Saudi Incident Responders @SaudiDFIR Twitter profile

Pinned Tweet

Saudi Incident Responders

5 years

نرفق لكم النسخة الثانيه من ملف توصيات لمراكز أمن المعلومات في المملكة العربية السعودية ، نسعد لملاحظاتكم وتعليقاتكم . لتحميل الملف :

9

61

223

Last Seen Profiles

@IlanOlstein

@JesusMartinMx

@stwmaniax

@bondagexiaolu

@AudreLawdAMercy

@fitriandrn11

@wettpolly

@DialogueINST

@nabilko

@hiki_nui

@Bryan_Recko

@school_python

@carvaldad

@Tante_Binal69

@For_Liberty1401

@KekoDyoth

@lil_macho_legs

@xxxpornhotsexw1

@soncassooon

@RobinsonOndieki

@every_hates_me

@IndoViral16

@jandakembangstw

@zh_s72

@Sherpshooter

@stw46

@EinfolkSayo

@Artificial_Imb

@OspreyLinks

@ashley_moyer15

@rbriffod

@Ruq_org

@todeat2011

@suzusanchi_

@shampoo0725

@contnue3

Saudi Incident Responders

@SaudiDFIR

5 years

إلى كل المنشئات السعودية والخليجية في المنطقة : نظرا للأحداث الاخيره الحاصله في المنطقه ، والتي تستدعي اليقظة في مراقبة جميع النشاطات المشبوهة . نوصي بالتأكد بمراقبة التكتيكات والتقنيات والإجراءات التاليه والتي عرفت بانها تستخدم في الهجمات المستهدفه للمنطقه والسعودية خاصة:

6

191

305

Saudi Incident Responders

@SaudiDFIR

3 years

Mortar Loader has been published on GitHub now. Mortar is able to bypass modern anti-virus products and advanced XDR solutions and it has been tested and confirmed bypass for the following: Kaspersky ESET Malewarebytes Mcafee Cortex XDR Windows defender Cylance

4

100

245

Saudi Incident Responders

@SaudiDFIR

4 years

ما هي أنواع الهجمات السيبرانية؟ و ما أهمية حماية أنظمة التحكم الصناعية بالذات ؟ وماهي أشهر الهجمات والمجموعات استهدافاً لها بالمنطقة؟ مرفقة لكم الإجابة في هذا التقرير :

Attacks on ICS - SaudiDFIR study.pdf

Shared with Dropbox

www.dropbox.com

2

64

193

Saudi Incident Responders

@SaudiDFIR

5 years

مراجعه جميله جدا. يشرح فيها كيف حصل على شهادات احترافيه خلال ١.٥ سنه . ابتداءا من Security+ الى OSCE. 👏🏻 . شرح كل شهادة في المراجعه. مرجع ممتاز لكل شخص عنده اسئله كيف يبدأ.

h0mbre

@h0mbre_

5 years

I've been noticing a bunch of questions about entry-level certifications lately so I decided to write about my experience with blitzing through a bunch of them this last 1.5 years. Just my opinion. What I did and what I wished I did. From Sec+ to OSCE:

13

106

393

0

28

177

Saudi Incident Responders

@SaudiDFIR

5 years

Timeline of reported Cybersecurity incidents targeting Saudi Arabia , along with some major events that could be linked to it.

2

71

142

Saudi Incident Responders

@SaudiDFIR

5 years

لمن لم يقرأ التقرير الأخير لشركة FireEye ، ننصحه بإعادة النظر في ذلك ... التقرير جميل جدا ويستعرض برمجيات جديده لمجموعه APT34 لم ترى من قبل تم تسميتها TONEDEAF ، VALUEVAULT ، LONGWATCH. سنلخص التقرير بشكل بسيط للقارئ المهتم وبشكل غير عميق. #SaudiDFIR

Saudi Incident Responders

@SaudiDFIR

5 years

New #APT34 report by 🔥👁️

0

6

29

2

23

87

Saudi Incident Responders

@SaudiDFIR

6 years

سنشرح لكم اليوم مثال حقيقي لهجمة Drive-by download ، العينه تم اخذها من في وقت سابق .

