msm

We have just published a new blog article on the topic of ClickFix/fake CAPTCHA campaigns. Step-by-step overview of the infection, malware analysis, IoCs and YARA rules to help secure your own infrastructure. 🔗 cert.pl/en/posts/2026/…

My short blog post on ClickFix threats (with focus on malware used in recent campaigns): cert.pl/en/posts/2026/…

Logowanie do #KSeF z poziomu Pythona przez klucz zgodny z PKCS#11, np. podpis/pieczęć kwalifikowaną w formie karty, tokena USB albo HSMa. Umożliwia też hostowanie kluczy od certyfikatów wydanych przez KSeF w HSMie, albo kluczem na dysku w formacie PEM. github.com/icedevml/pyksef

🔍 Have you tried monitoring certificate transparency logs lately and found existing tools or libraries disappointing? ✅ Fear not! We're releasing a better one, with tiled format support, async operations, state persistence and an easy-to-use API. 🔗 github.com/CERT-Polska/ct…

My new post about #malware #deobfuscation - cert.pl/en/posts/2025/…. I focus on the simple - but powerful - technique of local substitutions. Uses #ghidra and ghidralib. Thx @nazywam for review.

I analyzed thousands of messages from 35+ suspected state-sponsored hacktivist groups using machine learning—uncovering hidden connections through writing styles, language and topics. After a year of research, here’s what we found and how we did it. 👇 research.checkpoint.com/2025/modern-ap… 1/

Ghidralib development continues: py3 support, binary/asm patching, and symbolic propagation: github.com/msm-code/ghidr…. I also write docs for people who want to try it. Newest chapter: emulation msm-code.github.io/ghidralib/emul… #ghidra #reverseengineering

@fles_on No worries, it was easy to miss. Actually I forgot it was there and almost uploaded it for the second time. I hope it's useful. As for the band, hard question. Probably "Death" (the Chuck Schuldiner's band).

@MsmCode Oops, my bad, missed it somehow. Let me ask something that's not there. Which one is your favourite death metal band?

RULECOMPILE - Undocumented Ghidra decompiler rule language. A blog post about how frustration with poor decompilation led me to dive deep into Ghidra's decompiler to discover (and reverse-engineer) - an obscure, undocumented DSL msm.lt/re/ghidra/rule… #reverseengineering #ghidra

@fles_on Sure! It's already there: msm.lt/re/ghidra/rule…. (This is a small example binary with that obfuscation recreated, I can't share the original sample)

@MsmCode Hey @MsmCode , it was a great read🥳. Would it be possible to share the sample used for the decompilation please?

🚀Excited to announce ghidralib - a library that makes #Ghidra scripts drastically shorter and easier to write. I've been using it daily for #reverseengineering and decided it’s time to share! Check it out: github.com/msm-code/ghidr… And the docs: msm-code.github.io/ghidralib/ #infosec

Hi #Ghidra users. I've created a quick search/command palette/launcher plugin called "Ctrl+P". You can search for functions, labels, data, bookmarks, focus windows, launch scripts and trigger available action. github.com/msm-code/Ghidr… #reversing #reverseengineering #infosec

🚨 Uwaga na fałszywe reklamy na dużych platformach internetowych! Oszuści nadal skutecznie omijają mechanizmy weryfikacji, a platformy mają problem z ich powstrzymaniem. Jakie są rodzaje oszustw i dlaczego te mechanizmy zawodzą? 🤔 🔍➡️ cert.pl/posts/2024/11/…

@jciesz @PrzJar @MagdalenaGawin1 @kultura_gov_pl "skoro się pan na to zgodził, to chyba czuł pan, że są nie halo, prawda?" - jestem pod wrażeniem. A: oddaj mi swój portfel albo dostaniesz! B: [oddaje] A: "skoro oddałeś portfel to chyba czułeś potrzebę podzielenia się, prawda?"

