Tässä jaksossa keskustellaan siitä, mitä kaikkea kuuluu tyypilliseen incident response tutkintaan. Juontajat lisäävät myös omia kokemuksiaan tuomaan käytännön läheisiä esimerkkejä tutkinnan elinkaaren eri vaiheissa. Tervetuloa metsälle! Jaksolle seuraava osa julkaistaan myöhemmin syksyllä 2023. Lähteet: https://www.sans.org/white-papers/1516/ https://twitter.com/ido_cohen2/status/1678431236912455682 https://www.trendmicro.com/en_us/research/23/c/emotet-returns-now-adopts-binary-padding-for-evasi...
Jul 16, 2023•1 hr 49 min•Ep. 26
Histamiinia mukaillen, Klip Cl0p Klip Cl0P hevo-i-nen on pop! Uhkiksella jutustelua MoveIt haavoittuvuuden myötä vahvasti julkisuuteen nousseesta Cl0p kiristyshaittaohjelmasta. Lisäksi muutama ajankohtainen uhka. Lähteet: https://flashpoint.io/blog/clop-ransomware-moveit-vulnerability/ https://blogs.blackberry.com/en/2023/06/clop-ransomware-and-moveit-cyberattack https://therecord.media/shell-impacted-in-clop-ransomware-attack https://www.theregister.com/2023/06/15/clop_broke_into_the_doe/ https...
Jul 02, 2023•1 hr 24 min•Ep. 25
Uhkametsällä keskustellaan hieman erilaisesta aiheesta, tietoturvavalvomosta. Juontajat pohtivat miten koko homma toimii ja miltä Jounin tekemä SOC näyttäisi. Tervetuloa kuuntelemaan! Lähteet: https://www.mitre.org/news-insights/publication/11-strategies-world-class-cybersecurity-operations-center Instagram: https://www.instagram.com/uhkametsa/ Linkedin: https://www.linkedin.com/company/uhkametsa/...
Jun 18, 2023•1 hr 32 min•Ep. 24
Uhkametsällä palataan kiristyshaittaohjelmien pariin Black Bastan muodossa ja lisäksi jutustellaan Iranilaisten uusimmista kujeista. Lähteet: https://www.trendmicro.com/vinfo/gb/security/news/ransomware-spotlight/ransomware-spotlight-blackbasta https://www.cybereason.com/blog/cybereason-vs.-black-basta-ransomware https://www.coindesk.com/tech/2023/02/23/ransomware-group-conti-has-re-surfaced-under-a-new-name-trm-labs/ https://thehackernews.com/2023/03/the-prolificacy-of-lockbit-ransomware.html h...
Jun 04, 2023•1 hr 27 min•Ep. 23
Uhkametsällä perehdytään pahamaineiseen Turla APT ryhmään perusteellisesti. Jaksossa käsitellään Turlan historiaa nykypäivään asti. Tarkastetaan myös lopuksi viimeaikaiset trendit haittaohjelmissa. Lähteet: https://www.industrialcybersecuritypulse.com/threats-vulnerabilities/throwback-attack-russian-apt-group-turla-has-hit-45-countries-since-2004/ https://attack.mitre.org/groups/G0010/ https://securelist.com/the-epic-turla-operation/65545/ https://exatrack.com/public/Tricephalic_Hellkeeper.pdf h...
May 21, 2023•1 hr 19 min•Ep. 22
Tänään metsällä jutustellaan Kohopallolaukausesta ja paperihaavassa olevasta haavasta (haavaception!). Lisäksi kokeillaan jotain uutta. Lähteet: https://www.elastic.co/security-labs/elastic-security-labs-discovers-lobshot-malware https://www.trendmicro.com/en_us/research/23/d/update-now-papercut-vulnerability-cve-2023-27350-under-active-ex.html https://www.helpnetsecurity.com/2023/04/25/cve-2023-27350-poc/ https://www.huntress.com/blog/critical-vulnerabilities-in-papercut-print-management-softwa...
May 07, 2023•1 hr 13 min•Ep. 21
Uhkametsällä perehdytään alati muuttuvaan initial access loader kentään (ei tule varmaan kenellekkään yllätyksenä), ihmetellään Ben & Jerry jäätelömakuista valtiollista toimijaa, unohtamatta Jounin grillikauden avausta! Jakson lähteet: Qakbot: https://www.malwarebytes.com/blog/news/2023/04/qbot-changes-tactic-remains-a-menace-to-business-networks BumbleBee: https://www.secureworks.com/blog/bumblebee-malware-distributed-via-trojanized-installer-downloads Infostealer ecosystem Sekoia: https://...
