*Read it like an infomercial*

Are you tired of working with logs that contain arrays with multiple JSON like this?

Have you tried creating a new column with the value you want only to find out that this value has no fixed position in the array?

Now your problems are over! With this 5 line KQL snippet, written by a real human, you can finally have the peace of mind that all the fields are populated correctly and everything is neat inside a single JSON!

https://github.com/0x-cde/Threat-Hunting-with-KQL/blob/main/CodeSnippets/Converting-array-of-json-to-single-json.md

#kusto #kustoquery #kql #threathunting #threat_hunting #dfir #digitalforensics

CVE-2026-3502 в TrueConf: как доверенный механизм обновлений превратился в вектор атаки

Хабр, привет! На связи Алина Байрамова, аналитик-исследователь угроз кибербезопасности R-Vision. В этой статье я разберу уязвимость нулевого дня в TrueConf Server (CVE-2026-3502), связанную с механизмом обновлений, и то, как она может быть использована для компрометации изолированных инфраструктур через доверенный канал распространения ПО.

https://habr.com/ru/companies/rvision/articles/1026640/

#изолированные_сети #уязвимости #trueconf #supply_chain_attack #soc #threat_hunting #sysmon #исследование_угроз #CVE20263502 #tampering

Охота на Emmenhtal: как мы восстановили полную kill chain банковского трояна с переформатированного диска

Разбираем реальный IR-кейс: ClickFix → Emmenhtal Loader → банковский троян с Telegram C2. Форензик переформатированного диска на 930 ГБ, VDM-дисамбигуация ложноположительных и восстановление артефактов из hibernation-файла.

https://habr.com/ru/articles/1021698/

#DFIR #форензика #malware_analysis #банковский_троян #Emmenhtal #ClickFix #threat_hunting #YARA #fileless_malware #incident_response

Как мы научили нейросеть искать связи между инцидентами в SOC

Представьте круглосуточную работу в SOC. В понедельник аналитик первой смены расследует вирусное заражение через почту. В среду аналитик второй смены разбирает алерт от NGFW о передаче вредоносного файла. Оба профессионалы, оба закрывают алерты по регламенту. Но они не заметили, что разбирали два шага одной атаки, просто потому, что ключевая улика — хитрое название сигнатуры — затерялась в простыне текстового описания, а не лежала в отдельном поле. Вот он, «цифровой туман». Проблема не в том, что скрипты не умеют сравнивать строки, они не понимают, что HOSTNAME и hostname.corp.local — по сути одно и то же. Они далеко не всегда могут выцепить IP-адрес из комментария заказчика. А когда за день сыплются десятки, а то и сотни алертов, искать подобные связи руками — это прямо боль. В поисках лекарства мы пошли на рискованный эксперимент: решили построить систему, которая находит неочевидные связи с помощью LLM. А валидатором выбрали человека, который называет себя «одним из основных хейтеров LLM и нейросетей». Под катом Кирилл Рупасов, технический директор SOC К2 Кибербезопасность, Юлия Гильмуллина, старший инженер-разработчик К2Тех, и Татьяна Белякова, ведущий системный аналитик К2Тех расскажут о том, как подружить Gemma, Qdrant и DBSCAN. Как прагматичный инжиниринг, борьба с галлюцинациями и месяцы ручной отладки заставили главного скептика признать: да, в таком виде это действительно работает.

https://habr.com/ru/companies/k2tech/articles/972220/

#soc #мониторинг #анализ_инцидентов #расследование_инцидентов #incident_response #автоматизация #нейросети #llm #threat_hunting #ai_в_кибербезопасности

Finally finished my ftp honeypot: https://github.com/dleto614/Ussuri/tree/main/ftp-honeypot

The repo:

https://github.com/dleto614/Ussuri

Next on the list is databases.

#linux #golang #go #git #redteam #threat_hunting #blueteam #purpleteam

🦠 Malware Analysis
===================

🎯 AI Prompts as Code & Embedded Keys — The Hunt for LLM-Enabled Malware

Executive summary

SentinelLABS presents a systematic survey of LLM-enabled malware
observed in the wild and describes a hunting methodology that relies
on detecting embedded API keys and structured prompt artifacts.
Preliminary analysis suggests that runtime code generation via LLMs
changes the detection landscape by moving malicious logic out of
static code and into model responses.

Methodology

The research applied pattern-matching techniques to binaries and
scripts to locate hardcoded API credentials and repeated prompt
constructs. The approach combined static scanning for token-like
strings with heuristics for prompt templates and programmatic use of
LLM endpoints. This allowed discovery of previously unknown samples
and the identification of a likely early instance referred to as
"MalTerminal." Findings emphasize that human refinement still appears
to play a role in LLM-assisted malware development.

