// Popular Articles
COM Handler + Scheduled Task: Kỹ thuật persistence dưới radar mà Matt Dunwoody vừa hỏi cộng đồng
Matthew Dunwoody (Mandiant) vừa hỏi cộng đồng threat hunting: đã ai bắt được attacker dùng combo COM Handler + Scheduled Task để persist chưa? Đây là kỹ thuật public từ 2016, không cần admin, chạy trong dllhost.exe — và phần lớn EDR vẫn miss nó.
Tái dựng vụ xâm nhập Windows qua TeamViewer: không malware, vẫn đánh cắp được dữ liệu
Một nhân viên báo máy "tự mở ứng dụng, chuột tự di chuyển". Điều tra forensic phát hiện kẻ tấn công vào qua TeamViewer, nén file nhạy cảm, exfiltrate, rồi xoá dấu vết — toàn bộ không dùng một dòng malware nào. Phân tích chi tiết qua TeamViewer logs, NTFS USN Journal và PowerShell history.
Thrunting Labs nâng cấp lab Malware Analysis: chọn REMnux hay FLARE VM, tách hẳn Incident Response
Thrunting Labs vừa tung bản nâng cấp lớn cho mảng Malware Analysis: học viên được chọn môi trường REMnux (Linux) hoặc FLARE VM (Windows), Incident Response tách thành track riêng, và workspace phân tích được dựng lại với panel câu hỏi + tool reference ghim bên phải. Tất cả đã live, ngay trước khi case domain compromise khởi đầu từ NetSupport RAT ra mắt.
Windows Persistence via Startup Folder Abuse: The Quiet Trick 54 APT Groups Keep Using
Drop a file in one folder, survive every reboot — no admin rights, no UAC prompt. Startup Folder Abuse (MITRE T1547.001) is the most-used Windows persistence technique on record, tracked across 300+ malware families and 54 APT groups. Here's how it works, how attackers stage it, and how defenders catch it.