Episodes

  • Tällä kertaa metsällä taas hieman teknisempää asiaa. Metsällä keskustelua kolmannen kerran uudistuneesta Rapsberry Robinista, Lorenz groupista, Microsoftin epäonnenpäivästä sekä Dark Pink APT ryhmästä.

    Mikäli haluat kysyä meiltä kysymyksiä tai antaa palautetta, tavoitat meidät:

    Twitter: https://twitter.com/uhkametsaLinkedIn: https://fi.linkedin.com/company/uhkametsa

    Lähteet:
    Raspberry robin:
    https://www.securityjoes.com/post/raspberry-robin-detected-itw-targeting-insurance-financial-institutes-in-europe
    Lorenz group:
    https://www.bleepingcomputer.com/news/security/lorenz-ransomware-gang-plants-backdoors-to-use-months-later/
    Microsoft murheet:
    https://www.reddit.com/r/sysadmin/comments/10ar1vb/multiple_users_reporting_microsoft_apps_have/
    Dark pink:
    https://www.bleepingcomputer.com/news/security/new-dark-pink-apt-group-targets-govt-and-military-with-custom-malware/

  • Jouluruuat on sulateltu ja juontajat kertaavat mieleenpainuvimpia tutkintoja kuluneelta vuodelta, keskustelevat Uhkametsän tulevaisuuden suunnitelmista ja puhuvat vähän jopa kyberiä!

    Jakson lähteet:
    Dfir.fi memory dump haaste: https://files.dfir.fi/challenge/
    Google Ads haittaohjelmanäyte: https://twitter.com/malware_traffic/status/1608673979132436481
    LastPass artikkeli: https://www.theregister.com/2022/12/23/lastpass_attack_update/
    CrowdStrike ProxyNotShell: https://www.crowdstrike.com/blog/owassrf-exploit-analysis-and-recommendations/
    Moloch (nähtävästi nimi vaihtunut Arkimeksi): https://arkime.com/

    Mikäli haluat kysyä meiltä kysymyksiä tai antaa palautetta, tavoitat meidät:

    Twitter: https://twitter.com/uhkametsaLinkedIn: https://fi.linkedin.com/company/uhkametsa
  • Missing episodes?

    Click here to refresh the feed.

  • Uhkametsän jouluerikoinen! Tällä kertaa puhutaan vähemmän kyberiä - metsällä haastatellaan Jens Säynäjärveä ja Antti Rössiä.

  • Tässä jaksossa ihmetellään salakuljettamista, kvanttihommia, verkkokuoria ja kaaosta? Metsäläiset myös antavat omat arvauksensa vuoden 2022 jouluiseen kriittiseen haavoittuvuuteen.

    Mikäli haluat kysyä meiltä kysymyksiä tai antaa palautetta, tavoitat meidät:

    Twitter: https://twitter.com/uhkametsaLinkedIn: https://fi.linkedin.com/company/uhkamets

    Jakson lähteet:

    Quantum ransomware: https://www.avertium.com/resources/threat-reports/an-in-depth-look-at-quantum-ransomwareQuantum ransomware DFIRReport: https://thedfirreport.com/2022/11/28/emotet-strikes-again-lnk-file-leads-to-domain-wide-ransomware/Quantum ransomware: https://thedfirreport.com/2022/04/25/quantum-ransomware/HTML smuggling: https://blog.talosintelligence.com/html-smugglers-turn-to-svg-images/Nixu GitHub: https://www.nixu.com/blog/memory-forensics-against-citrix-adcNixu Blog: https://www.nixu.com/blog/vulnerabilities-citrixnetscaler-appliances-exploited-activelyNixu GitHub: https://github.com/nixu-corp/citrix-checkChaosRAT: https://www.theregister.com/2022/12/13/cryptoming_chaos_rat_targets_linux/IIS webshellit: https://www.microsoft.com/en-us/security/blog/2022/12/12/iis-modules-the-evolution-of-web-shells-and-how-to-detect-them

    Intro & Outro music by Ephmerix @ https://ephmerix.com/
    Graphics by Panu Palm @ https://panupalm.fi/

  • Tänään metsällä käydään muutama erilainen enemmän tai vähemmän haitallinen sovellus läpi. Metsäläiset saattavat olla hieman kuutamolla kun puhutaan ankkojen hännistä, mutta se kuuluu välillä asiaan.

