Saudi Incident Responders
@SaudiDFIR
Followers
9,438
Following
186
Media
338
Statuses
4,167
Saudi cybersecurity research group . We do not represent any official gov entity! Managed by @MohdMintakh
Kingdom of Saudi Arabia
Joined July 2018
Don't wanna be here?
Send us removal request.
Explore trending content on Musk Viewer
#GranHermanoCHV
• 75001 Tweets
広瀬めぐみ
• 44018 Tweets
#TrainAccident
• 42834 Tweets
BINI BOYCOTT GENOCIDE FUNDERS
• 22134 Tweets
大麻パーティ
• 20385 Tweets
キラーT細胞
• 19068 Tweets
रेल मंत्री
• 18049 Tweets
本イベント
• 17517 Tweets
Soler
• 11987 Tweets
Antonia
• 10235 Tweets
Pinned Tweet
نرفق لكم النسخة الثانيه من ملف توصيات لمراكز أمن المعلومات في المملكة العربية السعودية ، نسعد لملاحظاتكم وتعليقاتكم .
لتحميل الملف :
9
61
223
إلى كل المنشئات السعودية والخليجية في المنطقة :
نظرا للأحداث الاخيره الحاصله في المنطقه ، والتي تستدعي اليقظة في مراقبة جميع النشاطات المشبوهة . نوصي بالتأكد بمراقبة التكتيكات والتقنيات والإجراءات التاليه والتي عرفت بانها تستخدم في الهجمات المستهدفه للمنطقه والسعودية خاصة:
6
192
305
Mortar Loader has been published on GitHub now.
Mortar is able to bypass modern anti-virus products and advanced XDR solutions and it has been tested and confirmed bypass for the following:
Kaspersky
ESET
Malewarebytes
Mcafee
Cortex XDR
Windows defender
Cylance
4
101
248
ما هي أنواع الهجمات السيبرانية؟
و ما أهمية حماية أنظمة التحكم الصناعية بالذات ؟ وماهي أشهر الهجمات والمجموعات استهدافاً لها بالمنطقة؟
مرفقة لكم الإجابة في هذا التقرير :
2
65
197
مراجعه جميله جدا. يشرح فيها كيف حصل على شهادات احترافيه خلال ١.٥ سنه . ابتداءا من Security+ الى OSCE. 👏🏻 . شرح كل شهادة في المراجعه. مرجع ممتاز لكل شخص عنده اسئله كيف يبدأ.
I've been noticing a bunch of questions about entry-level certifications lately so I decided to write about my experience with blitzing through a bunch of them this last 1.5 years. Just my opinion. What I did and what I wished I did. From Sec+ to OSCE:
13
106
395
0
28
177
Timeline of reported Cybersecurity incidents targeting Saudi Arabia , along with some major events that could be linked to it.
2
71
143
لمن لم يقرأ التقرير الأخير لشركة FireEye ، ننصحه بإعادة النظر في ذلك ... التقرير جميل جدا ويستعرض برمجيات جديده لمجموعه APT34 لم ترى من قبل تم تسميتها TONEDEAF ، VALUEVAULT ، LONGWATCH. سنلخص التقرير بشكل بسيط للقارئ المهتم وبشكل غير عميق.
#SaudiDFIR
2
23
88
سنشرح لكم اليوم مثال حقيقي لهجمة Drive-by download ، العينه تم اخذها من في وقت سابق .
2
31
80
السلام عليكم ورحمة الله وبركاته :
ما هي هجمات Drive by Download ?
بكل بساطة : زرع iFrame في اي صفحه من قبل المهاجم لتعمد اصطياد زوار الموقع المستهدف ، وبالتالي بعد زيارة الضحية للصفحه يتم توجيهه لصفحة اخرى (موقع آخر) يحتوي على كود خبيث والذي بدوره يقوم بتحميل برنامج ضار =
5
28
72
لكل المهتمين في تحليل البرمجيات الخبيثه 👍🏻
Very informative video.
