Florian Roth  

@cyb3rops

Nextron Systems | Passionate Detection Engineer | Creator of , Aurora agent, Sigma, LOKI, yarGen, Valhalla, Raccine

Frankfurt, Germany
github.com/Neo23x0/BlueLe…
Liittynyt kesäkuu 2013
3 607 kuvaa tai videota Kuvat ja videot

Twiitit

Olet estänyt käyttäjän @cyb3rops

Haluatko varmasti nähdä nämä twiitit? Twiittien näyttäminen ei poista käyttäjän @cyb3rops estoa.

  1. 3 tuntia sitten

    11 vastausta 19 uudelleentwiittausta 186 tykkäystä
    Kumoa
  2. 3 tuntia sitten

    I would obviously include China, North Korea and Iran in these filters to treat them equally

    6 vastausta 1 uudelleentwiittaus 58 tykkäystä
    Näytä tämä ketju
    Näytä tämä ketju
    Kumoa
  3. 3 tuntia sitten

    To be fair, the Russian aggression against Ukraine would only be the trigger and not the cause. We are not allowed to & refrain from selling to certain countries but we give away "Lite" versions for free. RU's invasion is just the trigger that reminded me of that idea.

    1 vastaus 1 uudelleentwiittaus 56 tykkäystä
    Näytä tämä ketju
    Näytä tämä ketju
    Kumoa
  4. 4 tuntia sitten

    I consider disabling my free tools on systems with certain language and time zone settings e.g. "Russian" language + timezone somewhere within "Russia" > "sorry, I can't run here" Opinions?

    77 vastausta 19 uudelleentwiittausta 383 tykkäystä
    Näytä tämä ketju
    Näytä tämä ketju
    Kumoa
  5. 8 tuntia sitten

    Here's an example of what happens when the test fails because one of your new rules in a PR triggered on goodware activity

    1 vastaus 2 uudelleentwiittausta 22 tykkäystä
    Näytä tämä ketju
    Näytä tämä ketju
    Kumoa
  6. uudelleentwiittasi
    21. helmik.

    Qbot and Zerologon Lead To Full Domain Compromise ➡️Discovery: Net, Nltest, AdFind, etc ➡️Persistence: Scheduled Task ➡️Privilege Escalation: Zerologon CVE-2020-1472 ➡️Lateral Movement: Remote Services & RDP ➡️Exfil: C2 Channel ➡️C2: & Qbot

    4 vastausta 144 uudelleentwiittausta 281 tykkäystä
    Näytä tämä ketju
    Näytä tämä ketju
    Kumoa
  7. 22. helmik.

    In a call: "How should I check if this CSR can be signed." "Oh, there's an online tool that does exactly that." "With their CA key?" "Or with yours. You can choose." "Hm, interesting. No, not today."

    22 vastausta 33 uudelleentwiittausta 220 tykkäystä
    Kumoa
  8. 21. helmik.

    They won't tell you, but that's why you get called on a Saturday afternoon by a friend who "just wanted to download Photoshop"

    21 vastausta 147 uudelleentwiittausta 1 024 tykkäystä
    Kumoa
  9. 21. helmik.

    It's easy to get 30 TB of malware. It's much harder to get 30 TB of goodware. It's also easy to get logs of malware detonations and attacks. It's much harder to get events of active and used systems that are clean. To develop good detection rules, you need plenty of both

    8 vastausta 32 uudelleentwiittausta 182 tykkäystä
    Kumoa
  10. 21. helmik.

    Good news! We now have a test workflow that checks every new Sigma rule provided in a PR against a collection of EVTX files from a clean Win10 system We receive donations in form of EVTX files 🙏😌 PR Our repo with EVTX

    6 vastausta 49 uudelleentwiittausta 188 tykkäystä
    Näytä tämä ketju
    Näytä tämä ketju
    Kumoa
  11. 21. helmik.

    I wonder how many IOCs in your IOC management platform could be replaced with this simple rule? 1000? 10,000? more? Is a SH256 of a phishing doc sent out last year in May still important?

    16 vastausta 127 uudelleentwiittausta 509 tykkäystä
    Kumoa
  12. 20. helmik.

    It appears that people, especially during their first contact with Sigma, tend to believe that the main value resides in the converter. I don’t think that. The collection of 1000+ rules finally allows us to answer the question “what should I look for in the collected logs?”

    People coming into infosec today wont know a world before SIGMA detections. Our industry is maturing and we’re all better for it. Absolute game changer for defenders.
    11 vastausta 29 uudelleentwiittausta 160 tykkäystä
    Kumoa
  13. uudelleentwiittasi
    19. helmik.

    People coming into infosec today wont know a world before SIGMA detections. Our industry is maturing and we’re all better for it. Absolute game changer for defenders.

    4 vastausta 26 uudelleentwiittausta 164 tykkäystä
    Kumoa
  14. 19. helmik.

    Is there someone that could put me in contact with the guys at Microsoft that work on ETW? We've found some bugs/deficiencies in the "Microsoft-Windows-Kernel-Registry" channel, that I'd like to discuss / fix / improve for everyone using that channel

    5 vastausta 25 uudelleentwiittausta 74 tykkäystä
    Kumoa
  15. uudelleentwiittasi
    18. helmik.

    We investigated the recent attack against Iranian Broadcasting and discovered tools utilized in this operation, including the evidence of usage of destructive wiper malware. This suggests that the damage might be more serious than officially reported.

    3 vastausta 58 uudelleentwiittausta 90 tykkäystä
    Kumoa
  16. 18. helmik.

    I was looking for an example to test drive Aurora in a video recording today or tomorrow. Maybe I'll show the webshell detection as an example.

    1 vastaus 2 uudelleentwiittausta 14 tykkäystä
    Näytä tämä ketju
    Näytä tämä ketju
    Kumoa
  17. 18. helmik.

    Webshell detection with Sigma rules (and logs that contain parent > child process information) I just noticed that I mentioned the other webshell detection rule in my talk "Sigma hall of fame" - but both rules are great

    3 vastausta 46 uudelleentwiittausta 135 tykkäystä
    Näytä tämä ketju
    Näytä tämä ketju
    Kumoa
  18. 18. helmik.

    🙌 And the award for the most ingenious phishing theme goes to ...🥇

    My new Maldoc layout template - Introducing MSWordle.docm
    1 vastaus 54 uudelleentwiittausta 181 tykkäystä
    Kumoa
  19. uudelleentwiittasi
    17. helmik.

    Puzzled why a yara rule did or didn't match? Let me introduce , a web-based ! With , you can see the: 1⃣ evaluation steps 2⃣ matched strings 3⃣ relationship among the rules

    7 vastausta 222 uudelleentwiittausta 510 tykkäystä
    Näytä tämä ketju
    Näytä tämä ketju
    Kumoa
  20. uudelleentwiittasi
    17. helmik.

    Exploiting the vulnerability, the detections of the ASP/Webshell shot up by almost 160% in T3. Most of them were registered in Germany 🇩🇪. 2/3

    1 vastaus 2 uudelleentwiittausta 9 tykkäystä
    Näytä tämä ketju
    Näytä tämä ketju
    Kumoa

@cyb3rops ei ole vielä twiitannut.

Lataaminen näyttää kestävän hetken.

Twitter saattaa olla ruuhkautunut tai ongelma on muuten hetkellinen. Yritä uudelleen tai käy Twitterin tilasivulla saadaksesi lisätietoja.

    Saatat pitää myös

    ·