🧠 AI-Powered Reverse Engineering for IDA Pro
IDAssist is an open-source IDA Pro plugin that brings AI directly into your reverse engineering workflow. It helps security researchers and malware analysts understand binaries faster using modern LLMs.
✨ Key Features:
• 🧠 AI-powered function explanations
• 💬 Interactive binary chat with context awareness
• 🔄 Smart function & variable rename suggestions
• 🕸️ Semantic Knowledge Graph
• 📚 RAG document search
• 🤖 ReAct Agent for autonomous analysis
• 🔌 Supports OpenAI, Anthropic, Ollama, Bedrock & more
🔗 https://t.co/l4Ymfakoyu
#CyberSecurity #ReverseEngineering #IDAPro #MalwareAnalysis #ThreatIntelligence #Python #OpenSource #LLM
A scanner that checks GitHub repos for AI supply chain attacks using 40,000+ detection 200+ CVEs patterns.
Scans any GitHub repo instantly for supply chain attacks, weaponized configs, and hidden compromises, Repo poisoning, prompt injection, MCP tool abuse, leaked keys in Claude/Cursor history catches it all in seconds.
- https://t.co/7OD6oGHgBA
IRFlow Timeline v1.0.7 is live.
This one focuses on a problem I think DFIR teams will see more often: AI assistant usage becoming part of the investigation surface.
You can now collect and normalize local AI usage history from tools like Claude Code, ChatGPT Desktop, Cursor, GitHub Copilot, OpenAI Codex, Gemini CLI, Continue, Windsurf, and Claude Desktop into a unified timeline view.
Also added AI Secret Hunt, which helps identify secrets, tokens, API keys, private keys, and credentials that may have been pasted into AI assistants during real investigations or day-to-day engineering work.
The goal is simple: make AI app activity easier to preserve, search, tag, and correlate during incident response. AI usage is becoming part of the forensic record. We need tooling that treats it that way.
Link in the comment ⬇️
#DFIR #IncidentResponse
Wrote PoCs for three Notepad++ vulnerabilities (CVE-2026-48770/48778/48800) patched
stood out both are RCE via config file injection. Notepad++ passes commandLineInterpreter (config.xml) and UserDefinedCommands (shortcuts.xml) directly to ShellExecute() without any validation.
ANTHROPIC JUST DROPPED A ZERO TRUST PLAYBOOK FOR AI AGENTS
and it's not theory it's architecture
frontier AI compresses vulnerability-to-exploit timelines from months to hours
your agents face threats traditional access controls were never built to handle:
▫️ prompt injection through external data sources
▫️ tool poisoning via MCP server metadata
▫️ memory-based privilege retention across sessions
▫️ multi-agent pivot attacks
the framework breaks it into 3 tiers: Foundation, Enterprise, Advanced
https://t.co/uDuO9cq25H
@vercel@vercel_dev@ctatedev — We built ZeroScan: a native Supply Chain Anti-Malware PoC in ZeroLang v0.1.4, weighing in at just ~3.5KB. 🦠🛡️
✅ Zero false positives using std.mem.eql() ✅ Detects 10 verified threats (event-stream, node-ipc, protestware, etc.)
🔎 Real-world feedback for the team: We hit the limits of v0.1.4!
Without mutable variables or String support for helper function params, "clean" packages silently die at the end of main without producing output. 😅
Can’t wait for v0.2.0 to land and fix it!
🔗 https://t.co/TE9A0nYqpc
🔎 Reconstrucción de una intrusión en Windows a partir de la $MFT: análisis forense basado exclusivamente en metadatos NTFS
En investigaciones forenses digitales solemos apoyarnos en múltiples fuentes de evidencia: registros del sistema, memoria volátil, telemetría EDR o artefactos de red. Sin embargo, existen escenarios donde estas fuentes no están disponibles y el análisis debe centrarse en artefactos mínimos.
Recientemente realicé un análisis forense sobre un servidor Windows comprometido utilizado como jump server administrativo, donde el único artefacto disponible fue la Master File Table ($MFT) del volumen NTFS. A pesar de esta limitación, el estudio de los metadatos permitió reconstruir una cadena de ataque coherente, identificar el vector inicial y comprender la intención operativa del adversario.
El análisis comenzó tratando el $MFT como fuente forense primaria. Atributos como $STANDARD_INFORMATION, $FILE_NAME y $DATA proporcionaron visibilidad suficiente para establecer una cronología fiable incluso sin acceso a los archivos originales.
Uno de los pivotes iniciales fue el directorio Downloads, donde se identificó la coexistencia de un archivo comprimido (https://t.co/wfIrTkQFzq) y un script PowerShell (x.ps1), un patrón recurrente en intrusiones modernas. El análisis del Alternate Data Stream Zone.Identifier reveló evidencia Mark-of-the-Web, confirmando la descarga desde una fuente externa sin necesidad de logs de navegador.
Un hallazgo relevante fue que el script PowerShell contenía datos residentes dentro del propio registro MFT, lo que permitió recuperar su contenido pese a la ausencia del artefacto original. El análisis del código mostró técnicas living-off-the-land mediante PowerShell (Invoke-Expression + descarga dinámica), apuntando a infraestructura externa en GitHub vinculada al framework Nishang y a un módulo de keylogging.
El comportamiento observado se alinea con MITRE ATT&CK T1056.001 (Input Capture: Keylogging), sugiriendo una intención clara de captura de credenciales privilegiadas, especialmente relevante considerando el rol del sistema como jump server administrativo.
Cadena de ataque inferida:
• Descarga inicial de archivo ZIP desde Internet
• Escritura en el directorio Downloads
• Generación de script PowerShell
• Ejecución mediante Invoke-Expression
• Descarga dinámica de payload desde infraestructura legítima
• Implementación de keylogger orientado a robo de credenciales
Este caso demuestra que la Master File Table no debe considerarse únicamente una estructura de metadatos. Con una metodología adecuada, el $MFT puede convertirse en una fuente forense suficiente para reconstruir actividad histórica y comprender ataques complejos incluso con evidencias muy limitadas.
- Articulo completo en el primer comentario
#DFIR #DigitalForensics #CyberSecurity #IncidentResponse #WindowsForensics
#ThreatHunting #ThreatIntelligence #BlueTeam #SOC #SOCAnalyst
#ThreatDetection #CyberDefense #SecurityOperations #ForensicAnalysis
#DFIRCommunity #Infosec #CyberThreats #LogAnalysis #ThreatInvestigation
#SecurityMonitoring #MalwareAnalysis #LivingOffTheLand #TeamViewer
#WindowsSecurity #ThreatAnalysis #CyberIncident
サイバーセキュリティ分野でのキャリアに興味はありますか?
SANS「New to Cyber Career Guide」公開中。
職種ごとの役割、必要スキル、キャリアパスをコンパクトに解説しております。これからサイバー領域に挑戦したい方におすすめのガイドです👇
https://t.co/O8Ll6FoJS3
Fileless C2 agent written in pure x64 Assembly for Linux. Features stealth ICMP tunneling, memory-only execution via memfd_create, and terminal-independent daemonization. https://t.co/jEFhrmNg11
AI is enhancing dark web monitoring.
On the latest Defender's Advantage Podcast, hear how Google Threat Intelligence processes tens of millions of underground posts daily to help SOC teams cut through the noise and stay ahead of adversaries.
Listen now: https://t.co/hDIsMxX4uy