1
16
72
من مبدأ حرصنا على التوعيه و نشر الأخبار والاحداث في الأمن السيبراني يسرنا أن نعلن عن إطلاق خدمة البريد الإسبوعي (في بداية كل أسبوع) لأهم الأخبار والأحداث في الأمن السيبراني.
للمزيد من المعلومات والتسجيل
6
27
60
‘دردشات سيبرانية | حلقة ١ | تجاوز الأنظمة الدفاعية في اختبارات الأختراق’ on
#SoundCloud
#np
مع
@TheMinz1991
منصور الزياني
2
14
57
استكمالاً لتغريداتنا القديمة المتعلقة بحملة Bad Tidings والتي تم التغريد عنها مسبقاً في حسابنا ، نرفع لكم ملف تحليلي لأهم المستجدات المتعلقه بها.
1
17
45
تفصيل وتحليل لمجموعه كبير (كما يبدو) ومنظمه للنصب والاحتيال باسم الاستثمار :
وصلنا رابط خبر من احد الاشخاص بعنوان " رسالة من سليمان الراجحي للمقبلين على التجاره" . طبعا كما هو واضح امامكم الخبر وكيف انك كشخص (باحث عن الثراء) .
معلومات Domain الموقع (جديد):
AlmUbasHerNews[.]com
13
44
46
Interesting find
4
17
46
Interesting .vbe file .
Wscript > powershell > reads from MP3 file
@James_inthe_box
@malwrhunterteam
@JAMESWT_MHT
@cyb3rops
@ItsReallyNick
4
21
43
As recieved (to be confirmed)
INDICATORS OF COMPROMISE (IOCS)
The following IOCs are associated with various malware distribution campaigns that were observed during the analysis of associated malicious activity.
Fake job websites:
hr-wipro[.]com
hr-suncor[.]com
2
28
36
In case you have missed this beautiful sub-technique introduced by
@MITREattack
Our beta release of ATT&CK with sub-techniques is now live! We’ve just posted a blog post by
@stromcoffee
with links to all of the new resources and advice on how to leverage them (). You can also check out the new site itself at .
24
322
513
0
14
32
لتحميل نسختكم من هنا :
ارجو النشر . 👍
0
4
29
Apparently someone discovered a treasure
@anyrun_app
@sS55752750
@malwrhunterteam
@James_inthe_box
@JAMESWT_MHT
@packet_Wire
@malware_traffic
@wavellan
@securitydoggo
@MalwarePatrol
@nullcookies
@CraneHassold
@IpNigh
@terminalrift
@MalwareHunterBR
@JRoosen
1
8
25
من أحد البنوك السعوديه تم رفع بريد الكتروني على موقع
@anyrun_app
للتحليل (علما بأنها ليست المرة الأولى من نفس البنك) وقد لاحظنا ذلك ولم نذكره سابقا.
🔴تنبيه: تأكدوا بأن الفرق لديكم لا ترفع للموقع لأن المرفوعات تعتبر "عامه"، في حال الرغبه بكونها خاصة يوجد اشتراك ( بالمرفقات) .
4
16
27
Some of you maybe noticed that we have launched our threat intelligent sharing platform . Our main focus is to eliminate the fear of not sharing IoCs between organizations (Currently GCC only) who are afraid of sharing IoCs because of reputation damage.
8
11
24
تم اطلاق موقع لتحليل البرمجيات الخبيثه ومستضاف محليا من قبل فريق
@SG1R_
و
@safedecisionKSA
كل الشكر لكل من عمل عليه.
