Mastodawn

!Este año hago doblete en la @rootedcon! Junto con mi compañero AntonioE, contaremos dentro del track de @Protaapp todas las miserias y penurias que hemos sufrido gestionando incidentes de O365 (que llevamos más palos que una estera, tenemos PX)

Pq una cosa que no sabe mucha gente es que O365 es muy bonito... pero si miras debajo del capó, "pasan cositas". Y si no las miras ... te la pueden liar. Y bien gorda. Por eso no solo os vamos a contar nuestras penas, sino que os contaremos esto:

1) Cómo la pillamos
2) Cómo la solventamos
3) Cómo puedes detectarla/solventarla para que TÚ no te lleves el palo
Y todo con doc técnica: scripts en Powershell, consultas de KQL, listo para usar.

Y si eres funcionario público, habla con @Protaapp que puedes ir gratis... 😁🔥👩‍🚒 !Nos vemos en la Rooted!

Antonio Sanz Feb 2

Este año volvemos a la #RootedCON con una charla llena de TTP, malware, mala baba y drama. Mi compinche en el bien Ana Nieto

y yo vamos a desgranar un incidente del grupo APT Lazarus desde dos puntos de vista: malware y respuesta ante incidentes.

Y lo interesante (además del incidente y del bicho, q se las pelan) es que vamos a demostrar cómo DFIR y Malware son FAM: en este incidente, sin Malware DFIR habría perdido IOC y alguna TTP clave para terminar de explicar el incidente.

... y sin DFIR, Malware no habría tenido el contexto y las piezas clave para poder montar (bueno, desmontar) el bicho. Así que si quieres ver incidentes guapos, colaboración en ciber y muchas "cositas" que pasaron, vente a la #RootedCON !!! https://rootedcon.com/ 😎 🧑‍🚒 🤘

RootedCON - RootedCON

RootedCON es el mayor congreso de ciberseguridad en España, con ponencias, formaciones y networking para expertos y entusiastas del hacking

RootedCON

Antonio Sanz Apr 30, 2025

Si te has leído mi serie de artículos sobre el writeup del #CTF #DFIR de Baklava, pero los quieres leer en "modo informe", aquí tienes todos los recursos:

1) El PDF: https://drive.google.com/file/d/1V3k3vu6cIqb2tyw6rZeMS0tXEKBAxNl1/view?usp=drive_link

2) Los artículos: https://securityartwork.es/2025/04/07/baklava-ctf-writeup-incident-report-style-i/

3) El CTF: https://ctf.communia.cc

Muchas gracias de nuevo a Andres Yedra y Arturo Martínez por el currazo haciendo un CTF la mar de juguetón 🤩

CTF_Baklava_Informe_DEF.pdf

Google Docs

Antonio Sanz Apr 28, 2025

Encantado con la gente de https://hackademics-forum.com por un viernes la mar de guapo hablando de #ransomware. La gente majísima, Córdoba preciosa, !un lujazo! Y las slides, aquí: http://bit.ly/ransom2025 (ojo que van con extras como os dije) 😉😎👩‍🚒

Hackademics Forum 2025

Hackademics Forum es un espacio de encuentro dedicado a la ciberseguridad que consistirá en una mañana de charlas y una mesa redonda.

Hackademics Forum

Antonio Sanz Apr 23, 2025

Cuarta entrega del writeup #DFIR del #CTF de Baklava: https://www.securityartwork.es/2025/04/22/baklava-ctf-writeup-incident-report-style-iv/

Baklava CTF Writeup – Incident Report Style (IV) - Security Art Work

SRV01 Dado que es un activo crítico para la Organización, se solicita por su parte un análisis forense del servidor. Se procesan en primer lugar los logs de eventos por Hayabusa, obteniendo los siguientes resultados de interés: ./hayabusa-2.17.0-lin-x64-gnu csv-timeline -d ../Logs -o ../hayabusa_srv01.csv ├╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤ | Top high alerts: │ ├╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤ │ Suspicious Eventlog Clearing or […]

Security Art Work

Antonio Sanz Apr 22, 2025

Este viernes 25 estaré en Córdoba en el Hackademics Forum 2025 hablando de lo que hemos visto en #DFIR de incidentes de #ransomware https://hackademics-forum.com Como digo siempre, de lo que se aprende mejor es de los errores de los demás, así que... !vente! 😉🔥👨‍🚒

Hackademics Forum 2025

Hackademics Forum es un espacio de encuentro dedicado a la ciberseguridad que consistirá en una mañana de charlas y una mesa redonda.

Hackademics Forum

Antonio Sanz Apr 15, 2025

Tercer parte del writeup del #CTF #DFIR de https://ctf.communia.cc/ : https://www.securityartwork.es/2025/04/09/baklava-ctf-writeup-incident-report-style-iii/

BaklavaCTF

Antonio Sanz Apr 9, 2025

Segunda entrada de la resolución del CTF #DFIR Baklava : https://www.securityartwork.es/2025/04/08/saw-baklava-ctf-writeup-incident-report-style-ii/

Baklava CTF Writeup – Incident Report Style (II) - Security Art Work

Contenido 4.2. WS02 – 192.168.20.42 Se ejecuta la herramienta Hayabusa sobre los logs, encontrando las siguientes alertas: ──────────────────────────────────────╮ │ Top critical alerts: Top high alerts: │ ├╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤ │ n/a Suspicious Eventlog Clearing or Configuration Change Activity (298) │ | n/a ETW Trace Evasion Activity (3) │ │ n/a Important Log File Cleared (2) │ │ […]

Security Art Work

Antonio Sanz Apr 8, 2025

Hacía tiempo que no publicaba nada en el blog de @s2grupo
, y ya tocaba: https://securityartwork.es/2025/04/07/baklava-ctf-writeup-incident-report-style-i/ Es interesante pq además de la resolución del reto #DFIR ... !está en modo informe! 😎😉🧐

Baklava CTF Writeup – Incident Report Style (I) - Security Art Work

Contenido Informe de Incidente BAKLAVA Parte 1 1. ¡WARNING! ¡LÉEME PRIMERO! Este documento que estás leyendo es un informe “real” de un incidente ficticio, basado en el CTF DFIR que los compañeros Andrés Yedra y Arturo Martínez (unos fieras) montaron hace poco y que puedes encontrar aquí: https://ctf.communia.cc (y que por supuesto puedes jugar, aunque […]

Security Art Work

Antonio Sanz Mar 10, 2025

Mis slides de la charla de la #RootedCON2025 "12 años luchando contra grupos #APT: Qué cojones hemos aprendido", están disponibles aquí: bit.ly/joputasAPT (y sí, con los adoquines del Pilar se bastiona de lujo, altamente recomendados 😂🥳🧐)

Website	https://www.securityartwork.es/
Twitter:	https://twitter.com/antoniosanzalc
Likes:	DFIR, incident response, forensics
Verification	https://twittodon.com/share.php?t=antoniosanzalc&[email protected]