2

31

80

Saudi Incident Responders

@SaudiDFIR

6 years

السلام عليكم ورحمة الله وبركاته : ما هي هجمات Drive by Download ? بكل بساطة : زرع iFrame في اي صفحه من قبل المهاجم لتعمد اصطياد زوار الموقع المستهدف ، وبالتالي بعد زيارة الضحية للصفحه يتم توجيهه لصفحة اخرى (موقع آخر) يحتوي على كود خبيث والذي بدوره يقوم بتحميل برنامج ضار =

5

28

72

Saudi Incident Responders

@SaudiDFIR

5 years

لكل المهتمين في تحليل البرمجيات الخبيثه ⁦👍🏻⁩ Very informative video.

The State of Malware Analysis: Advice from the Trenches

When investigating an incident, we seek useful, actionable information about the malicious software discovered on the affected systems. What tools and techni...

www.youtube.com

1

16

72

Saudi Incident Responders

@SaudiDFIR

5 years

New #tvrat sample uploaded to @anyrun_app

0

26

66

Saudi Incident Responders

@SaudiDFIR

2 years

Remember this

6

15

66

Saudi Incident Responders

@SaudiDFIR

3 years

GitHub link :

GitHub - 0xsp-SRD/mortar: evasion technique to defeat and divert detection and prevention of...

evasion technique to defeat and divert detection and prevention of security products (AV/EDR/XDR) - 0xsp-SRD/mortar

github.com

2

26

64

Saudi Incident Responders

@SaudiDFIR

5 years

من مبدأ حرصنا على التوعيه و نشر الأخبار والاحداث في الأمن السيبراني يسرنا أن نعلن عن إطلاق خدمة البريد الإسبوعي (في بداية كل أسبوع) لأهم الأخبار والأحداث في الأمن السيبراني. للمزيد من المعلومات والتسجيل

6

26

60

Saudi Incident Responders

@SaudiDFIR

5 years

‘دردشات سيبرانية | حلقة ١ | تجاوز الأنظمة الدفاعية في اختبارات الأختراق’ on #SoundCloud #np مع @TheMinz1991 منصور الزياني

2

14

57

Saudi Incident Responders

@SaudiDFIR

4 years

استكمالاً لتغريداتنا القديمة المتعلقة بحملة Bad Tidings والتي تم التغريد عنها مسبقاً في حسابنا ، نرفع لكم ملف تحليلي لأهم المستجدات المتعلقه بها.

Bad Tidings حملة التصيد.pdf

Shared with Dropbox

www.dropbox.com

1

17

44

Saudi Incident Responders

@SaudiDFIR

5 years

تفصيل وتحليل لمجموعه كبير (كما يبدو) ومنظمه للنصب والاحتيال باسم الاستثمار : وصلنا رابط خبر من احد الاشخاص بعنوان " رسالة من سليمان الراجحي للمقبلين على التجاره" . طبعا كما هو واضح امامكم الخبر وكيف انك كشخص (باحث عن الثراء) . معلومات Domain الموقع (جديد): AlmUbasHerNews[.]com

13

44

46

Saudi Incident Responders

@SaudiDFIR

5 years

Interesting find

Analysis قضية_معاذ_اسماعيل_هنية.pdf.zip (MD5: 351970533973CFC6B6A016C4D7D03D74) No threats detected...

Interactive malware hunting service. Live testing of most type of threats in any environments. No installation and no waiting necessary.

app.any.run

4

17

46

Saudi Incident Responders

@SaudiDFIR

5 years

"الايفون مستحيل يتهكّر"

5

35

37

Saudi Incident Responders

@SaudiDFIR

5 years

Interesting .vbe file . Wscript > powershell > reads from MP3 file @James_inthe_box @malwrhunterteam @JAMESWT_MHT @cyb3rops @ItsReallyNick

4

22

43

Saudi Incident Responders

@SaudiDFIR

6 years

When a malware is trying to bypass AV :

10

32

38

Saudi Incident Responders

@SaudiDFIR

6 years

As recieved (to be confirmed) INDICATORS OF COMPROMISE (IOCS) The following IOCs are associated with various malware distribution campaigns that were observed during the analysis of associated malicious activity. Fake job websites: hr-wipro[.]com hr-suncor[.]com

2

28

36

Saudi Incident Responders

@SaudiDFIR

2 years

DFIR report by #Chatgpt

1

8

32

Saudi Incident Responders

@SaudiDFIR

5 years

In case you have missed this beautiful sub-technique introduced by @MITREattack

ATT&CK

@MITREattack

5 years

Our beta release of ATT&CK with sub-techniques is now live! We’ve just posted a blog post by @stromcoffee with links to all of the new resources and advice on how to leverage them (). You can also check out the new site itself at .

