Hatching

@hatching_io

Dutch cybersecurity specialists focused on malware sandboxing. Hatching Triage // Cuckoo Sandbox

The Netherlands
hatching.io
Vrijeme pridruživanja: svibanj 2018.
5 fotografija ili videozapisa Fotografije i videozapisi

Tweetovi

Blokirali ste korisnika/cu @hatching_io

Jeste li sigurni da želite vidjeti te tweetove? Time nećete deblokirati korisnika/cu @hatching_io

  1. 4. velj

    You can fetch the HTA via the API - 1. Check the sample's dumped files: curl -sH "Authorization: Bearer <API-KEY>" | jq .dumped 2. Fetch the HTA file curl -sH "Authorization: Bearer " --output note.hta

    1 proslijeđeni tweet 2 korisnika označavaju da im se sviđa
    Prikaži ovu nit
    Prikaži ovu nit
    Poništi
  2. 4. velj

    Looks like some samples recently seen in the wild aren't dropping .txt ransom notes, and are only dropping .HTA applications in each folder with encrypted files. No more "READ_THIS" etc. files

    1 reply 1 proslijeđeni tweet 1 korisnik označava da mu se sviđa
    Prikaži ovu nit
    Prikaži ovu nit
    Poništi
  3. proslijedio/la je Tweet
    3. velj

    Same keys in newer versions ( used to replicate the traffic communication + and fetch JSON config). Keys:

    1/2 🦝Just reversed a new variant of 🦝. ☣️IOCS⚠️: 34.65.176.45 [C2 and serving other stage codes for the malware], serralheriacic[.]com[.]br, Dropper md5: dcf7a5b5cc303de2b291a9995b5af988
    Prikaži ovu nit
    2 proslijeđena tweeta 1 korisnik označava da mu se sviđa
    Poništi
  4. proslijedio/la je Tweet
    3. velj
    Odgovor korisnicima i sljedećem broju korisnika:

    Detected as Danabot ( config included ): (cc ). Also needed interaction to be triggered ( click OK in the MessageBox )

    1 reply 1 proslijeđeni tweet 7 korisnika označava da im se sviđa
    Poništi
  5. 3. velj

    Having trouble running your samples? Don't forget that the filename can matter! Try submitting with a short, more 'normal' name and it may just run properly Left: name is 'jphxaul.exe' Right: name is 'Qakbot_[SHA256].exe'

    1 proslijeđeni tweet 4 korisnika označavaju da im se sviđa
    Poništi
  6. proslijedio/la je Tweet
    3. velj
    Odgovor korisniku/ci

    Seems to be also downloading something from h[.]t[.]t[.]p[.]s://share.dmca.gripe (cc )

    1 proslijeđeni tweet 2 korisnika označavaju da im se sviđa
    Poništi
  7. proslijedio/la je Tweet
    31. sij

    I also just released a vaccine for . A protection and detection tool to avoid get infected by Emotet payload. The code and the binaries are in my repository.

    28 proslijeđenih tweetova 44 korisnika označavaju da im se sviđa
    Prikaži ovu nit
    Prikaži ovu nit
    Poništi
  8. proslijedio/la je Tweet
    28. sij

    Blog: Tracking : our analysis of sample configurations, ransom demands and sinkhole data. The REvil affiliates operate at a huge scale encrypting 1000s of systems at once. And we're only seeing a fraction of the total activity.

    6 replies 37 proslijeđenih tweetova 56 korisnika označava da im se sviđa
    Prikaži ovu nit
    Prikaži ovu nit
    Poništi
  9. 28. sij

    Excellent research on released by today, using in the process! :)

    2 proslijeđena tweeta 4 korisnika označavaju da im se sviđa
    Poništi
  10. proslijedio/la je Tweet
    27. sij
    Odgovor korisnicima i sljedećem broju korisnika:

    Not Win10 but Office16 is the solution. Great triage !!!😉

    1 proslijeđeni tweet 2 korisnika označavaju da im se sviđa
    Poništi
  11. proslijedio/la je Tweet
    27. sij
    Odgovor korisnicima i sljedećem broju korisnika:

    Seems to be triggering currently in a Win10 VM

    1 reply 2 proslijeđena tweeta 6 korisnika označava da im se sviđa
    Poništi
  12. proslijedio/la je Tweet
    24. sij
    Odgovor korisnicima

    still lokibot, VT AV signatures are pretty low confidence, also Lokibot is sort of a fork of pony which makes sense why some vendors would label it that way

    1 proslijeđeni tweet 2 korisnika označavaju da im se sviđa
    Poništi
  13. 24. sij

    Got a sample which needs extra DLLs? Find out how to submit multiple files at once to Triage in this week's blog

    4 proslijeđena tweeta 11 korisnika označava da im se sviđa
    Poništi
  14. proslijedio/la je Tweet
    22. sij

    Static Analysis & results

    2 proslijeđena tweeta 2 korisnika označavaju da im se sviđa
    Poništi
  15. proslijedio/la je Tweet
    18. sij
    Odgovor korisniku/ci

    You can grab a screencap via CLI using URLSCAN. i usually do a dig $hostname ping -a $hostname nslookup $hostname then double check / confirm with those websites for sandbox i use and (thanks for the "researcher" tier license!)

    1 reply 1 proslijeđeni tweet 1 korisnik označava da mu se sviđa
    Poništi
  16. proslijedio/la je Tweet
    17. sij

    Looking for a video to help wind down the week? Just uploaded one in which I analyze an word doc from this morning (1/17/20). Focus is on macro analysis, but I do discuss a little traffic analysis and execution in /

    10 proslijeđenih tweetova 25 korisnika označava da im se sviđa
    Poništi
  17. proslijedio/la je Tweet
    17. sij

    日本語のマルウェアメールを観測しています。 Malware mail in Japanese observed. Subject : 見積依頼 Sample :

    6 proslijeđenih tweetova 23 korisnika označavaju da im se sviđa
    Poništi
  18. proslijedio/la je Tweet
    16. sij

    Kicking off a new blog series on Emotet over at the blog with - huge props and thanks to , and

    1 reply 23 proslijeđena tweeta 52 korisnika označavaju da im se sviđa
    Poništi
  19. proslijedio/la je Tweet
    14. sij

    Added enrichment for the data published by about

    Interested in Powershell fun or data on 50,000 Emotet analyses from our public cloud? Have a look at our latest blogpost! Stay tuned for more news in the next weeks!
    1 proslijeđeni tweet
    Poništi
  20. proslijedio/la je Tweet
    13. sij

    Couple of samples of the new Ako ransomware running nicely in Triage. Just implemented family classifications and ransomnote extraction, should be available in reports over the next day or 2

    3 proslijeđena tweeta 2 korisnika označavaju da im se sviđa
    Poništi

@hatching_io još nije objavio nijedan Tweet.

Čini se da učitavanje traje već neko vrijeme.

Twitter je možda preopterećen ili ima kratkotrajnih poteškoća u radu. Pokušajte ponovno ili potražite dodatne informacije u odjeljku Status Twittera.

    Možda bi vam se svidjelo i ovo:

    ·