Apr 23, 2023•51 min•Ep. 20
Metsällä pitkästä aikaa juttua ransuhauvasta, unohtamatta 3CX toimitusketju-murtoa ja itsepurkautuvia arkistoja. Miten muuten lausutaan Rorschach? Lähteet: https://www.huntress.com/blog/3cx-voip-software-compromise-supply-chain-threats https://twitter.com/fr0gger_/status/1641668394155151366/photo/1 https://securityaffairs.com/144425/cyber-crime/rorschach-ransomware-fast-encryption.html https://therecord.media/cobalt-strike-abuse-microsoft-fortra-health-isac https://www.bleepingcomputer.com/news/...
Apr 09, 2023•48 min•Ep. 19
Uhkametsällä käsitellään tällä erää uusia työkaluja, arvioidaan miten kinettisiä uhkia voi metsästää sekä katsaus uusimpiin uhkiin joita Red Canary on raportissaan maininnut. Fiilistellään myös tietokonepelejä! Lähteet: https://threathunt.blog/analysis-of-the-current-malware-icedid/ https://arstechnica.com/gadgets/2023/03/journalist-plugs-in-unknown-usb-drive-mailed-to-him-it-exploded-in-his-face/ https://www.bleepingcomputer.com/news/security/emotet-malware-now-distributed-in-microsoft-onenote-...
Mar 26, 2023•47 min•Ep. 18
Uhkametsällä on musta päivä, mustan lotuksen ja mustan mamban myötä. Lisäksi puhutaan muutama sana AI:sta, Jounin uusimmasta blogipostauksesta sekä muista kuulumisista. Lähteet: https://www.darkrelay.com/post/windows-11-s-secure-boot-defeated-by-blacklotus-malware-cve-2022-21894 https://www.darkreading.com/endpoint/ai-blackmamba-keylogging-edr-security https://www.bleepingcomputer.com/news/security/emotet-malware-attacks-return-after-three-month-break/ https://www.bleepingcomputer.com/news/secur...
Mar 12, 2023•50 min•Ep. 17
Uhkametsällä paljastetaan, kuinka Disobeyssa nähty Threat Hunting Basics workshopin data tuotettiin, keskustellaan hieman urapoluista blue teamissa ja käsitellään ajankohtaisia haittaohjelmia. Juontajat hämmästelevät myös uhkatoimijoiden kekseliäisyyttä EVTX tiedostojen kanssa! Lähteet: - https://kostas-ts.medium.com/threat-hunting-series-detection-engineering-vs-threat-hunting-f12f3a72185f - https://techcommunity.microsoft.com/t5/exchange-team-blog/update-on-the-exchange-server-antivirus-exclus...
Feb 26, 2023•51 min•Ep. 16
Metsällä tänään taas kerran loaderien paljoutta qakbotista gootkittiin. Lisäksi jutellaan hieman maailmaa ravisuttaneesta ESXiArg(h)sta ja Juuson iltalukemisista. Lähteet: https://twitter.com/MaD_c4t/status/1623414579681435648 https://urlhaus.abuse.ch/browse/tag/qakbot/ https://news.sophos.com/en-us/2023/02/06/qakbot-onenote-attacks/ https://www.bleepingcomputer.com/news/security/new-esxiargs-ransomware-version-prevents-vmware-esxi-recovery/ https://www.darkreading.com/vulnerabilities-threats/ci...
Feb 12, 2023•48 min•Ep. 15
Uhkametsällä tänään käsittelyssä ennätysmäärä haittaohjelmia ja näiden kuulumisia. Haittaohjelmien lisäksi spekuloidaan myös Hive ransomware operaation "hackbackia". Juontajat myös ottavat kantaa kuntapolitiikkaan pohtiessaan kuntaliitoksia. Mikäli haluat kysyä meiltä kysymyksiä tai antaa palautetta, tavoitat meidät: Twitter: https://twitter.com/uhkametsa LinkedIn: https://fi.linkedin.com/company/uhkametsa Lähteet: Batloader ja malvertising: https://www.trendmicro.com/en_us/research/23/a/batload...
