D Laplante

@cyb3rops Add decoy entries to the robots.txt file as a honeypot mechanism.

I have a funny idea. Add fake internal DNS entries like: - honeypot01 - canarydc - edr-test-node - malwarelab to your AD environment. Not for humans, but for future LLM-driven recon agents. Basically: We're entering an era where naming things might become a defensive control 🙂

@techspence How would you do it if a company does not have any app control applications in place right now? List all Hashes of RMM ? But will need to do it every time a new version is available? By name..too easy to rename the tool name ?

Defenders should be checking out LolRMM.io And then blocking all RMMs not used in their environment. Easy win.

@_SaxX_ Qu'est ce que tu penses du référentiel de cyber France ? Le ReCyF

🚨🔴🇫🇷 +500 000 données personnelles d'enseignants en France piratées : Éducation Nationale + Enseignement Catholique... - cas du recoupement d'une prof des écoles Ne dites plus jamais plus que les fuites de données sont fortuites... sans impact ! D'après mes différentes informations et fichiers consultés sur ces deux piratges hors norme qui touchent l'enseignement catholique et l'éducation nationale, c'est au moins 500 000 profs qui ont leurs données personnelles en vente sur le darkweb... et dans quelques mois, ces données seront accessibles gratuitement... Il y a parfois des infos complémentaires dans les 2 bases de données... comme pour cette jeune femme de 35a sur laquelle on retrouve tout... TOUT... Juste en croisant ses informations, on a son identité, sa ville de naissance, ses anciennes adresses, son mail pro et perso, son numéro de téléphone, et par extension... en recoupant dans toutes les bases de données piratées... il y a toute sa vie numérique ! C'EST UNE FOLIE CE QUI SE PASSE ! C'EST INÉDIT ! Je m'inquiète vraiment des répercussions de ces fuites de données dans quelques mois... l'adresse de profs seront exposées et certainement que l'on revivra des drames comme celui de M. Samuel Paty. On est dans une ère du tout numérique et rien n'est fait pour une protection optimale des données personnelles. JE VAIS ENVORE PASSER POUR ALARMISTE ! JE LE SUIS ! JE PENSE QUE VOUS N'AVEZ PAS IDÉE DE TOUTES LES DINGUERIES QUE JE VOIS PASSER ET SURTOUT TOUT CE QUE L'ON PEUT ET VA EN FAIRE. Pour la première fois, je pense qu'il est trop tard ! En tout cas jusqu'en 2027... pcq ce n'est plus trop la priorité d'ailleurs ça n'a jamais été la priorité du gouvernement. Exemple criard de L'ANSSI qui fait un travail remarquable mais qui n'a pas plus de budget ou encore de la CNIL qui est en sous effectif et qui ne fait pas par aux institutions et enteprises... D'ailleurs, pas d'amende pour l'éducation nationale... et si amende, c'est nous, les français qui paieront ! C'est une hécatombe cyber... ⚠️ PRÉVENEZ VOS PROCHES PROFS... C'EST LA SEULE CHOSE À FAIRE HÉLAS... LA CYBERSÉCURITÉ EST UN ÉCHEC – Nicolas Ruff LE RGPD EST UN BEL ÉCHEC – SaxX

@DFIRTraining @cybertriage And add to that PowerShell Script Block Logging (Event ID 4104) 👌

How to Optimize Windows Settings for #DFIR cybertriage.com/blog/configuri… via @cybertriage

I was playing around with the #hayabusa tool @SecurityYamato and spotted you name in it, @cyb3rops ! Awesome tool to provide a fast and thorough investigation option using #Sigma rules, and the option to update the rules is a really nice touch 👌

@_SaxX_ C'est le temps que NIS-2 arrive !!! #mfa #requirement #Compliance

🚨🔴CYBERALERT 🇫🇷FRANCE🔴 | Cyberattaque Ministère de l’Intérieur : Laurent Nuñez révèle qu'il n'y avait pas de MFA lors de son audition devant le Sénat... ⤵️ En 2025, il n'y avait tjrs pas de MFA au Ministère de l’Intérieur 😬 Ce qui a permis au pirate de consulter tranquillement tout ce qu'il voulait... J'espère qu'en 2026 les administrations vont généraliser la double authentification ! cc Pascal .