Key findings
• LLMs have been used in multiple adversarial roles: as lures (fake AI
assistants), as targets (prompt-injection against integrated systems),
and as operational sidekicks (phishing, code support).
• Embedded API keys and canonical prompt structures provided reliable
hunting signals where classic signatures failed.
• Autonomous, large-scale malware generation by LLMs was not observed;
hallucinations, instability, and testing gaps appear to limit fully
automated malicious code generation.

Detection and operational impact

Detection engineers should expand hunting surfaces to include token
leaks, prompt-template fingerprints, and telemetry around model API
use. Runtime monitoring of outbound requests to model endpoints,
better secret-scanning in build artifacts, and behavioral baselines
for processes invoking LLM clients are practical mitigations.
Adversaries may harden workflows by obfuscating tokens or using
proxies, so defenders should prioritize multiple correlated signals
rather than single IOCs.

Limitations

The dataset is exploratory and likely incomplete; initial reports
indicate a sampling bias toward artifacts exposing keys or prompt
text. Future work should monitor evolution in actor techniques,
including secret management and prompt obfuscation.

🔹 prompt_injection #LLM #threat_hunting

🔗 Source: https://www.sentinelone.com/labs/prompts-as-code-embedded-keys-the-hunt-for-llm-enabled-malware/

https://www.sentinelone.com/labs/prompts-as-code-embedded-keys-the-hunt-for-llm-enabled-malware/

«Один в поле не воин». Интеграционные сценарии Kaspersky NGFW

Привет, Хабр! Меня зовут Иван Панин, я специалист в области сетевой безопасности, CCNP, CCNP Security, CCDP, MBA CSO. С 2022 года — руководитель группы развития решений по инфраструктурной безопасности «Лаборатории Касперского», где занимаюсь экспертной технической поддержкой пресейловых команд решений SD-WAN и NGFW, разработкой сценариев использования, лабораторных работ и технических материалов. В статье хочу рассказать об интеграционных сценариях NGFW c комплиментарными решениями смежных классов. В первую очередь это будет интересно архитекторам информационной безопасности на стороне заказчика, отвечающим за проектирование комплексной системы защиты корпоративной инфраструктуры и разработку сценариев реагирования на инциденты, а также экспертам по кибербезопасности на стороне системных интеграторов.

https://habr.com/ru/companies/kaspersky/articles/945966/

#ngfw #инфраструктура #информационная_безопасность #инфобез #иб #xdr #soc #kaspersky #threat_hunting #реагирование_на_инциденты

Threat Hunting изнутри: как охотиться на атакующего

Threat Hunting — это навык находить атакующего там, где нет алертов. А еще это умение выдвигать гипотезу, проверять ее и превращать результат в рабочую экспертизу. А также это системная работа с инфраструктурой, в которой важен контекст, скорость мышления и понимание поведения злоумышленника. Меня зовут Алексей Леднев, я руковожу продуктовой экспертизой PT ESC в Positive Technologies. И сегодня я по кирпичикам разберу профессию Threat Hunter: как она устроена, кто этим занимается, какие ошибки совершают новички, какие навыки обязательны для Threat Hunter и как попасть в профессию.

https://habr.com/ru/companies/pt/articles/911246/

#обнаружение_атак #threat_hunting #security_operation_center #учебный_курс #цепочка_атаки_хакера #обнаружение_атаки #анализ_сетевого_трафика #сигнатуры #threat_intelligence #анализ_логов

Специалист по обнаружению атак в сети: как выглядит эта работа на самом деле

Привет, Хабр! Меня зовут Андрей Тюленев, я старший специалист отдела обнаружения атак в сети в Positive Technologies. Моя работа — отслеживать атаки, затем разбирать их по косточкам, чтобы не дать злоумышленникам реализовать недопустимое событие, и создавать детекты — чтобы продукты Positive Technologies могли их обнаруживать. Сегодня я расскажу, как выглядит работа специалиста по обнаружению атак, какие инструменты мы используем, как попасть в эту профессию и какие скилы реально важны. Разберем, чем мы занимаемся на практике: от написания правил детектирования и анализа трафика до участия в расследованиях, где на кону — безопасность крупных компаний.

https://habr.com/ru/companies/pt/articles/894004/

#обнаружение_атак #threat_hunting #уязвимости_и_их_эксплуатация #rce #wireshark #osi #python #ntaсистемы #middle #senior

Mastering the Art of Threat Hunting to Enhance Cybersecurity - https://www.redpacketsecurity.com/mastering-the-art-of-threat-hunting-to-enhance-cybersecurity/

#Threat_hunting #CyberSecurity #OSINT #Cyber