24

321

510

0

14

32

Saudi Incident Responders

@SaudiDFIR

5 years

لتحميل نسختكم من هنا : ارجو النشر . 👍

SOC Recommendation توصيات لمراكز أمن المعلومات.pdf

Shared with Dropbox

www.dropbox.com

0

4

28

Saudi Incident Responders

@SaudiDFIR

5 years

3

17

30

Saudi Incident Responders

@SaudiDFIR

5 years

New #APT34 report by 🔥👁️

0

6

29

Saudi Incident Responders

@SaudiDFIR

6 years

Apparently someone discovered a treasure @anyrun_app @sS55752750 @malwrhunterteam @James_inthe_box @JAMESWT_MHT @packet_Wire @malware_traffic @wavellan @securitydoggo @MalwarePatrol @nullcookies @CraneHassold @IpNigh @terminalrift @MalwareHunterBR @JRoosen

1

8

25

Saudi Incident Responders

@SaudiDFIR

5 years

من أحد البنوك السعوديه تم رفع بريد الكتروني على موقع @anyrun_app للتحليل (علما بأنها ليست المرة الأولى من نفس البنك) وقد لاحظنا ذلك ولم نذكره سابقا. 🔴تنبيه: تأكدوا بأن الفرق لديكم لا ترفع للموقع لأن المرفوعات تعتبر "عامه"، في حال الرغبه بكونها خاصة يوجد اشتراك ( بالمرفقات) .

4

16

27

Saudi Incident Responders

@SaudiDFIR

6 years

Some of you maybe noticed that we have launched our threat intelligent sharing platform . Our main focus is to eliminate the fear of not sharing IoCs between organizations (Currently GCC only) who are afraid of sharing IoCs because of reputation damage.

8

11

24

Saudi Incident Responders

@SaudiDFIR

5 years

تم اطلاق موقع لتحليل البرمجيات الخبيثه ومستضاف محليا من قبل فريق @SG1R_ و @safedecisionKSA كل الشكر لكل من عمل عليه. الموقع يساعد المختص وغير المختص في فحص الملفات والتأكد من سلامته . بإذن الله سيتم التغريد بشكل مفصل وشرح الميزات واستخداماته 👍

Saudi Incident Responders

@SaudiDFIR

5 years

So our colleagues @SG1R_ and @safedecisionKSA successfully lunched a localized Malware analysis sandbox🔥 I can see samples being submitted ! we are exploring it now 👍

1

15

22

3

14

24

Saudi Incident Responders

@SaudiDFIR

5 years

انزلت مايكروسوفت اليوم تحديث الثغره خطيره جدا وتصنف كحرجه (CVE-2019-0708) يتم فيها استغلال خدمة RDP لتنفيذ تعليمات برمجية عن بعد RCE . الثغره خطيره جدا وقد يتم استغلالها مستقبلا في اي هجوم باعتبارها ( دوديه) بمعنى سهولة انتشارها في الشبكه wormable بالضبط نفس WannaCry.

1

24

25

Saudi Incident Responders

@SaudiDFIR

5 years

بمناسبة حصول على الدرجة الكاملة كمشروع تخرج ولله الحمد. "منشن الحساب وراح اعمل ريتويت لمشاريع تخرج لها علاقه بالأمن السيبراني. " أؤمن بوجود افكار كثيرة ترقى لأن تكون مشاريع كبيرة بالمستقبل، وأؤمن كذلك بضرورة إبراز كل المواهب وتشجيعهم. اكتبوا التفاصيل !

6

10

19

Saudi Incident Responders

@SaudiDFIR

5 years

واحده من أكبر شركات ال IT الأمريكيه @Cognizant تم استهدافها من قبل فايروس فدية باسم Maze . مرفق في التغريدة YARA Rule للفايروس .