@_SaxX_ NIS-2 les attendent dans le détour?!? Pour ce qui est des Infrastructures critiques.

Le réveil de CNIL 😮 Enfin en 2026, les sanctions vont tomber ? La sécurité des données sera enfin prise au sérieux ?

@techspence Ok Thx,

@laplanted24 Any domain joined machine no admin rights required

If you do nothing else before the end of the year, please... Install-Module -Name Locksmith Invoke-Locksmith -Mode 2

@watchtowrcyber @cyb3rops Exploiting through a management interface directly connected on the Internet? Who the hell is leaving a MGMT console on Internet!!

another exploited in-the-wild FortiWeb vuln? It must be Thursday!

Use the same mitigation approach for .hta files as well.

@techspence Sysmon

EDR is great, a must have even, but as with all things, nothing is perfect and attackers will always be trying to evade & "bypass" it. In 2025, I don't believe it's negotiable that you've got to have other sources of telemetry for threat detection than EDR. What else? - Identity - Network - Deception If I were working in internal IT/Security still...I'd have a strategy for this...

@cyb3rops Given that initial access often occurs on workstations (e.g., phishing, drive-by), Which asset types should we prioritized for enabling Event ID 4688 with command-line logging, in order of importance (e.g., Tiers,Tiers,Workstation)

@rcegann x.com/cyb3rops/statu…

People know me for strong opinions on offensive security, threat intel, malware devs, C2 frameworks. Now it’s time to piss off the defenders. Process Creation logs (Event ID 4688) are the only sane answer here. Not DNS query logs. Not PCAPs. Not network logs with login events and failed attempts. That’s just low-context noise or IOC-driven retro-hunting. PCAPs are fine if you like staring at packets for hours to find a weird TLS handshake. DNS logs? Useful if the attacker was dumb enough to use known domains. 4688 gives you actual behavior. Suspicious subprocesses. Malicious chains. New stuff. Generic patterns. You can have a different opinion. Doesn’t make it less wrong.

@cyb3rops Be sure to enable the setting "Include command line in process creation events" by setting it to "Enabled" to capture full command-line arguments in Event ID 4688 What about 4104 - Powershell ScriptBlockText ?

@UK_Daniel_Card They are using SharePoint as a C2..?!?

why has IRAN suddenly deployed so many SharePoint honeypots? that started in MAY 2025...

@JohnHultquist Oh I just red this "These actors rely on social engineering techniques, often impersonating employees or contractors to deceive IT help desks into granting access."

@JohnHultquist Have you seen a consistent pattern in initial attack vector?

Mandiant is now aware of multiple incidents in the airline sector that resemble Scattered Spider. The industry should button up its call centers where this actor has had a lot of success with social engineering. axios.com/2025/06/27/avi…

@elonmusk during this time... A moratorium has been voted on wind and solar energy in France. This means that the French government will temporarily freeze: New applications to install solar panels or wind turbines; Authorizations already pending for new projects.

Solar power in China will exceed ALL sources of electricity combined in the USA in 3 to 4 years. Wake up call.

@JackRhysider Whoop baby !!

People asked me what my sleep routine is like since I've worked hard at optimizing it. I treat my body like a system. I've debugged, refactored, and hardened my sleep script. 🧵 My sleep metrics from the last week. I'm not perfect. I'm still improving. But this is what I do.

@sysadafterdark Hardly a week passes without the discovery of a vulnerability

Fortinet firewalls are more like screen doors…and people still buy them. 🤦‍♂️