trendeistä Incident Response työssä.
Intro & Outro music by Ephmerix @ https://ephmerix.com/
Graphics by Panu Palm @ https://panupalm.fi/
