@antoniosanzalc.bsky.social
Fighting evil 24x7. Incident Response & Digital Forensic guy, infosec maniac... and a damn good cook. My team is blue #DFIR - antoniosanzalc@infosec.exchange
🌟New report out today!🌟
Hide Your RDP: Password Spray Leads to RansomHub Deployment
Analysis and reporting completed by @tas_kmanager, @iiamaleks and UC2
🔊Audio: Available on Spotify, Apple, YouTube and more!
thedfirreport.com/2025/06/30/h...
Ha llegado la hora de ir regalando contenido a la gente que le pueda interesar. Voy a liberar mis presentaciones para gente de la ESO, por si a alguien le sirven de algo :). Subiré una nueva cada viernes al principio y luego, pues iremos viendo. También las haré en video
github.com/jose-r-lopez...
DFIR Labs Subscriptions are live 🎉
At $𝟏𝟒.𝟗𝟗/𝐦𝐨𝐧𝐭𝐡, we’re offering something we’re truly proud of, not just great training, but a model that’s sustainable and community-focused.
/1
IR isn’t about mastering tools. It’s about building structured investigation habits:
→Start with what you do know
→Reconstruct the timeline
→Contain without alerting
→Keep calm and correlate
That confidence comes from method, not magic!
/end
Muchas gracias a la ##c1b3rwall por otro año en el que todo ha ido como la seda. Como es habitual, aquí tenéis las slides de mi presentación sobre cómo mejorar en la gestión de incidentes de ciberseguridad #DFIR: bit.ly/c1b3rwall_incidentes
04.06.2025 06:46 — 👍 0 🔁 0 💬 0 📌 0
1/ In one of our recent incident response cases, we found a cleverly hidden backdoor that the attacker had installed on various computers and servers in the network. Disguised as a Microsoft Edge service, a Mesh agent was running under the path:
C:\Program Files\Microsoft\MicrosoftEdge\msedge.exe
6) Dock One (Muelle Uno) is at Malaga's port, and has several incredible restaurantes to have dinner by the sea, for example Cambara www.muelleuno.com/restaurantes...
7) And for a sweet finish, have an ice cream at Casa Mira. Hope you enjoy it, my girlfriend really love it !! 🥳
4) For your geeky side: Videogame museum: oxomuseo.com The secret: it has an amazing rooftop with cheap (but fine) cocktails just in Malaga downtown!
5) If you want to take home some food, Atarazanas Market is full of interesting things
2) "El Pimpi": an absolute classic for Malaga, go for "The Pimpi" (small sandwich with "pringá", delicious)
3) If you like tuna, it is in season... literally will blow your mind!
Hi! This is the google maps that we used last year for our trip: www.google.com/maps/d/edit?...
My bests:
1) "Antigua Casa de Guardia" for very interesting Malaga wines (try "Moscatel" & "Pedro Ximenez"), and the place is incredible
Ey! Hope you enjoy it to the fullest! If you need "native guide" tips, I can give a couple nice places to eat / see in Malaga/Cordoba/Madrid 😀
03.05.2025 19:14 — 👍 1 🔁 0 💬 1 📌 01) El PDF: drive.google.com/file/d/1V3k3...
2) Los artículos: securityartwork.es/2025/04/07/b...
3) El CTF: ctf.communia.cc
Muchas gracias de nuevo a Andres Yedra y Arturo Martínez por el currazo haciendo un CTF la mar de juguetón 🤩
Si te has leído mi serie de artículos sobre el writeup del #CTF #DFIR de Baklava, pero los quieres leer en "modo informe", aquí tienes todos los recursos:
30.04.2025 06:24 — 👍 0 🔁 0 💬 1 📌 0
Encantado con la gente de hackademics-forum.com por un viernes la mar de guapo hablando de #ransomware. La gente majísima, Córdoba preciosa, !un lujazo! Y las slides, aquí: bit.ly/ransom2025 (ojo que van con extras como os dije) 😉😎👩🚒
28.04.2025 06:18 — 👍 0 🔁 0 💬 0 📌 0Cuarta entrega del writeup #DFIR del #CTF de Baklava: www.securityartwork.es/2025/04/22/b...
23.04.2025 07:06 — 👍 0 🔁 0 💬 0 📌 0
Este viernes 25 estaré en Córdoba en el Hackademics Forum 2025 hablando de lo que hemos visto en #DFIR de incidentes de #ransomware hackademics-forum.com Como digo siempre, de lo que se aprende mejor es de los errores de los demás, así que... !vente! 😉🔥👨🚒
22.04.2025 06:09 — 👍 0 🔁 0 💬 0 📌 0Tercer parte del writeup del #CTF #DFIR de ctf.communia.cc : www.securityartwork.es/2025/04/09/b...
