ThreatLab routes all sandbox traffic through dedicated WireGuard exit nodes across the US, UK, Germany, and Spain. Kill switch prevents IP leaks if the tunnel drops. Your real IP never touches the malware's C2.

threatlabsandbox.com

#dfir #blueteam #malwareanalysis #infosec #sigma #sysmon #incidentresponse #blueteam

I built a local malware analysis sandbox as a solo dev. Isolated VMs, live monitoring, AI threat analysis, EVTX analyzing, and reports. Everything stays on your machine.

2-min demo: https://www.youtube.com/watch?v=KgxE3_4njpk

Beta is open and free - looking for security analysts and IR professionals to help shape the product.

https://threatlabsandbox.com

#dfir #blueteam #malwareanalysis #infosec #sigma #sysmon #incidentresponse #msp

BYOVD-атаки на ядро Windows через драйверы: разбираю механику, воспроизвожу, строю защиту

Вы настроили Sysmon, у вас работает EDR, события летят в SIEM. Создаётся процесс, вы видите Event ID 1. Загружается DLL, Event ID 7. Всё под контролем. А теперь кто-то загружает в систему один .sys-файл. Обычный, подписанный, из прошлого века. И события пропадают. Не потому что Sysmon упал или EDR отключили. Они работают. Просто ядро Windows больше не считает нужным им что-то рассказывать. Я залез внутрь, чтобы понять, как это устроено. Поднял WinDbg, подключился к ядру, нашёл структуры, где хранятся callback'и мониторинга. Обнулил их, повторив технику руткита Lazarus. Sysmon на месте, PID живой, но лог пустой. Меня зовут Роман Мгоев, я специалист по анализу киберугроз в Альфа-Банке, в статье пройду этот путь целиком: начиная с архитектуры колец защиты Windows, byte-патчей в памяти ядра и разбора FudModule от Lazarus обеих версий, до свежих техник zerosalarium и разбора публичных тулкитов, а в конце поделюсь семью направлениями детектирования с готовыми правилами для SIEM. Отдельный блок — про аудит драйверов, которых ещё нет ни в одной базе.

https://habr.com/ru/companies/alfa/articles/1011302/

#BYOVD #EDR #Windows_kernel #Sysmon #SIEM #Lazarus #ransomware #reverse_engineering #SOC #detection_engineering

#Windows11 KB5077241 update improves #BitLocker, adds #Sysmon tool

https://www.bleepingcomputer.com/news/microsoft/windows-11-kb5077241-update-improves-bitlocker-adds-sysmon-tool/

#cybersecurity #Windows #Microsoft

RE: https://infosec.exchange/@suricata/115583672707664579

Suricata events enriched with #sysmon process info = #Pikksilm. Based on experiences from the #LockedShields cyber battlefield. Definitely recommended to see that tool and presentation.

Also talk about #ICS , #modbus and datasets by @reverseics brings good ideas and examples of #suricata rules.

Microsoft is bringing Sysmon natively into Windows 11 & Windows Server 2025 - installable via Optional Features and updated through Windows Update.

Custom configs, advanced filtering, and the familiar event set (proc creation, file creation, tampering, WMI, network activity) all remain.

Docs + new enterprise management features are coming next year.

What’s your take on native Sysmon for enterprise visibility?

#Sysmon #infosec #windows11 #microsoftsecurity #blueteam #cybersecurity #threathunting #endpointsecurity