    Mikäli haluat kysyä meiltä kysymyksiä tai antaa palautetta, tavoitat meidät:
    - Twitter: https://twitter.com/uhkametsa
    - https://fi.linkedin.com/company/uhkametsa

    Lähteet:
    - ProxyNotShell: https://securezoo.com/2022/11/proxynotshell-poc-exploit-code-released/
    - ProxyNotShell: https://cxsecurity.com/issue/WLB-2022120006
    - USB: https://securityaffairs.co/wordpress/139097/apt/unc4191-used-usb-devices.html
    - Ankan häntä: https://securityaffairs.co/wordpress/138894/cyber-crime/ducktail-information-stealer-evolution.html
    - Ankan häntä: https://thehackernews.com/2022/11/ducktail-malware-operation-evolves-with.html
    - Ankan häntä: https://www.bleepingcomputer.com/news/security/ducktail-hackers-now-use-whatsapp-to-phish-for-facebook-ad-accounts/
    - Yöhaukka: https://thehackernews.com/2022/11/nighthawk-likely-to-become-hackers-new.html
    - Revontulien varastaja: https://securityaffairs.co/wordpress/138851/malware/aurora-stealer-malware.html
    - Revontulien varastaja: https://blog.sekoia.io/aurora-a-rising-stealer-flying-under-the-radar/

  • Aihena uhkametsällä kotilabrat, Qakbotin uudet metkut (sekä myös Qakbotin lyhyt historia) sekä aikajanojen käyttö DFIR raporteissa. Ihmetellään myös kuka on Metri Petri ja miten tämä liittyy tietomurtoon.

    Mikäli haluat kysyä meiltä kysymyksiä tai antaa palautetta, tavoitat meidät:
    - Twitter: https://twitter.com/uhkametsa
    - https://fi.linkedin.com/company/uhkametsa

    Lähteet:
    - Jounin blogi postaus kotilabrasta: https://threathunt.blog/my-version-of-a-home-lab/
    - Detection Lab: https://detectionlab.network/
    - Unraid: https://unraid.net/
    - Microsoft Security Immersion Workshop: Into the breach: https://mktoevents.com/Microsoft+Event/371427/157-GQE-382
    - Qakbotin uudet metkut: https://www.bleepingcomputer.com/news/security/qbot-phishing-abuses-windows-control-panel-exe-to-infect-devices/
    - Dropbox API yhteydet / verkkodata: https://thehackernews.com/2022/11/worok-hackers-abuse-dropbox-api-to.html
    - TheDFIRReport: https://thedfirreport.com/2022/11/14/bumblebee-zeros-in-on-meterpreter/

  • Jaksossa käsitellään tällä kertaa vanhoja tuttuja, Emotetia ja Raspberry Robinia. Lisäksi jutustellaan OpenSSL haavasta, LAPS:sta ja Black Basta nimisestä ransusta. Tervetuloa metsälle!

    Lähteet:
    [Raspberry Robin] - https://www.microsoft.com/en-us/security/blog/2022/10/27/raspberry-robin-worm-part-of-larger-ecosystem-facilitating-pre-ransomware-activity/
    [OpenSSL haava] - https://www.malwaretech.com/2022/11/everything-you-need-to-know-about-the-openssl-3-0-7-patch.html.
    [Black Basta SentinelOne] - https://www.sentinelone.com/labs/black-basta-ransomware-attacks-deploy-custom-edr-evasion-tools-tied-to-fin7-threat-actor/
    [Black Basta Trend] - https://www.trendmicro.com/en_ca/research/22/j/black-basta-infiltrates-networks-via-qakbot-brute-ratel-and-coba.html

    Intro & Outro music by Ephmerix @ https://ephmerix.com/
    Graphics by Panu Palm @ https://panupalm.fi/

  • Tässä jaksossa paljon puhetta kiristyshaittaohjelmista ja toimijoista näiden takana. Ihmetellään myös Jounin esiintymistä Ilta-Sanomien artikkelissa.

    Kiristyshaittaohjelmien osalta mietitään niiden toimintaa, ransomwaren metsästystä ja tutkintaa ja kuinka näiltä voidaan välttyä.

    Ilta-Sanomien artikkeli:
    https://www.is.fi/digitoday/art-2000008990569.html

    Windows forensiset artifaktit:
    https://www.sans.org/posters/windows-forensic-analysis/

    Ransomware uhkatoimijat:
    https://www.csoonline.com/article/3677488/with-conti-gone-lockbit-takes-lead-of-the-ransomware-threat-landscape.html

    Ransomware tutkinta:
    https://www.microsoft.com/en-us/security/blog/2022/10/18/defenders-beware-a-case-for-post-ransomware-investigations/

    Ransomware as a service:
    https://www.microsoft.com/en-us/security/blog/2022/05/09/ransomware-as-a-service-understanding-the-cybercrime-gig-economy-and-how-to-protect-yourself/
    https://www.csoonline.com/article/3669256/black-basta-new-ransomware-threat-aiming-for-the-big-league.html

    Intro & Outro music by Ephmerix @ https://ephmerix.com/
    Graphics by Panu Palm @ https://panupalm.fi/

  • Päivän agendalla helikopteri ja mäyrä, eli Exchange RCE, Brute Ratel ja muutama sana MFA:n kiertämisestä.

