Hatching Triage — это облачная песочница нового поколения для анализа конкурентных файлов и APT-атак.
In a world where new malware, exploits, and zero-day attacks are launched every second, traditional antivirus software and static analysis are no longer sufficient. Organizations and researchers need a tool that doesn't just check signatures, but reveals the actual behavior of malware. This is the solution to Hatching Triage—a cloud-based sandbox that deploys a virtual victim in seconds and shows exactly what the file will do on a real system.
What is Hatching Triage?
Triage is a dynamic malware analysis platform that launches suspicious files or links in an isolated virtual environment and monitors their behavior. Unlike antivirus software, which blindly rely on signature databases, Triage records every action—from connections to C2 servers to the creation of a backdoor in Windows startup.
Who needs it?
SOC and Blue Team—identify infection chains and quickly assemble IoCs. Red Team and penetration testers test how a custom payload will perform in production.
Malware analysts conduct a detailed analysis of a new Trojan, bot, or cryptolocker.
OSINT researchers analyze phishing URLs and malicious attachments.
MSSPs and MDR providers automate mass scans.
Triage Key Features
1. Cloud Architecture
– No hardware deployment required.
– Simply upload a file or paste a link – the analysis starts instantly.
– Scalable from single analysis to streaming traffic processing.
2. Complex Threat Support
– Processes dropper → downloader → payload.
– Understands obfuscation, polymorphism, and fileless attacks.
– Runs PowerShell and JS directly from memory.
3. Behavioral Analysis
– Logs file and process creation.
– Monitors Windows registry modifications.
– Captures network traffic (DNS, HTTP/S, IP).
– Records API and library calls.
4. OS and format support
– Windows, Linux, Android.
– Formats: PE (.exe, .dll), Office, PDF, JS/VBS/PS1, ZIP/RAR/7z, ISO, APK, URL.
5. Artifact export
– PCAP network traffic.
– Memory dump for reverse engineering.
– All files created or modified by malware.
Integration and automation
Triage has a REST API, allowing you to:
– Connect to SIEM, EDR, and SOAR.
– Send suspicious files directly from corporate email.
– Integrate into pentest and Red Team pipelines.
– Integrate with MISP, TheHive, Splunk, and Cortex.
Thus, Triage becomes not just a sandbox, but a hub for automated threat analysis.
Reporting
Each analysis generates a detailed report:
– A complete file behavior history.
– Network indicators (C2, suspicious IPs and domains).
– IOCs in a SIEM-ready format.
– Visual attack chain graphs.
Formats: HTML, PDF, JSON. Can be viewed manually or uploaded to third-party systems.
Practical Applications for Hackers and Red Teams
For Red Teams:
– Testing the detectability of custom payloads before launching them on a live network.
– Analyzing your own exploit's behavior in a sandbox to understand what IOCs the attack will leave.
– Testing malware for EDR evasion.
For Penetration Testers:
– Проверка подозрительных вложений, полученных в ходе OSINT. – Быстрая оценка файлов с трофеями, обнаруженных в ходе LFI/RFI.
Для разработчиков вредоносного ПО (этические исследования):
– Отладка поведения собранного образца.
– Тестирование на устойчивость к обфускации.
Конфиденциальность
– Версии для частного облака или локальной установки.
– Полный контроль над артефактами.
– Все аналитические данные могут храниться только в инфраструктуре клиента.
Пример использования командой "красных": тестирование полезной нагрузки на этапе предварительной оценки готовности.
Шаг 1. Подготовка
Команда Red Team собрала специально разработанный полезный груз (например, снаряд с обратным выбросом заряда для Cobalt Strike или Beacon).
Цель: понять, как программа будет вести себя на компьютере жертвы и что именно увидит команда защиты, если она проникнет в их центр управления безопасностью (SOC).
Шаг 2. Загрузка в систему сортировки.
– Войдите в систему Hatching Triage.
– Загрузите свой файл payload.exe или скрипт (PowerShell/JS).
– Проведите анализ в виртуальной машине Windows 10.
Шаг 3. Наблюдайте за поведением.
Результаты первичной оценки покажут:
– создание процесса (например, powershell.exe -nop -w hidden -enc ...),
– попытки подключения к C2,
– DNS-запросы и IP-адреса,
– изменения реестра (автозагрузка),
– Вызовы API (например, CreateRemoteThread).
Это позволяет нам понять, где именно обнаруживается полезная нагрузка.
Шаг 4. Анализ МОК
Система сортировки пациентов автоматически собирает следующие данные:
– Индикаторы компрометации (IoC),
– сетевые артефакты (адреса C2, домены),
– антивирусные сигнатуры,
– поведение, вызывающее подозрение при использовании EDR.
Команда "красных" видит, что индикаторы компрометации слишком очевидны → вносит корректировки в сборку (например, меняет обфускацию или шифрование).
Шаг 5. Итерация
После внесения изменений полезная нагрузка повторно загружается в систему сортировки.
– Если значения индикаторов компрометации ниже, значит, поведение стало «тише», а это означает, что настройка прошла успешно.
– Если проблема всё ещё обнаруживается, продолжайте редактирование до перехода в скрытый режим.
Шаг 6. Подготовка к реальной атаке.
Теперь у Красной команды есть:
– полезная нагрузка, которая ведет себя максимально незаметно.
– список индикаторов компрометации (IOC), которые могут раскрыть информацию о состоянии безопасности (SOC).
– понимание того, какие журналы останутся после атаки.
