// controlled malware lab

Computer Virus Lab

Безопасные разборы поведения вредоносного ПО: без публикации вредоносного кода, с акцентом на IOC, детектирование, forensic timeline и защиту.

Static Reverse

Строки, импорты, packer hints, YARA-кандидаты и первичная классификация.

Sandbox Timeline

Процессы, файлы, registry/service changes, persistence и сетевые попытки.

Network IOC

DNS, HTTP(S), JA3/JA4, подозрительные домены, beacon-паттерны и блокировки.

Memory IOC

Инъекции, suspicious handles, strings in memory и признаки credential theft.

// research radar

Что сейчас интересно в malware research

Stealers как первичный доступ

Кража cookies, токенов, seed-фраз и session-файлов часто опаснее классического "вируса". В отчете важны не красивые строки из бинаря, а список сервисов, где нужно сбросить сессии и ключи.

Loaders и staged-инфекции

Первый файл может быть почти пустым. Его задача — проверить среду, пережить sandbox и принести следующий payload. Поэтому timeline важнее одиночного хэша.

Ransomware без романтики

Современный инцидент начинается задолго до шифрования: учетные данные, lateral movement, отключение защит, выгрузка архивов и только потом финальный удар.

Supply-chain malware

Подмененный пакет или скрипт сборки работает там, где ему доверяют разработчики. Для защиты нужны контроль зависимостей, секретов и артефактов, а не только антивирус на рабочей станции.

Mobile и мессенджеры

Фишинг мигрирует в привычные каналы: чаты, QR, APK, push, поддельные кабинеты. В анализе важно связывать технические IOC с тем, как пользователя подвели к запуску.

Detection engineering

Хороший разбор заканчивается не "образец вредный", а набором защитных гипотез: что писать в Sigma, что искать в EDR, какие сетевые события поднимать в SIEM.

// lab report format

Что получает читатель

Краткий вывод

Что делает образец, насколько опасен, какие системы в зоне риска.

IOC и Sigma/YARA идеи

Безопасные индикаторы и черновики детектов для защитных команд.

Меры защиты

Hardening, контроль почты, EDR/SIEM правила, изоляция и восстановление.

// обновлено

Malware Lab: от поведения к детекту

Обновил Virus Lab вокруг практики triage: controlled VM, timeline, IOC, YARA/Sigma-кандидаты, reset plan и SOC handoff. Смысл разбора - не показать вредоносный код, а дать защитнику проверяемые действия.

// обновлено

Virus Lab и DFIR: от памяти и IOC к containment decision

Раздел дополнен материалом о memory triage как first-hour discipline. Вместе с уже существующим malware triage это делает Virus Lab более взрослым: меньше романтизации, больше приоритизации риска, reset-планов и детектирования.

DFIR

Memory triage: первый час важнее красивой полной картины

В реальной incident-практике память часто становится не 'финальным артефактом для отчёта', а способом быстро решить, где сейчас риск: интерактивный доступ, незакрытая сессия, токен, инжектированный процесс или уже пустой след.

читать разбор →
THREAT HUNTING

Threat hunting: гипотеза должна переживать смену инструментов

Когда hunting завязан на один SIEM-запрос или одну ручную заметку, он не переживает смену источника логов. Намного полезнее описывать hunt как reusable hypothesis flow: сущности, шаги, enrichment и критерий остановки.

читать разбор →
SOC

Detection engineering: считайте не только правила, но и шум

Количество rule files почти ничего не говорит о зрелости detection program. Намного важнее coverage intent, false positive burn rate, скорость правки и способность превратить red-team/pentest lessons в стабильные сигналы.

читать разбор →

// updated

Malware/DFIR-поток как единая first-response vertical

Virus Lab теперь связан с отдельным Malware & DFIR stream: first-hour triage, infostealer response, log gaps и перевод artefacts в containment и monitoring.

MALWARE

Malware triage: хороший разбор заканчивается детектом

Разбор образца не должен заканчиваться фразой 'вредоносный'. Полезный результат - timeline, IOC, YARA/Sigma-кандидаты, что сбросить, что искать в EDR и что проверить в сети.

читать разбор →
DFIR

Memory triage: первый час важнее красивой полной картины

В реальной incident-практике память часто становится не 'финальным артефактом для отчёта', а способом быстро решить, где сейчас риск: интерактивный доступ, незакрытая сессия, токен, инжектированный процесс или уже пустой след.

читать разбор →
DFIR

Infostealer response: окно для сброса доверия очень короткое

Инфостилер редко выглядит драматично в момент заражения, но быстро превращается в проблему доверия: cookies, refresh tokens, browser secrets, saved credentials и второй вход уже после 'очистки' машины.

читать разбор →
STREAM

Malware & DFIR

Поток для controlled malware-analysis и incident response без романтизации. Здесь главное не 'поймать красивое семейство', а быстро понять active risk, собрать пригодное evidence, сбросить доверие там, где нужно, и передать SOC детектируемые артефакты.

Открыть поток →