Vitali Kremez

@VK_Intel

5 years

High alert related to the yet another ransomware attack perpetrated by the Maze group possibly affecting @Cognizant . Reviewing & mitigating against the usual Maze TTPs (including RDP + remote services as an attack vector) is advisable. ✅Pushed #YARA ↘️

8

127

195

0

10

25

Saudi Incident Responders

@SaudiDFIR

6 years

We got this PS file from recent Ransomware infection , the infection was related to .snatch extention ransom. the PS file was deleted around the incident time , got carved and investigated. C2 is apparently down , anyone stubled on this before ? VT: 6

Michael Gillespie

@demonslay335

6 years

#Ransomware Hunt: extension ".snatch", note "Readme_Restore_Files.txt" -

1

10

12

3

7

23

Saudi Incident Responders

@SaudiDFIR

4 years

Be aware of huge phishing campaign targeting various sectors in Saudi impersonating some banks and other companies including @alrajhibank_en @AlAhliNCB and @ALKAHRABA and maybe more

6

23

24

Saudi Incident Responders

@SaudiDFIR

5 years

اللي مهتم يدخل مجال ال ICS. هذا افضل مصدر ممكن يستفيد منه

Saudi Incident Responders

@SaudiDFIR

5 years

اللي مهتم بال ICS يتواصل معي بالخاص ⁦👍🏻⁩

0

1

6

24

Saudi Incident Responders

@SaudiDFIR

6 years

Anybody seen this domain before ?

3

10

24

Saudi Incident Responders

@SaudiDFIR

5 years

So our colleagues @SG1R_ and @safedecisionKSA successfully lunched a localized Malware analysis sandbox🔥 I can see samples being submitted ! we are exploring it now 👍

1

15

22

Saudi Incident Responders

@SaudiDFIR

4 years

⚠️ Warning ⚠️ There is an active spam emails impersonating @saudipost observed in Saudi. sender domain is freshdesk[.]com

2

26

23

Saudi Incident Responders

@SaudiDFIR

6 years

ثغرة جديدة في برنامج ال FaceTime تسمح لأي أحد التنصت على الطرف الآخر وفتح المايكروفون (وايضا الكاميرا) بدون موافقة الطرف الآخر! الحل : عطّلوا الفيس تايم الى ان يصدر پاتش !

2

12

23

Saudi Incident Responders

@SaudiDFIR

5 years

مؤشرات الإختراق أو (IoCs) مرفق . جميل جدا سرعة النشر لمساعدة الغير في الكشف عن الفايروس 👏

Maze IOCs - Pastebin.com

Pastebin.com is the number one paste tool since 2002. Pastebin is a website where you can store text online for a set period of time.

pastebin.com

Cognizant News

@CognizantNews

5 years

We are in ongoing communication with our clients regarding the Maze ransomware attack. We have proactively shared Indicators of Compromise (IOCs) with our clients. More here:

2

20

50

3

12

23

Saudi Incident Responders

@SaudiDFIR

5 years

We will be releasing a document to aid SOC in their monitoring during Eid period . And of course it can be used not only for that time. It will summarize what we have tweeted weeks ago about TTPs. In Arabic.

5

10

22

Saudi Incident Responders

@SaudiDFIR

3 years

⚠️ Sweep Alert ⚠️ Sweep for these indicators … if you see connection you will probably have to deeply check that host doing connections to these help-microsoft.dnslive[.]net protect-au.mimecast[.]com 104.92.93[.]19 208.51.61[.]44 34.105.85[.]231

1

6

22

Saudi Incident Responders

@SaudiDFIR

4 years

@RobertMLee You can't get compromise if you don't get updated 😉

0

1

19

Saudi Incident Responders

@SaudiDFIR

3 years

Are you aware of Cybersecurity now ?

