1) Cómo la pillamos
2) Cómo la solventamos
3) Cómo puedes detectarla/solventarla para que TÚ no te lleves el palo
Y todo con doc técnica: scripts en Powershell, consultas de KQL, listo para usar.
Y si eres funcionario público, habla con @ProtAAPP que puedes ir gratis... 😁🔥👩🚒
Pq una cosa que no sabe mucha gente es que O365 es muy bonito... pero si miras debajo del capó, "pasan cositas". Y si no las miras ... te la pueden liar. Y bien gorda. Por eso no solo os vamos a contar nuestras penas, sino que os contaremos esto:
!Este año hago doblete en la @rootedcon! Junto con mi compañero AntonioE, contaremos dentro del track de @ProtAAPP todas las miserias y penurias que hemos sufrido gestionando incidentes de O365 (que llevamos más palos que una estera, tenemos PX) (1/n)
... y sin DFIR, Malware no habría tenido el contexto y las piezas clave para poder montar (bueno, desmontar) el bicho. Así que si quieres ver incidentes guapos, colaboración en ciber y muchas "cositas" que pasaron, vente a la #RootedCON !!! rootedcon.com
Y lo interesante (además del incidente y del bicho, q se las pelan) es que vamos a demostrar cómo DFIR y Malware son FAM: en este incidente, sin Malware DFIR habría perdido IOC y alguna TTP clave para terminar de explicar el incidente.
Este año volvemos a la #RootedCON con una charla llena de TTP, malware, mala baba y drama. Mi compinche en el bien Ana Nieto y yo vamos a desgranar un incidente del grupo APT Lazarus desde dos puntos de vista: malware y respuesta ante incidentes.
𝗦𝘂𝗿𝗶𝗰𝗮𝘁𝗮 𝗶𝘀 𝗻𝗼𝘄 𝗽𝗮𝗿𝘁 𝗼𝗳 𝗗𝗲𝘁𝗲𝗰𝘁𝗶𝗼𝗻𝗦𝘁𝗿𝗲𝗮𝗺 𝘄𝗶𝘁𝗵 𝗽𝗹𝗮𝘆𝗴𝗿𝗼𝘂𝗻𝗱𝘀 𝗮𝗻𝗱 𝗰𝗵𝗮𝗹𝗹𝗲𝗻𝗴𝗲𝘀!
Big update for anyone working on network detections.
𝗜𝗻𝗰𝗹𝘂𝗱𝗲𝗱:
• 45k+ ET rules available out of the box
• Full ET Open ruleset preloaded
• Build and validate custom Suricata rules
This is wild. From a recent IR engagement led by my teammate Florian Scheiber:
"The investigation showed that the attacker first compromised the Administrator’s personal Gmail account, redacted@gmail.com. Those credentials appeared in a combolist leaked on 2 June 2025.
Un honor y un placer volver a participar en las XIX Jornadas STIC del @CCNCERT
. Me tendréis el miércoles 26/nov en la sala 25 hablando de un caso de respuesta ante incidentes de un grupo APT muy muy muy jugoso. Malware, ing soc, nube ... drama !de todo! 😅🔥👩🚒🧑🚒 #STIC2025
Screen shot of my setting screen. Settings > Manage Apps shows a list of apps that are connected to my account with the checkbox "Use by default" next to Gemini checked
Check Settings > Manage Apps in your Google Drive, Gemini was enabled by default for me. I only checked because someone had pointed it on Twitter
Este 3 y 4 de noviembre repito el curso de #DFIR en la Universidad de Zaragoza. Batallitas, enfoque muy práctico (uno de los días será un CTF entero donde desgranaremos un incidente) y mucho, mucho sobre cómo abordar y responder a incidentes de ciberseguridad !Vamos! 🧑🚒🧑🚒🧑🚒
Aún queda alguna plaza suelta en la formación de #DFIR que voy a dar en la #rootedconVLC. Si tienes RAM suficiente para meterte un .tar.gz con conocimientos de respuesta ante incidentes ... !vente! La info aquí (que si no te va el DFIR, hay también cosas MUY interesantes): rootedcon.com/formaciones/
if you are interested in apt/hacking history, this interview describing how the apt1 report came to be is for you
www.zetter-zeroday.com/how-the-infa...