الموقع يساعد المختص وغير المختص في فحص الملفات والتأكد من سلامته . بإذن الله سيتم التغريد بشكل مفصل وشرح الميزات واستخداماته 👍
So our colleagues
@SG1R_
and
@safedecisionKSA
successfully lunched a localized Malware analysis sandbox🔥 I can see samples being submitted ! we are exploring it now 👍
1
15
22
3
14
24
انزلت مايكروسوفت اليوم تحديث الثغره خطيره جدا وتصنف كحرجه (CVE-2019-0708) يتم فيها استغلال خدمة RDP لتنفيذ تعليمات برمجية عن بعد RCE . الثغره خطيره جدا وقد يتم استغلالها مستقبلا في اي هجوم باعتبارها ( دوديه) بمعنى سهولة انتشارها في الشبكه wormable بالضبط نفس WannaCry.
1
24
25
بمناسبة حصول على الدرجة الكاملة كمشروع تخرج ولله الحمد.
"منشن الحساب وراح اعمل ريتويت لمشاريع تخرج لها علاقه بالأمن السيبراني. "
أؤمن بوجود افكار كثيرة ترقى لأن تكون مشاريع كبيرة بالمستقبل، وأؤمن كذلك بضرورة إبراز كل المواهب وتشجيعهم.
اكتبوا التفاصيل !
6
10
20
واحده من أكبر شركات ال IT الأمريكيه
@Cognizant
تم استهدافها من قبل فايروس فدية باسم Maze . مرفق في التغريدة YARA Rule للفايروس .
High alert related to the yet another ransomware attack perpetrated by the Maze group possibly affecting
@Cognizant
.
Reviewing & mitigating against the usual Maze TTPs (including RDP + remote services as an attack vector) is advisable.
✅Pushed
#YARA
↘️
8
128
195
0
10
25
We got this PS file from recent Ransomware infection , the infection was related to .snatch extention ransom.
the PS file was deleted around the incident time , got carved and investigated.
C2 is apparently down , anyone stubled on this before ?
VT: 6
3
7
23
Be aware of huge phishing campaign targeting various sectors in Saudi impersonating some banks and other companies including
@alrajhibank_en
@AlAhliNCB
and
@ALKAHRABA
and maybe more
7
24
24
اللي مهتم يدخل مجال ال ICS.
هذا افضل مصدر ممكن يستفيد منه
1
6
24
So our colleagues
@SG1R_
and
@safedecisionKSA
successfully lunched a localized Malware analysis sandbox🔥 I can see samples being submitted ! we are exploring it now 👍
1
15
22
⚠️ Warning ⚠️
There is an active spam emails impersonating
@saudipost
observed in Saudi.
sender domain is freshdesk[.]com
2
26
23
ثغرة جديدة في برنامج ال FaceTime تسمح لأي أحد التنصت على الطرف الآخر وفتح المايكروفون (وايضا الكاميرا) بدون موافقة الطرف الآخر!
الحل : عطّلوا الفيس تايم الى ان يصدر پاتش !
2
12
23
مؤشرات الإختراق أو (IoCs) مرفق .
جميل جدا سرعة النشر لمساعدة الغير في الكشف عن الفايروس 👏
We are in ongoing communication with our clients regarding the Maze ransomware attack. We have proactively shared Indicators of Compromise (IOCs) with our clients. More here:
2
20
50
3
12
23
We will be releasing a document to aid SOC in their monitoring during Eid period . And of course it can be used not only for that time.
It will summarize what we have tweeted weeks ago about TTPs.
In Arabic.
5
10
22
⚠️ Sweep Alert ⚠️
Sweep for these indicators … if you see connection you will probably have to deeply check that host doing connections to these
help-microsoft.dnslive[.]net
protect-au.mimecast[.]com
104.92.93[.]19
208.51.61[.]44
34.105.85[.]231
1
6
22
تحليل أوّلي لملف Word خبيث و حديث يُعتقد من OSINT متوسط الثقة انه تابع ل MuddyWater التي استهدفت عدة جهات في الشرق الأوسط و من ضمنها المملكة العربية السعودية.
SHA256: c873532e009f2fc7d3b111636f3bbaa307465e5a99a7f4386bebff2ef8a37a20
تم اكتشاف�� قبل يومين من تاريخ هذه التغريدة
4
64
152
1
12
20
We have acquired a new malware sample that is being spread out to banks in UAE.
