/tags/incident-response/Recent content in Incident-Response on Suspicious BytesHugonl-NLThu, 21 May 2026 00:00:00 +0000/posts/anatomy-of-a-phishing-incident/Thu, 21 May 2026 00:00:00 +0000/posts/anatomy-of-a-phishing-incident/<p>De meeste inbraken beginnen nog steeds met iemand die op een link klikt. Dit is een geschoonde uitwerking van een credential-phishingzaak en de tijdlijn die ertoe deed.</p> <h2 id="de-tijdlijn">De tijdlijn</h2> <p>Incident response staat of valt met een accurate tijdlijn. Reconstrueer hem voordat je gaat theoretiseren:</p> <ol> <li><strong>08:42</strong> — gebruiker meldt een &ldquo;mailbox vol&rdquo;-e-mail</li> <li><strong>08:55</strong> — dezelfde template gezien door twaalf andere ontvangers</li> <li><strong>09:10</strong> — één set inloggegevens ingevuld op het neppe portaal</li> <li><strong>09:13</strong> — succesvolle login vanaf een buitenlandse ASN</li> </ol> <blockquote> <p>Het doel van triage is niet om alles te vinden. Het is om snel één vraag te beantwoorden: is er daadwerkelijk iets gelukt?</p>/posts/triaging-suspicious-powershell/Tue, 12 May 2026 00:00:00 +0000/posts/triaging-suspicious-powershell/<p>Een encoded PowerShell-commando in je proceslogs is niet automatisch kwaadaardig, maar verdient altijd een nadere blik. Zo trieer je er rustig één.</p> <h2 id="wat-de-vlag-hijst">Wat de vlag hijst</h2> <p>Bepaalde combinaties van flags zijn ongebruikelijk voor een legitiem script en gangbaar voor tradecraft:</p> <ul> <li><code>-EncodedCommand</code> (base64-payloads)</li> <li><code>-WindowStyle Hidden</code> en <code>-NonInteractive</code></li> <li><code>-ExecutionPolicy Bypass</code></li> </ul> <blockquote> <p>Een payload decoderen is lezen, niet uitvoeren. Decodeer in een geïsoleerde omgeving en plak een onbekend commando nooit terug in een live shell.</p>