Static Reverse
Строки, импорты, packer hints, YARA-кандидаты и первичная классификация.
// controlled malware lab
Безопасные разборы поведения вредоносного ПО: без публикации вредоносного кода, с акцентом на IOC, детектирование, forensic timeline и защиту.
Строки, импорты, packer hints, YARA-кандидаты и первичная классификация.
Процессы, файлы, registry/service changes, persistence и сетевые попытки.
DNS, HTTP(S), JA3/JA4, подозрительные домены, beacon-паттерны и блокировки.
Инъекции, suspicious handles, strings in memory и признаки credential theft.
// research radar
Кража cookies, токенов, seed-фраз и session-файлов часто опаснее классического "вируса". В отчете важны не красивые строки из бинаря, а список сервисов, где нужно сбросить сессии и ключи.
Первый файл может быть почти пустым. Его задача — проверить среду, пережить sandbox и принести следующий payload. Поэтому timeline важнее одиночного хэша.
Современный инцидент начинается задолго до шифрования: учетные данные, lateral movement, отключение защит, выгрузка архивов и только потом финальный удар.
Подмененный пакет или скрипт сборки работает там, где ему доверяют разработчики. Для защиты нужны контроль зависимостей, секретов и артефактов, а не только антивирус на рабочей станции.
Фишинг мигрирует в привычные каналы: чаты, QR, APK, push, поддельные кабинеты. В анализе важно связывать технические IOC с тем, как пользователя подвели к запуску.
Хороший разбор заканчивается не "образец вредный", а набором защитных гипотез: что писать в Sigma, что искать в EDR, какие сетевые события поднимать в SIEM.
// lab report format
Что делает образец, насколько опасен, какие системы в зоне риска.
Безопасные индикаторы и черновики детектов для защитных команд.
Hardening, контроль почты, EDR/SIEM правила, изоляция и восстановление.
// обновлено
Обновил Virus Lab вокруг практики triage: controlled VM, timeline, IOC, YARA/Sigma-кандидаты, reset plan и SOC handoff. Смысл разбора - не показать вредоносный код, а дать защитнику проверяемые действия.
// обновлено
Раздел дополнен материалом о memory triage как first-hour discipline. Вместе с уже существующим malware triage это делает Virus Lab более взрослым: меньше романтизации, больше приоритизации риска, reset-планов и детектирования.
В реальной incident-практике память часто становится не 'финальным артефактом для отчёта', а способом быстро решить, где сейчас риск: интерактивный доступ, незакрытая сессия, токен, инжектированный процесс или уже пустой след.
читать разбор →Когда hunting завязан на один SIEM-запрос или одну ручную заметку, он не переживает смену источника логов. Намного полезнее описывать hunt как reusable hypothesis flow: сущности, шаги, enrichment и критерий остановки.
читать разбор →Количество rule files почти ничего не говорит о зрелости detection program. Намного важнее coverage intent, false positive burn rate, скорость правки и способность превратить red-team/pentest lessons в стабильные сигналы.
читать разбор →// updated
Virus Lab теперь связан с отдельным Malware & DFIR stream: first-hour triage, infostealer response, log gaps и перевод artefacts в containment и monitoring.
Разбор образца не должен заканчиваться фразой 'вредоносный'. Полезный результат - timeline, IOC, YARA/Sigma-кандидаты, что сбросить, что искать в EDR и что проверить в сети.
читать разбор →В реальной incident-практике память часто становится не 'финальным артефактом для отчёта', а способом быстро решить, где сейчас риск: интерактивный доступ, незакрытая сессия, токен, инжектированный процесс или уже пустой след.
читать разбор →Инфостилер редко выглядит драматично в момент заражения, но быстро превращается в проблему доверия: cookies, refresh tokens, browser secrets, saved credentials и второй вход уже после 'очистки' машины.
читать разбор →Поток для controlled malware-analysis и incident response без романтизации. Здесь главное не 'поймать красивое семейство', а быстро понять active risk, собрать пригодное evidence, сбросить доверие там, где нужно, и передать SOC детектируемые артефакты.
Открыть поток →