Это дает огромное преимущество в производстве, поскольку команда уже все знает заранее.
In a world where new malware, exploits, and zero-day attacks are launched every second, traditional antivirus software and static analysis are no longer sufficient. Organizations and researchers need a tool that doesn't just check signatures, but reveals the actual behavior of malware. This is the solution to Hatching Triage—a cloud-based sandbox that deploys a virtual victim in seconds and shows exactly what the file will do on a real system.
What is Hatching Triage?
Triage is a dynamic malware analysis platform that launches suspicious files or links in an isolated virtual environment and monitors their behavior. Unlike antivirus software, which blindly rely on signature databases, Triage records every action—from connections to C2 servers to the creation of a backdoor in Windows startup.
Who needs it?
SOC and Blue Team—identify infection chains and quickly assemble IoCs. Red Team and penetration testers test how a custom payload will perform in production.
Malware analysts conduct a detailed analysis of a new Trojan, bot, or cryptolocker.
OSINT researchers analyze phishing URLs and malicious attachments.
MSSPs and MDR providers automate mass scans.
Triage Key Features
1. Cloud Architecture
– No hardware deployment required.
– Simply upload a file or paste a link – the analysis starts instantly.
– Scalable from single analysis to streaming traffic processing.
2. Complex Threat Support
– Processes dropper → downloader → payload.
– Understands obfuscation, polymorphism, and fileless attacks.
– Runs PowerShell and JS directly from memory.
3. Behavioral Analysis
– Logs file and process creation.
– Monitors Windows registry modifications.
– Captures network traffic (DNS, HTTP/S, IP).
– Records API and library calls.
4. OS and format support
– Windows, Linux, Android.
– Formats: PE (.exe, .dll), Office, PDF, JS/VBS/PS1, ZIP/RAR/7z, ISO, APK, URL.
5. Artifact export
– PCAP network traffic.
– Memory dump for reverse engineering.
– All files created or modified by malware.
Integration and automation
Triage has a REST API, allowing you to:
– Connect to SIEM, EDR, and SOAR.
– Send suspicious files directly from corporate email.
– Integrate into pentest and Red Team pipelines.
– Integrate with MISP, TheHive, Splunk, and Cortex.
Thus, Triage becomes not just a sandbox, but a hub for automated threat analysis.
Reporting
Each analysis generates a detailed report:
– A complete file behavior history.
– Network indicators (C2, suspicious IPs and domains).
– IOCs in a SIEM-ready format.
– Visual attack chain graphs.
Formats: HTML, PDF, JSON. Can be viewed manually or uploaded to third-party systems.
Practical Applications for Hackers and Red Teams
For Red Teams:
– Testing the detectability of custom payloads before launching them on a live network.
– Analyzing your own exploit's behavior in a sandbox to understand what IOCs the attack will leave.
– Testing malware for EDR evasion.
For Penetration Testers:
– Проверка подозрительных вложений, полученных в ходе OSINT. – Быстрая оценка файлов с трофеями, обнаруженных в ходе LFI/RFI.
Для разработчиков вредоносного ПО (этические исследования):
– Отладка поведения собранного образца.
– Тестирование на устойчивость к обфускации.
Конфиденциальность
– Версии для частного облака или локальной установки.
– Полный контроль над артефактами.
– Все аналитические данные могут храниться только в инфраструктуре клиента.
Пример использования командой "красных": тестирование полезной нагрузки на этапе предварительной оценки готовности.
Шаг 1. Подготовка
Команда Red Team собрала специально разработанный полезный груз (например, снаряд с обратным выбросом заряда для Cobalt Strike или Beacon).
Цель: понять, как программа будет вести себя на компьютере жертвы и что именно увидит команда защиты, если она проникнет в их центр управления безопасностью (SOC).
Шаг 2. Загрузка в систему сортировки.
– Войдите в систему Hatching Triage.
– Загрузите свой файл payload.exe или скрипт (PowerShell/JS).
– Проведите анализ в виртуальной машине Windows 10.
Шаг 3. Наблюдайте за поведением.
Результаты первичной оценки покажут:
– создание процесса (например, powershell.exe -nop -w hidden -enc ...),
– попытки подключения к C2,
– DNS-запросы и IP-адреса,
– изменения реестра (автозагрузка),
– Вызовы API (например, CreateRemoteThread).
Это позволяет нам понять, где именно обнаруживается полезная нагрузка.
Шаг 4. Анализ МОК
Система сортировки пациентов автоматически собирает следующие данные:
– Индикаторы компрометации (IoC),
– сетевые артефакты (адреса C2, домены),
– антивирусные сигнатуры,
– поведение, вызывающее подозрение при использовании EDR.
Команда "красных" видит, что индикаторы компрометации слишком очевидны → вносит корректировки в сборку (например, меняет обфускацию или шифрование).
Шаг 5. Итерация
После внесения изменений полезная нагрузка повторно загружается в систему сортировки.
– Если значения индикаторов компрометации ниже, значит, поведение стало «тише», а это означает, что настройка прошла успешно.
– Если проблема всё ещё обнаруживается, продолжайте редактирование до перехода в скрытый режим.
Шаг 6. Подготовка к реальной атаке.
Теперь у Красной команды есть:
– полезная нагрузка, которая ведет себя максимально незаметно.
– список индикаторов компрометации (IOC), которые могут раскрыть информацию о состоянии безопасности (SOC).
– понимание того, какие журналы останутся после атаки.
Это дает огромное преимущество в производстве, поскольку команда уже все знает заранее.