Jan 29, 2023•50 min•Ep. 14
Tällä kertaa metsällä taas hieman teknisempää asiaa. Metsällä keskustelua kolmannen kerran uudistuneesta Rapsberry Robinista, Lorenz groupista, Microsoftin epäonnenpäivästä sekä Dark Pink APT ryhmästä. Mikäli haluat kysyä meiltä kysymyksiä tai antaa palautetta, tavoitat meidät: Twitter: https://twitter.com/uhkametsa LinkedIn: https://fi.linkedin.com/company/uhkametsa Lähteet: Raspberry robin: https://www.securityjoes.com/post/raspberry-robin-detected-itw-targeting-insurance-financial-institutes-...
Jan 15, 2023•48 min•Ep. 13
Jouluruuat on sulateltu ja juontajat kertaavat mieleenpainuvimpia tutkintoja kuluneelta vuodelta, keskustelevat Uhkametsän tulevaisuuden suunnitelmista ja puhuvat vähän jopa kyberiä! Jakson lähteet: Dfir.fi memory dump haaste: https://files.dfir.fi/challenge/ Google Ads haittaohjelmanäyte: https://twitter.com/malware_traffic/status/1608673979132436481 LastPass artikkeli: https://www.theregister.com/2022/12/23/lastpass_attack_update/ CrowdStrike ProxyNotShell: https://www.crowdstrike.com/blog/owa...
Jan 01, 2023•44 min•Ep. 12
Uhkametsän jouluerikoinen! Tällä kertaa puhutaan vähemmän kyberiä - metsällä haastatellaan Jens Säynäjärveä ja Antti Rössiä. Instagram: https://www.instagram.com/uhkametsa/ Linkedin: https://www.linkedin.com/company/uhkametsa/
Dec 24, 2022•41 min•Ep. 11
Tässä jaksossa ihmetellään salakuljettamista, kvanttihommia, verkkokuoria ja kaaosta? Metsäläiset myös antavat omat arvauksensa vuoden 2022 jouluiseen kriittiseen haavoittuvuuteen. Mikäli haluat kysyä meiltä kysymyksiä tai antaa palautetta, tavoitat meidät: Twitter: https://twitter.com/uhkametsa LinkedIn: https://fi.linkedin.com/company/uhkamets Jakson lähteet: Quantum ransomware: https://www.avertium.com/resources/threat-reports/an-in-depth-look-at-quantum-ransomware Quantum ransomware DFIRRepo...
Dec 18, 2022•39 min•Ep. 10
Tänään metsällä käydään muutama erilainen enemmän tai vähemmän haitallinen sovellus läpi. Metsäläiset saattavat olla hieman kuutamolla kun puhutaan ankkojen hännistä, mutta se kuuluu välillä asiaan. Mikäli haluat kysyä meiltä kysymyksiä tai antaa palautetta, tavoitat meidät: - Twitter: https://twitter.com/uhkametsa - https://fi.linkedin.com/company/uhkametsa Lähteet: - ProxyNotShell: https://securezoo.com/2022/11/proxynotshell-poc-exploit-code-released/ - ProxyNotShell: https://cxsecurity.com/is...
Dec 04, 2022•43 min•Ep. 9
Aihena uhkametsällä kotilabrat, Qakbotin uudet metkut (sekä myös Qakbotin lyhyt historia) sekä aikajanojen käyttö DFIR raporteissa. Ihmetellään myös kuka on Metri Petri ja miten tämä liittyy tietomurtoon. Mikäli haluat kysyä meiltä kysymyksiä tai antaa palautetta, tavoitat meidät: - Twitter: https://twitter.com/uhkametsa - https://fi.linkedin.com/company/uhkametsa Lähteet: - Jounin blogi postaus kotilabrasta: https://threathunt.blog/my-version-of-a-home-lab/ - Detection Lab: https://detectionlab...
Nov 20, 2022•48 min•Ep. 8
Jaksossa käsitellään tällä kertaa vanhoja tuttuja, Emotetia ja Raspberry Robinia. Lisäksi jutustellaan OpenSSL haavasta, LAPS:sta ja Black Basta nimisestä ransusta. Tervetuloa metsälle! Lähteet: [Raspberry Robin] - https://www.microsoft.com/en-us/security/blog/2022/10/27/raspberry-robin-worm-part-of-larger-ecosystem-facilitating-pre-ransomware-activity/ [OpenSSL haava] - https://www.malwaretech.com/2022/11/everything-you-need-to-know-about-the-openssl-3-0-7-patch.html. [Black Basta SentinelOne] ...