15.04.2025 06:05 — 👍 0 🔁 0 💬 0 📌 0Segunda entrada de la resolución del CTF #DFIR Baklava : www.securityartwork.es/2025/04/08/s...
09.04.2025 20:20 — 👍 0 🔁 0 💬 0 📌 0Hacía tiempo que no publicaba nada en el blog de @s2grupo
, y ya tocaba: securityartwork.es/2025/04/07/b... Es interesante pq además de la resolución del reto #DFIR ... !está en modo informe! 😎😉🧐
Autopsy is finally back! 🐕🦺🕵🏼♂️ #DFIR
11.03.2025 21:13 — 👍 4 🔁 3 💬 0 📌 0
Mis slides de la charla de la #RootedCON2025 "12 años luchando contra grupos #APT: Qué cojones hemos aprendido", están disponibles aquí: bit.ly/joputasAPT (y sí, con los adoquines del Pilar se bastiona de lujo, altamente recomendados 😂🥳🧐)
10.03.2025 07:08 — 👍 1 🔁 1 💬 1 📌 0Ya soy persona después de una nueva edición de la #rootedcon2025, intensa como pocas. Como siempre, una locura de charlas, gente, amigos y cosas que aprender. Volquetes de gracias a la Organización de la @rootedcon
por hacer que todo fuera como la seda (!y sin bajas!) 🥳👏🤘💪
Y como ellos son tímidos y yo no tengo verguenza, os cuento cositas: van a hablar de "cuando las cosas se ponen chungas" a la hora de adquirir evidencias en #DFIR para un incidente o una pericial. Si quieres estar preparado para (casi) todo, !vente! 😎😎😎
07.02.2025 07:28 — 👍 0 🔁 0 💬 0 📌 0Ayer me alegraron el mes: a dos de mis compañeros del equipo de #DFIR de @s2grupo (@nomed__1 y @alejandrochiri_
) !!! les han aceptado su charla en la #RootedCON2025 !!! -> Wiiiiiiiiiiiiiiiiiiiiiiiiiiii 🥳🥳🥳🥳🥳🥳🥳
Muchos ya sabéis que @unizar es mi segunda casa😊. Este 17 de febrero de 17 a 18h en la @einaunizar.bsky.social daré una charla sobre cómo es trabajar en #ciberseguridad dentro de las NeoCOM24/25 organizadas por la @AATUZ. Si te pica la curiosidad (buena señal), !pásate y pregunta! 🤘💪👍
05.02.2025 07:34 — 👍 3 🔁 1 💬 0 📌 0
Un verdadero placer volver a estar en la #RootedCON2025 este año, además contando algo que conozco muy bien (hostias mediante): Cómo luchar contra APT (Advanced Persistent Threats). Muchas batallitas, algún que otro salseo, !y como siempre mucha mala baba! ¿A qué esperáis? 😎🥳🤘
03.02.2025 07:03 — 👍 2 🔁 1 💬 0 📌 0El concepto se llama "forensic readiness": que cuando tengas un incidente (ojo, no digo "si", digo "cuando"), el equipo de #DFIR tenga todo lo necesario y solo necesite una cafetera recien hecha para empezar (3/EOL) :D
29.01.2025 07:54 — 👍 0 🔁 0 💬 0 📌 0
Así que es un buen momento para ver si tu cortafuegos guarda logs, de qué tipo, y durante cuánto (y quien dice cortafuegos, dice cualquier cacharro que pueda tener info de interés, ya sabes...) (2/n)
29.01.2025 07:54 — 👍 0 🔁 0 💬 1 📌 0Los que curramos en #DFIR funcionamos a base de evidencias, cafeína y una mezcla de odio y curiosidad. Pero las evidencias son nuestra base: si no tenemos, no podemos darte resultados sólidos, solo hipótesis basadas en nuestra experiencia (1/n)
29.01.2025 07:54 — 👍 1 🔁 0 💬 1 📌 0Pero no pasa nada pq la clave de cifrado la tienes exportada en un papel dentro de tu caja fuerte ... !!¿¿VERDAD??!! . Anda, revisa eso porque ya nos pasó en dos incidentes el año pasado ... 😅😅😅
28.01.2025 09:14 — 👍 0 🔁 0 💬 0 📌 0