8

12

21

Saudi Incident Responders

@SaudiDFIR

6 years

Detailed analysis of allegedly #Muddywater sample earlier unvailed by @360TIC by @THE_BOSSz

Mohammed Almodawah

@THE_BOSSz

6 years

تحليل أوّلي لملف Word خبيث و حديث يُعتقد من OSINT متوسط الثقة انه تابع ل MuddyWater التي استهدفت عدة جهات في الشرق الأوسط و من ضمنها المملكة العربية السعودية. SHA256: c873532e009f2fc7d3b111636f3bbaa307465e5a99a7f4386bebff2ef8a37a20 تم اكتشافه قبل يومين من تاريخ هذه التغريدة

4

63

152

1

12

20

Saudi Incident Responders

@SaudiDFIR

6 years

We have acquired a new malware sample that is being spread out to banks in UAE. @aeCERT @DESCofficial watch out fellows . Thanks for @virusbay_io community for this ! VT detection rate at date of this tweet : 40 / 68

4

12

21

Saudi Incident Responders

@SaudiDFIR

4 years

فايرس الفديه Egregor كما يبدو لنا منتشر في المنطقة وقد أصاب أحد المستشفيات والشركات . It uses a random extension and drops a ransom note named RECOVER-FILES.txt.

1

9

20

Saudi Incident Responders

@SaudiDFIR

5 years

Be aware of this domain alrafaallc[.]com (Omani company website) cc: @OmanCERT sending emails to various targets containing this Outlook Web Access harvesting link in the region. ( #APT33 /34/ #Oilrig style ?) Domain Age is 1 day 👶.

1

14

21

Saudi Incident Responders

@SaudiDFIR

6 years

We are happy to annouce the complete integration with @abuse_ch API 👌😁

3

6

20

Saudi Incident Responders

@SaudiDFIR

3 years

تحية لكل المرابطين في الصفوف السيبرانية بالعيد 👏🏻 وكل عام وانتم بخير. #عيد_مبارك

2

7

20

Saudi Incident Responders

@SaudiDFIR

5 years

WhatsApp Digger presentation In case you missed it.

0

4

19

Saudi Incident Responders

@SaudiDFIR

6 years

نطاق ��م تسجيله حديثا يستهدف مستخدمين موقع وزارة الخارجيه السعودي : visa,mofa,gov,sa,absher[.]club ومن الواضح لكم ال passive DNS records لهذا العنوان 160,153,75,64 @NCA_KSA @NCSC_SA

1

15

19

Saudi Incident Responders

@SaudiDFIR

5 years

🤔

Analysis تحميل كتاب مدخل الى الهندسة العكسية.pdf (MD5: 0F06C2E02D5833D1D81801A1A33B1771) No threats...

Interactive malware hunting service. Live testing of most type of threats in any environments. No installation and no waiting necessary.

app.any.run

0

4

18

Saudi Incident Responders

@SaudiDFIR

6 years

Warning : malicious file detected in the wild targeting Saudi Arabia. * The file connects to an Iranian domain to drop an executable. * The executable creates a child process , does changes in autorun registry. " Persistency" * Uses netsh.exe to change firewall settings =

1

15

17

Saudi Incident Responders

@SaudiDFIR

6 years

اذا كنتم مشتركين معنا في منصتنا كمنظمه ، تستطيعون ان تروا "بشكل مجهول تماما) اي جهه اخرى تشارك ال IoCs الخاصه بها . اللون الأبيض : يرى للجميع . اللون الأخضر : لا يرى الا من قبل الشركات او المنظمات . شكرا لكل شركاء الموقع وجميع المسجلين 👌

1

8

18

Saudi Incident Responders

@SaudiDFIR

5 years

Our friend is back ! impersonating @KSAMOFA #bad_tiding موقع تصيد يتسهدف مستخدمين نظام التأشيرات في وزارة الخارجية السعودية. hxxps://visa.mofa.gov.sa.nmmgo[.]com/ @rpsanch

3

17

18

Saudi Incident Responders

@SaudiDFIR

5 years

Looks like someone successfully created PoC for Android CVE-2019-2107 RCE PoC: You can own the mobile by viewing a video with payload. Should works on Android 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9.

0

9

18

Saudi Incident Responders

@SaudiDFIR

3 years

The tool was demonstrated on CrestConAsia 2021 @cyb3rops

Bypass the Detection & Prevention Obstacle: Red Teaming Technique -...