@aeCERT
@DESCofficial
watch out fellows . Thanks for
@virusbay_io
community for this !
VT detection rate at date of this tweet : 40 / 68
4
12
21
فايرس الفديه Egregor كما يبدو لنا منتشر في المنطقة وقد أصاب أحد المستشفيات والشركات .
It uses a random extension and drops a ransom note named RECOVER-FILES.txt.
1
9
20
تحية لكل المرابطين في الصفوف السيبرانية بالعيد 👏🏻 وكل عام وانتم بخير. #عيد_مبارك
2
7
20
WhatsApp Digger presentation
In case you missed it.
0
4
19
🤔
0
4
18
Warning : malicious file detected in the wild targeting Saudi Arabia.
* The file connects to an Iranian domain to drop an executable.
* The executable creates a child process , does changes in autorun registry.
" Persistency"
* Uses netsh.exe to change firewall settings =
1
15
17
اذا كنتم مشتركين معنا في منصتنا كمنظمه ، تستطيعون ان تروا "بشكل مجهول تماما) اي جهه اخرى تشارك ال IoCs الخاصه بها .
اللون الأبيض : يرى للجميع .
اللون الأخضر : لا يرى الا من قبل الشركات او المنظمات .
شكرا لكل شركاء الموقع وجميع المسجلين 👌
1
8
18
Our friend is back ! impersonating
@KSAMOFA
#bad_tiding
موقع تصيد يتسهدف مستخدمين نظام التأشيرات في وزارة الخارجية السعودية.
hxxps://visa.mofa.gov.sa.nmmgo[.]com/
@rpsanch
3
17
18
Looks like someone successfully created PoC for Android CVE-2019-2107 RCE
PoC: You can own the mobile by viewing a video with payload. Should works on Android 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9.
0
9
18
Great
@NCA_KSA
👏🏻
تصدر #الهيئة_الوطنية_للأمن_السيبراني الإصدار الأول من سلسلة مصطلحات الأمن السيبراني والتي تهدف إلى التوعية بأهم المصطلحات المستخدمة في الأمن السيبراني وتعريفاتها
13
161
329
0
8
16
1- T1341 تثقيف الموظفين في عدم افشاء اي معلومات حساسه وعدم الثقه بأي اشخاص يقدمون عروض من خلال شبكة LinkedIn بشكل خاص والشبكات الأخرى عامة.
2- T1003 مراقبة أي تواجد لأداة Mimikatz وغيرها تحت تصنيف Credential Dumping
"هل حلولكم تستطيع كشف هذه الأدوات ؟ EDR Or EP .
1
27
17
Be aware of this file. Check the IOCs related to it.
The related IP was hosting some malwares and were reported by both
@zbetcheckin
@malware_traffic
in
@abuse_ch
. Now is hosing some , again.
2
12
17
#opendir
#lokibot
Thanks
@de_aviation
Main object- "arab.exe"
url hxxp://64.137.243.4/arab.exe
md5 4e3bf4af95f40e159283074f0eed20d6
Connections
ip 64[.]137.243.4
HTTP/HTTPS requests
url hxxp://64.137.243.4/arab/Panel/fre.php
2
4
16
@cyb3rops
Okay this is highly suspicious to me. Why a .txt file names anydesk creating some sort of a private channel?Not great at reading this but a cert? Probably configuring anydesk config file ahead of time before downloading it.
I’d question myself why ? Maybe to keep it encrypted ?
0
0
15
8- T1086 مراقبة جميع عمليات PowerShell. قاعدة عامة لكل مسؤولين ال SOC:
Know normal to detect the abnormal .
وننبه للانتباه للتالي :
1- مراقبة ما اذا كان ال PowerShell بترميز Base64 او لا . في كلتا الحالتين يجب التحقق من شرعيته او لا
2- طول ال PowerShell نفسه قد يدل الى خبثه.