    MFA Fatigue & Chromium Application Mode:

    https://techcommunity.microsoft.com/t5/microsoft-entra-azure-ad-blog/defend-your-users-from-mfa-fatigue-attacks/ba-p/2365677https://mrd0x.com/phishing-with-chromium-application-mode/

    Exchange RCE:

    https://www.microsoft.com/security/blog/2022/09/30/analyzing-attacks-using-the-exchange-vulnerabilities-cve-2022-41040-and-cve-2022-41082/https://doublepulsar.com/proxynotshell-the-story-of-the-claimed-zero-day-in-microsoft-exchange-5c63d963a9e9https://twitter.com/gossithedog/status/1578415137031352320?s=46&t=KeVQW4u6YTNTnCmlBUSlKw

    Brute Ratel:

    https://www.splunk.com/en_us/blog/security/deliver-a-strike-by-reversing-a-badger-brute-ratel-detection-and-analysis.htmlhttps://research.splunk.com/stories/brute_ratel_c4/

    Intro & Outro music by Ephmerix @ https://ephmerix.com/
    Graphics by Panu Palm @ https://panupalm.fi/

  • Suomalaisen suosikkiartisti Kuhan sanoituksia myötäillen: Peruna on paha. Tänään siis aiheena peruna ja muutama muu iljetys.

    Linkit episodista:
    [Giving Juicy Potato a second chance] - https://decoder.cloud/2022/09/21/giving-juicypotato-a-second-chance-juicypotatong/
    [Potatoes Windows Privesc] - https://jlajara.gitlab.io/Potatoes_Windows_Privesc
    [User Rights Assignment] - https://learn.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/user-rights-assignment
    [Teams Gifshell] - https://medium.com/@bobbyrsec/gifshell-covert-attack-chain-and-c2-utilizing-microsoft-teams-gifs-1618c4e64ed7
    [OpenDIR Tweet] - https://twitter.com/1ZRR4H/status/1555094224525197313
    [Domain Shadowing] - https://unit42.paloaltonetworks.com/domain-shadowing/
    [LOTS project] - https://lots-project.com/


    Intro & Outro music by Ephmerix @ https://ephmerix.com/
    Graphics by Panu Palm @ https://panupalm.fi/

  • Tällä kertaa uhkametsällä puhutaan Mitre ATT&CK:sta, raspberry robinista ja muutama sana Jounin Shodan to MDE query skriptistä. Tervetuloa kuulemaan!

    Linkit episodista:
    [Mitre Att&ck] - https://attack.mitre.org/
    [Atomic Red Team] - https://atomicredteam.io/
    [Mitre Caldera] - https://caldera.mitre.org/
    [Mitre Engenuity] - https://mitre-engenuity.org/
    [Cyber Kill Chain] - https://www.lockheedmartin.com/en-us/capabilities/cyber/cyber-kill-chain.html
    [Raspberry Robin] - https://redcanary.com/blog/raspberry-robin/
    [Deutche Telekom cert] - https://nitter.it/DTCERT/status/1565664874633564162#m
    [Jounin Shodan to MDE kikkare] - https://threathunt.blog/from-shodan-to-mde-queries/ - https://github.com/JouniMi/Threathunt.blog/blob/main/shodan_to_mde.py

    Intro & Outro music by Ephmerix @ https://ephmerix.com/
    Graphics by Panu Palm @ https://panupalm.fi/

  • Toisessa jaksossa keskustellaan Threat Huntingista yleisesti, Sysmonin viimeisimmästä päivityksestä, Bumblebee loaderista, Cozy Bearin viimeisimmistä kujeista - sekä Sliver nimisestä työkalusta. Tervetuloa kuuntelemaan!

    Linkit episodista:
    [APT 29 targets M365 - Mandiant] - https://www.mandiant.com/resources/blog/apt29-continues-targeting-microsoft

    [Sysmon 14 - Olaf Hartong] - https://medium.com/@olafhartong/sysmon-14-0-fileblockexecutable-13d7ba3dff3e

    [Pyramid of pain] - http://detect-respond.blogspot.com/2013/03/the-pyramid-of-pain.html

    [Sliver - Microsoft] - https://www.microsoft.com/security/blog/2022/08/24/looking-for-the-sliver-lining-hunting-for-emerging-command-and-control-frameworks/

    [Sliver - GitHub] - https://github.com/BishopFox/sliver

    Intro & Outro music by Ephmerix @ https://ephmerix.com/
    Graphics by Panu Palm @ https://panupalm.fi/

  • Ensimmäisessä episodissa säädetään ja rävelletään kera teknisten ongelmien, kuten asiaan kuuluu. Samalla jutellaan hieman ISO-tiedostoista ja viime aikaisista trendeistä Incident Response työssä.

    Intro & Outro music by Ephmerix @ https://ephmerix.com/
    Graphics by Panu Palm @ https://panupalm.fi/