Presentation by Lawrence Amer (Cyber Security Manager, DarkLab Hong Kong PwC).Watch the rest of CRESTCon Asia 2021 presentations here:https://youtube.com/pla...

www.youtube.com

1

10

19

Saudi Incident Responders

@SaudiDFIR

5 years

Great @NCA_KSA 👏🏻

الهيئة الوطنية للأمن السيبراني

@NCA_KSA

5 years

تصدر #الهيئة_الوطنية_للأمن_السيبراني الإصدار الأول من سلسلة مصطلحات الأمن السيبراني والتي تهدف إلى التوعية بأهم المصطلحات المستخدمة في الأمن السيبراني وتعريفاتها

13

160

325

0

8

16

Saudi Incident Responders

@SaudiDFIR

4 years

Stay tuned

2

5

18

Saudi Incident Responders

@SaudiDFIR

5 years

1- T1341 تثقيف الموظفين في عدم افشاء اي معلومات حساسه وعدم الثقه بأي اشخاص يقدمون عروض من خلال شبكة LinkedIn بشكل خاص والشبكات الأخرى عامة. 2- T1003 مراقبة أي تواجد لأداة Mimikatz وغيرها تحت تصنيف Credential Dumping "هل حلولكم تستطيع كشف هذه الأدوات ؟ EDR Or EP .

1

26

17

Saudi Incident Responders

@SaudiDFIR

5 years

Be aware of this file. Check the IOCs related to it. The related IP was hosting some malwares and were reported by both @zbetcheckin @malware_traffic in @abuse_ch . Now is hosing some , again.

Analysis OTB2019000045215.xls (MD5: B4D6D40B7C0EF2799C3412576EE3BD3F) Malicious activity - Intera...

Interactive malware hunting service. Live testing of most type of threats in any environments. No installation and no waiting necessary.

app.any.run

2

12

17

Saudi Incident Responders

@SaudiDFIR

6 years

#opendir #lokibot Thanks @de_aviation Main object- "arab.exe" url hxxp://64.137.243.4/arab.exe md5 4e3bf4af95f40e159283074f0eed20d6 Connections ip 64[.]137.243.4 HTTP/HTTPS requests url hxxp://64.137.243.4/arab/Panel/fre.php

2

4

16

Saudi Incident Responders

@SaudiDFIR

2 years

@cyb3rops Okay this is highly suspicious to me. Why a .txt file names anydesk creating some sort of a private channel?Not great at reading this but a cert? Probably configuring anydesk config file ahead of time before downloading it. I’d question myself why ? Maybe to keep it encrypted ?

0

15

Saudi Incident Responders

@SaudiDFIR

5 years

8- T1086 مراقبة جميع عمليات PowerShell. قاعدة عامة لكل مسؤولين ال SOC: Know normal to detect the abnormal . وننبه للانتباه للتالي : 1- مراقبة ما اذا كان ال PowerShell بترميز Base64 او لا . في كلتا الحالتين يجب التحقق من شرعيته او لا 2- طول ال PowerShell نفسه قد يدل الى خبثه.

1

14

15

Saudi Incident Responders

@SaudiDFIR

6 years

"Green Leakers" to reveal the identity of some big heads of "MuddyWater" group in the next few days. مجموعه تدعى " Green Leakers" ستنشر في الايام القادمه معلومات عن بعض الأشخاص المنظمين لمجموعه MuddyWater .

2

7

15

Saudi Incident Responders

@SaudiDFIR

5 years

File name translation: Dubai Islamic bank ATM , Cc: @DIBtoday @DESCofficial @aeCERT The IP has very bad reputation.

1

8

14

Saudi Incident Responders

@SaudiDFIR

6 years

Save it , share it . This is how #emotet spread lately. @malware_traffic

0

7

13

Saudi Incident Responders

@SaudiDFIR

6 years

Hey @PayPal hxxp://butterflyhouse.com[.]sa/information/smarthelp/customer-id-794/myaccount/signin @packet_Wire @malwrhunterteam @malware_traffic @wavellan @Dashowl @securitydoggo @n0p1shing @MalwarePatrol @James_inthe_box @nullcookies @JAMESWT_MHT @CraneHassold @IpNigh @x0rz

5

9

14

Saudi Incident Responders

@SaudiDFIR

5 years

Run this in your environment, if you don't have an EDR you might " I bet" find something. thank @cyb3rops later for that.