1
15
15
"Green Leakers" to reveal the identity of some big heads of "MuddyWater" group in the next few days.
مجموعه تدعى " Green Leakers" ستنشر في الايام القادمه معلومات عن بعض الأشخاص المنظمين لمجموعه MuddyWater .
2
7
16
File name translation: Dubai Islamic bank ATM ,
Cc:
@DIBtoday
@DESCofficial
@aeCERT
The IP has very bad reputation.
1
8
14
Hey
@PayPal
hxxp://butterflyhouse.com[.]sa/information/smarthelp/customer-id-794/myaccount/signin
@packet_Wire
@malwrhunterteam
@malware_traffic
@wavellan
@Dashowl
@securitydoggo
@n0p1shing
@MalwarePatrol
@James_inthe_box
@nullcookies
@JAMESWT_MHT
@CraneHassold
@IpNigh
@x0rz
5
10
14
Run this in your environment, if you don't have an EDR you might " I bet" find something.
thank
@cyb3rops
later for that.
I've transformed the expressions from my "Top Base64 Encodings" learning aid into a YARA and Sigma rule and published them in the respective repos
Learning Aid
YARA
Sigma
6
101
277
0
4
15
Shout out for
@alienvault
and their OTX team for their effort in keeping the community informed and updated with latest threats second by second. 🙏🏻.
@chrisdoman
👏🏻
1
6
14
Interesting sample
4653916d821f58fcf9dde8c2c5e05a0c
4
6
15
يا ترى في حال حدوث هجوم على أنظمة نحكم صناعية. ماهي العواقب ؟
في حال نجاح احد الهجمات المستهدفه لأنظمة ال ICS ، ممكن حدوث احد الاشياء التاليه :
١- تأخير ,منع، أو تعديل عملية معينة قد تؤدي لتغيير كمية من الطاقة المنتجه في منشأة لتوليد الكهرباء.
#ICSTalk
#SaudiDFIR
6
8
14
6- تعطيل استخدام Powershell الاصدار الثاني في كل من ويندوز 7 و سيرفر 2008 R2 . وازالته في كل اصدار اجدد من ذلك (لا يمكن ازالته في الإصدارات القديمه) لماذا ؟
Powershell الإصدار الثاني لايمكنه تسجيل ال command arguments في الLogs او السجلات. يستخدم من قبل ال Actors to cover tracks
1
10
13
3- T1060 مراقبة اي خدمه يتم انشائها في ملفات Registry Run Keys / Startup Folder .
4- T1076 تقنين استخدام RDP ومراقبته في حال الحاجه. Who and why ?
5- T1021 مراقبة SSH " خاصة للأجهزه الحساسه"
1
13
13
Here is a trick to detect this simply by Windows security logs , if you see this you might go ahead and do some other invetigation E.g : is Road Runner on vacation and out of company ? Are Silvester and Road Runner in the same office together doing some tasks ? This scenario can=
3
7
14
مطلوب :
شخص، يفضل ميد جونيور، اشتغل على لينكس و ويندوز، و على scale شوية كبير. الشغل ٩٠٪ لينكس و فيه involvements فيه كم domain زي configuration management, automation, orchestrations, identity management, little bit of virtualization, storage.
اللي مهتم يجي خاص 👍🏻
0
14
13
وردنا للتو : استهداف لبعض الجهات السعودية
Just in: Saudi Organizations were targeted
IoC’s:
Sender Email: “N.White[@]lloydsbankbacs[.]com”
Sender Domain: “lloydsbankbacs[.]com”
Sender Email IP: “37.48.117[.]16”
Email Subject: “Please find attached your incoming BACs documents.”
1
11
13
Currently Trying this
@RedDrip7
Malware Analysis service. lets see how different it is from virusTotal
1
6
14
وصلنا للتو :
مؤشرات اختراق لحمله على بعض الشركات السعودية عن طريق البريد الالكتروني.