Czy to była dobra wola i "życzliwość" to niech sobie zatem każdy oceni, bo mam już dość tych bzdurnych oskarżeń. Było tak, że pod nazwiskiem jako kierownik CERT pisał pan polityczne i umiarkowanie kulturalne komentarze w sieci. Donieśli na pana w tej sprawie ludzie z NASKu. To było totalnie nieprofesjonalne, ale uważałem, że warto o pana zawalczyć, bo jest pan ekspertem od cyber. Dlatego zaprosiłem pana do siebie, przedstawiłem sytuację i ustaliliśmy plan działania - pan skasował tamte wpisy (skoro się pan na to zgodził, to chyba czuł pan, że są nie halo, prawda?), a ja poszedłem prosić o zmianę decyzji. Poprosiłem też o wsparcie odpowiedzialnych za inne CSIRTy poziomu krajowego i wie pan co? Żaden nie kiwnął palcem. Ja też nic nie wskórałem, bo usłyszałem, że idzie wojna i nie może być wątpliwości co do lojalności osób, które odpowiadają za cyberbezpieczeństwo w państwowych instytucjach. Myślę, że pan akurat oddzielał te sfery, ale czy np pana korpo zaakceptowałoby, gdyby pan obrażał w sieci prezesów? Natomiast chociaż nie udało mi się pana wyratować, zrobiłem w tej sprawie tyle, ile realnie wtedy mogłem zrobić. Wziąłem ten temat na siebie i, o czym pewnie woli pan nie pamiętać, sam pan stwierdził, że w tej sytuacji rezygnacja jest najlepszym wyjściem. Ja ze swojej strony zadbałem o to, żeby odszedł pan na najlepszych warunkach, jakie mógł dać NASK. Cała ta sprawa jest dla mnie do dziś wyrzutem sumienia, bo przez 2,5 roku pracy w cyber bardzo starałem się o to, aby było tam jak najmniej polityki, a ta sytuacja na pewno położyła się na tym cieniem. Jak wyszło całościowo? To już pytanie do innych.

Wyrzucenie prof. @MagdalenaGawin1, dzięki której pasji i zaangażowaniu powstał Instytut Pileckiego, to dowód na to, że w @kultura_gov_pl zasiadają dziś zupełni barbarzyńcy. Wstyd.

[PL] Oprócz Paged Out!, wypuściliśmy dzisiaj też wywiad z 𝗣𝗼𝗹𝗮𝗻𝗱 𝗖𝗮𝗻 𝗜𝗻𝘁𝗼 𝗦𝗽𝗮𝗰𝗲, tj. (@p4_team + @DragonSectorCTF + przyjaciele) o HACK-A-SAT 4: ↓↓↓ youtube.com/watch?v=9Gl8ZZ… ↑↑↑

@PELock Thanks! Yeah, I'm quite happy with it. IMO it's more robust than the technique Checkpoint used (research.checkpoint.com/2023/dotrunpex…). DotRunpeX may be a state of the art .NET protector, but it's very hard for packers/protectors to evade dynamic analysis.

@MsmCode Fcuk me, it's a very advanced technique. I fear the next time you will be able to unpack UPX! What a great story to share with us! #polandstronk

What's the first step of dynamically unpacking obfuscated .NET malware? Writing your own debugger, of course. A story of unpacking the recent .NET stealer campaign: cert.pl/en/posts/2023/…. (Going to start posting more writeups soon, stay tuned)

Slides (PL) from my yesterday's presentation at @OMHconf #ohmyhack are here: tailcall.net/static/talks/o…. I've talked a bit about my recent research about stealers in a - hopefully - approachable way.

I had the pleasure to conduct a 1.5 day #workshop about Threat Intel Pipelines and CTI to a room full of security experts during the #ITU Interregional #Cyberdrill for Europe and Asia-Pacific. I hope everyone had fun and maybe see you at the next Cyberdrill.

@1devlife No worries :). I time allows, I'll try to publish my writeups from my solutions when this Flare-On ends. Other than that I don't have any good resources to point to.

@MsmCode Ah got it, thank you very much for your explanation 🙏

Finished my #flareon10 today! Fun fact: I used #Ghidra exclusively (no Ida) to solve almost all challenges (two exceptions: Android and PDP-11 Forth). It works great.

@1devlife I oversimplified a bit (blame X word limit) - I also used x86dbg (and Python) for dynamic stuff and verifying my theses. My main point was: no Ida and other paid software. And only Ghidra for decompilation (worked surprisingly nice, even decompiled things Ida had problems with)

@MsmCode Do you know any any good resources for a n00b to learn more about it? I can't even slightly imagine how you solved the runtime stuff from 3 with static analysis only🤔