Florian Roth

@cyb3rops

5 years

I've transformed the expressions from my "Top Base64 Encodings" learning aid into a YARA and Sigma rule and published them in the respective repos Learning Aid YARA Sigma

6

101

276

0

4

14

Saudi Incident Responders

@SaudiDFIR

5 years

Shout out for @alienvault and their OTX team for their effort in keeping the community informed and updated with latest threats second by second. 🙏🏻. @chrisdoman 👏🏻

1

6

14

Saudi Incident Responders

@SaudiDFIR

5 years

Interesting sample 4653916d821f58fcf9dde8c2c5e05a0c

4

6

15

Saudi Incident Responders

@SaudiDFIR

5 years

يا ترى في حال حدوث هجوم على أنظمة نحكم صناعية. ماهي العواقب ؟ في حال نجاح احد الهجمات المستهدفه لأنظمة ال ICS ، ممكن حدوث احد الاشياء التاليه : ١- تأخير ,منع، أو تعديل عملية معينة قد تؤدي لتغيير كمية من الطاقة المنتجه في منشأة لتوليد الكهرباء. #ICSTalk #SaudiDFIR

6

8

14

Saudi Incident Responders

@SaudiDFIR

5 years

6- تعطيل استخدام Powershell الاصدار الثاني في كل من ويندوز 7 و سيرفر 2008 R2 . وازالته في كل اصدار اجدد من ذلك (لا يمكن ازالته في الإصدارات القديمه) لماذا ؟ Powershell الإصدار الثاني لايمكنه تسجيل ال command arguments في الLogs او السجلات. يستخدم من قبل ال Actors to cover tracks

1

10

13

Saudi Incident Responders

@SaudiDFIR

5 years

3- T1060 مراقبة اي خدمه يتم انشائها في ملفات Registry Run Keys / Startup Folder . 4- T1076 تقنين استخدام RDP ومراقبته في حال الحاجه. Who and why ? 5- T1021 مراقبة SSH " خاصة للأجهزه الحساسه"

1

12

13

Saudi Incident Responders

@SaudiDFIR

6 years

Here is a trick to detect this simply by Windows security logs , if you see this you might go ahead and do some other invetigation E.g : is Road Runner on vacation and out of company ? Are Silvester and Road Runner in the same office together doing some tasks ? This scenario can=

3

7

14

Saudi Incident Responders

@SaudiDFIR

5 years

مطلوب : شخص، يفضل ميد جونيور، اشتغل على لينكس و ويندوز، و على scale شوية كبير. الشغل ٩٠٪ لينكس و فيه involvements فيه كم domain زي configuration management, automation, orchestrations, identity management, little bit of virtualization, storage. اللي مهتم يجي خاص ⁦👍🏻⁩

0

14

12

Saudi Incident Responders

@SaudiDFIR

6 years

وردنا للتو : استهداف لبعض الجهات السعودية Just in: Saudi Organizations were targeted IoC’s: Sender Email: “N.White[@]lloydsbankbacs[.]com” Sender Domain: “lloydsbankbacs[.]com” Sender Email IP: “37.48.117[.]16” Email Subject: “Please find attached your incoming BACs documents.”

1

11

13

Saudi Incident Responders

@SaudiDFIR

5 years

Currently Trying this @RedDrip7 Malware Analysis service. lets see how different it is from virusTotal

1

6

14

Saudi Incident Responders

@SaudiDFIR

6 years

وصلنا للتو : مؤشرات اختراق لحمله على بعض الشركات السعودية عن طريق البريد الالكتروني. Just received : IoCs for a campaign targeting Saudi Arabia organizations via Emails

3

24

14

Saudi Incident Responders

@SaudiDFIR

5 years

Good guys at @Anomali are offering free Intel for non-customers to fight covid19 themed attacks 👏🏻.

0

12

13

Saudi Incident Responders

@SaudiDFIR

6 years

New #emotet (4/12/2018) VT upload C2: hxxp://74.104.175[.]6:443/

1

2

14

Saudi Incident Responders

@SaudiDFIR

5 years

Molerats , #Gaza Group ? C2: 78.128.114[.]76 2f78dce2158807d279b4d358d2b6de94 @Rmy_Reserve @blackorbird @abosalahps

Analysis اعلان مرتقب لصفقة القرن و ابو مازن يوافق بشرط واحد.exe (MD5: 2F78DCE2158807D279B4D358D2B...