Just received :
IoCs for a campaign targeting Saudi Arabia organizations via Emails
3
24
14
Good guys at
@Anomali
are offering free Intel for non-customers to fight covid19 themed attacks 👏🏻.
0
12
13
Molerats ,
#Gaza
Group ?
C2: 78.128.114[.]76
2f78dce2158807d279b4d358d2b6de94
@Rmy_Reserve
@blackorbird
@abosalahps
2
4
14
لكل من سأل من قبل عن العمل في مجال ال SOC أو لديه بعض الاسئله 👌🏻. سلسلة تغريدات بسيطه توضحه بشكل مختصر جدا .
كثرت مؤخرا وظائف محللين ال SOC . وتعتبر من اكثر الوظائف المعروضه من الشركات لقلة وجود مختصين .
راح اكتب لكم تجربتي وادعمها بنصائح لعل وعسى تفيد اي شخص متردد فيها او لا.
طبعا قبل أبدأ : هذا رأيي بشكل كامل ، قد يختلف البعض في بعض النقاط معي وقد يتفقون.
11
211
1K
0
2
14
Weaponizing Open Source Software for Targeted Attacks
Notepad++ 👀
1
5
12
hxxp://jungleland.com[.]sa/index/hotmail/
@packet_Wire
@malwrhunterteam
@malware_traffic
@wavellan
@Dashowl
@securitydoggo
@n0p1shing
@MalwarePatrol
@James_inthe_box
@nullcookies
@JAMESWT_MHT
@CraneHassold
@IpNigh
@x0rzv
0
10
11
6- T1053 مراقبة المهام المجدوله schedualed tasks
" خاصة خارج اوقات الدوام الرسمي والتحقق منها"
والمتمثله في الاوامر التاليه : at.exe and schtasks.exe
7-T1035 مراقبة استخدامات اداة PsExec.أو على الاقل حصر استخدامها فقط لمسؤولين الأنظمة ومراقبى استخدامها لخلاف ذلك(خارج الوقت)
1
17
11
مطلوب موظفين DFIR خبرة من سنتين إلى ٧ سنوات في monitoring, incident response, forensics .. المكان جهة شبة حكومية. المكان : الرياض.
الرجاء ارسال السير الذاتيه عبر الايميل.
saudidfir
@protonmail
.com
1
16
13
Emotet is back from the dead 🧟♂️
#Emotet
is back after a few days, new TTPs 🚨
Excel MalDoc with protected VBA macro
VBS dropped to %ProgramData%
PowerShell encoded command [-split and .replace]
Regsvr32 instated of rundll32 exec:
regsvr32.exe /s c:\programdata\[Random].dll
C2: 175.107.196[.]192 Port 80
0
41
82
1
4
13
In case you guys don't know.
Bluekeep just seen in the wild " actively"
Hide yo 3389 ports , hide yo servers !
0
4
11
ختاما : لأي استفسارات نسعد بالمساعدة في أي نقطه تم او لم يتم ذكرها في الخاص . ويوجد الكثير غير ما تم ذكره سلفا ولكن هذا هو ابرز ماتم ملاحظته سابقا او السائد في اخر الهجمات المستهدفه للمنطقه .
وشكرا لكم.
3
7
11
#Forensics
and
#DFIR
folks , check this :
WhatsApp Digger is a mobile digital forensics tool used to acquire WhatsApp artifacts from the suspect/ victim mobile device. The tool offers usable data presentation of all types along with advanced analysis features, case management,
1
8
12
This is new and interesting. seen something before like this ?
@packet_Wire
@malwrhunterteam
@malware_traffic
@wavellan
@Dashowl
@securitydoggo
@MalwarePatrol
@James_inthe_box
@nullcookies
@JAMESWT_MHT
@CraneHassold
@IpNigh
@x0rz
@anyrun_app
1
3
11
Question:
You are suspecting that some employees are sharing their credentials in your organization. How do you catch them ?
10
6
12