Nov 06, 2022•46 min•Ep. 7
Tässä jaksossa paljon puhetta kiristyshaittaohjelmista ja toimijoista näiden takana. Ihmetellään myös Jounin esiintymistä Ilta-Sanomien artikkelissa. Kiristyshaittaohjelmien osalta mietitään niiden toimintaa, ransomwaren metsästystä ja tutkintaa ja kuinka näiltä voidaan välttyä. Ilta-Sanomien artikkeli: https://www.is.fi/digitoday/art-2000008990569.html Windows forensiset artifaktit: https://www.sans.org/posters/windows-forensic-analysis/ Ransomware uhkatoimijat: https://www.csoonline.com/articl...
Oct 23, 2022•50 min•Ep. 6
Päivän agendalla helikopteri ja mäyrä, eli Exchange RCE, Brute Ratel ja muutama sana MFA:n kiertämisestä. MFA Fatigue & Chromium Application Mode: https://techcommunity.microsoft.com/t5/microsoft-entra-azure-ad-blog/defend-your-users-from-mfa-fatigue-attacks/ba-p/2365677 https://mrd0x.com/phishing-with-chromium-application-mode/ Exchange RCE: https://www.microsoft.com/security/blog/2022/09/30/analyzing-attacks-using-the-exchange-vulnerabilities-cve-2022-41040-and-cve-2022-41082/ https://doub...
Oct 09, 2022•46 min•Ep. 5
Suomalaisen suosikkiartisti Kuhan sanoituksia myötäillen: Peruna on paha. Tänään siis aiheena peruna ja muutama muu iljetys. Linkit episodista: [Giving Juicy Potato a second chance] - https://decoder.cloud/2022/09/21/giving-juicypotato-a-second-chance-juicypotatong/ [Potatoes Windows Privesc] - https://jlajara.gitlab.io/Potatoes_Windows_Privesc [User Rights Assignment] - https://learn.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/user-rights-assignment [Teams Gi...
Sep 25, 2022•46 min•Ep. 4
Tällä kertaa uhkametsällä puhutaan Mitre ATT&CK:sta, raspberry robinista ja muutama sana Jounin Shodan to MDE query skriptistä. Tervetuloa kuulemaan! Linkit episodista: [Mitre Att&ck] - https://attack.mitre.org/ [Atomic Red Team] - https://atomicredteam.io/ [Mitre Caldera] - https://caldera.mitre.org/ [Mitre Engenuity] - https://mitre-engenuity.org/ [Cyber Kill Chain] - https://www.lockheedmartin.com/en-us/capabilities/cyber/cyber-kill-chain.html [Raspberry Robin] - https://redcanary.com...
Sep 11, 2022•45 min•Ep. 3
Toisessa jaksossa keskustellaan Threat Huntingista yleisesti, Sysmonin viimeisimmästä päivityksestä, Bumblebee loaderista, Cozy Bearin viimeisimmistä kujeista - sekä Sliver nimisestä työkalusta. Tervetuloa kuuntelemaan! Linkit episodista: [APT 29 targets M365 - Mandiant] - https://www.mandiant.com/resources/blog/apt29-continues-targeting-microsoft [Sysmon 14 - Olaf Hartong] - https://medium.com/@olafhartong/sysmon-14-0-fileblockexecutable-13d7ba3dff3e [Pyramid of pain] - http://detect-respond.bl...
Aug 28, 2022•44 min•Ep. 2
Ensimmäisessä episodissa säädetään ja rävelletään kera teknisten ongelmien, kuten asiaan kuuluu. Samalla jutellaan hieman ISO-tiedostoista ja viime aikaisista trendeistä Incident Response työssä. Intro & Outro music by Ephmerix @ https://ephmerix.com/ Graphics by Panu Palm @ https://panupalm.fi/ Instagram: https://www.instagram.com/uhkametsa/ Linkedin: https://www.linkedin.com/company/uhkametsa/...
Aug 14, 2022•31 min•Season 1Ep. 1