Interactive malware hunting service. Live testing of most type of threats in any environments. No installation and no waiting necessary.

app.any.run

2

4

14

Saudi Incident Responders

@SaudiDFIR

5 years

لكل من سأل من قبل عن العمل في مجال ال SOC أو لديه بعض الاسئله ⁦👌🏻⁩. سلسلة تغريدات بسيطه توضحه بشكل مختصر جدا .

0

2

14

Saudi Incident Responders

@SaudiDFIR

6 years

Would you buy ?

8

2

12

Saudi Incident Responders

@SaudiDFIR

4 years

Weaponizing Open Source Software for Targeted Attacks Notepad++ 👀

1

5

12

Saudi Incident Responders

@SaudiDFIR

6 years

hxxp://jungleland.com[.]sa/index/hotmail/ @packet_Wire @malwrhunterteam @malware_traffic @wavellan @Dashowl @securitydoggo @n0p1shing @MalwarePatrol @James_inthe_box @nullcookies @JAMESWT_MHT @CraneHassold @IpNigh @x0rzv

0

9

11

Saudi Incident Responders

@SaudiDFIR

5 years

6- T1053 مراقبة المهام المجدوله schedualed tasks " خاصة خارج اوقات الدوام الرسمي والتحقق منها" والمتمثله في الاوامر التاليه : at.exe and schtasks.exe 7-T1035 مراقبة استخدامات اداة PsExec.أو على الاقل حصر استخدامها فقط لمسؤولين الأنظمة ومراقبى استخدامها لخلاف ذلك(خارج الوقت)

1

16

11

Saudi Incident Responders

@SaudiDFIR

5 years

مطلوب موظفين DFIR خبرة من سنتين إلى ٧ سنوات في monitoring, incident response, forensics .. المكان جهة شبة حكومية. المكان : الرياض. الرجاء ارسال السير الذاتيه عبر الايميل. saudidfir @protonmail .com

1

16

13

Saudi Incident Responders

@SaudiDFIR

3 years

Emotet is back from the dead 🧟‍♂️

Max_Malyutin

@Max_Mal_

3 years

#Emotet is back after a few days, new TTPs 🚨 Excel MalDoc with protected VBA macro VBS dropped to %ProgramData% PowerShell encoded command [-split and .replace] Regsvr32 instated of rundll32 exec: regsvr32.exe /s c:\programdata\[Random].dll C2: 175.107.196[.]192 Port 80

0

41

81

1

4

12

Saudi Incident Responders

@SaudiDFIR

6 years

Hello @EG_CERT #Lokibot #adwind #opendir @zbetcheckin from @abuse_ch hxxp://arabcoegypt.com/wp-content/upgrade/ hxxp://arabcoegypt.com/wp-includes/js/ Very good shopping list !

1

6

12

Saudi Incident Responders

@SaudiDFIR

5 years

How about we tweet about threat hunting ? 🤔

4

6

13

Saudi Incident Responders

@SaudiDFIR

5 years

In case you guys don't know. Bluekeep just seen in the wild " actively" Hide yo 3389 ports , hide yo servers !

0

4

11

Saudi Incident Responders

@SaudiDFIR

5 years

ختاما : لأي استفسارات نسعد بالمساعدة في أي نقطه تم او لم يتم ذكرها في الخاص . ويوجد الكثير غير ما تم ذكره سلفا ولكن هذا هو ابرز ماتم ملاحظته سابقا او السائد في اخر الهجمات المستهدفه للمنطقه . وشكرا لكم.

3

7

11

Saudi Incident Responders

@SaudiDFIR

6 years

#Forensics and #DFIR folks , check this : WhatsApp Digger is a mobile digital forensics tool used to acquire WhatsApp artifacts from the suspect/ victim mobile device. The tool offers usable data presentation of all types along with advanced analysis features, case management,

1

8

12

Saudi Incident Responders

@SaudiDFIR

6 years