🌟New report out today!🌟
Hide Your RDP: Password Spray Leads to RansomHub Deployment
Analysis and reporting completed by @tas_kmanager, @iiamaleks and UC2
🔊Audio: Available on Spotify, Apple, YouTube and more!
thedfirreport.com/2025/06/30/h...
Ha llegado la hora de ir regalando contenido a la gente que le pueda interesar. Voy a liberar mis presentaciones para gente de la ESO, por si a alguien le sirven de algo :). Subiré una nueva cada viernes al principio y luego, pues iremos viendo. También las haré en video
github.com/jose-r-lopez...
DFIR Labs Subscriptions are live 🎉
At $𝟏𝟒.𝟗𝟗/𝐦𝐨𝐧𝐭𝐡, we’re offering something we’re truly proud of, not just great training, but a model that’s sustainable and community-focused.
/1
IR isn’t about mastering tools. It’s about building structured investigation habits:
→Start with what you do know
→Reconstruct the timeline
→Contain without alerting
→Keep calm and correlate
That confidence comes from method, not magic!
/end
Muchas gracias a la ##c1b3rwall por otro año en el que todo ha ido como la seda. Como es habitual, aquí tenéis las slides de mi presentación sobre cómo mejorar en la gestión de incidentes de ciberseguridad #DFIR: bit.ly/c1b3rwall_incidentes
1/ In one of our recent incident response cases, we found a cleverly hidden backdoor that the attacker had installed on various computers and servers in the network. Disguised as a Microsoft Edge service, a Mesh agent was running under the path:
C:\Program Files\Microsoft\MicrosoftEdge\msedge.exe
6) Dock One (Muelle Uno) is at Malaga's port, and has several incredible restaurantes to have dinner by the sea, for example Cambara www.muelleuno.com/restaurantes...
7) And for a sweet finish, have an ice cream at Casa Mira. Hope you enjoy it, my girlfriend really love it !! 🥳
4) For your geeky side: Videogame museum: oxomuseo.com The secret: it has an amazing rooftop with cheap (but fine) cocktails just in Malaga downtown!
5) If you want to take home some food, Atarazanas Market is full of interesting things
2) "El Pimpi": an absolute classic for Malaga, go for "The Pimpi" (small sandwich with "pringá", delicious)
3) If you like tuna, it is in season... literally will blow your mind!
Hi! This is the google maps that we used last year for our trip: www.google.com/maps/d/edit?...
My bests:
1) "Antigua Casa de Guardia" for very interesting Malaga wines (try "Moscatel" & "Pedro Ximenez"), and the place is incredible
Ey! Hope you enjoy it to the fullest! If you need "native guide" tips, I can give a couple nice places to eat / see in Malaga/Cordoba/Madrid 😀
1) El PDF: drive.google.com/file/d/1V3k3...
2) Los artículos: securityartwork.es/2025/04/07/b...
3) El CTF: ctf.communia.cc
Muchas gracias de nuevo a Andres Yedra y Arturo Martínez por el currazo haciendo un CTF la mar de juguetón 🤩
Si te has leído mi serie de artículos sobre el writeup del #CTF #DFIR de Baklava, pero los quieres leer en "modo informe", aquí tienes todos los recursos:
Encantado con la gente de hackademics-forum.com por un viernes la mar de guapo hablando de #ransomware. La gente majísima, Córdoba preciosa, !un lujazo! Y las slides, aquí: bit.ly/ransom2025 (ojo que van con extras como os dije) 😉😎👩🚒
Este viernes 25 estaré en Córdoba en el Hackademics Forum 2025 hablando de lo que hemos visto en #DFIR de incidentes de #ransomware hackademics-forum.com Como digo siempre, de lo que se aprende mejor es de los errores de los demás, así que... !vente! 😉🔥👨🚒