数字取证与事件响应周报:Week 36 - 2025 技术动态汇总

赞助内容

了解Scattered Spider的最新TTP及防御方法
在本网络研讨会中,Permiso的首席技术官和P0 Labs威胁研究负责人将讨论:

  • Scattered Spider在过去几年中方法的演变
  • 他们当前的攻击重点及实施方式
  • Permiso平台如何发现并防御Scattered Spider身份
    立即注册
    由Permiso赞助

取证分析

Andrea Fortuna - NTFS USN日志如何助力DFIR调查
Christopher Eng at Ogmini - Zeltser挑战 - 第八个月成就
BelkaCTF 7 - AAR Party Van
内存取证 - Windows记事本第6部分

Chris Ray at Cyber Triage - DFIR后续步骤:可疑LogMeIn使用
Damien Attoe - Realm文件 - 第1卷 - RealmDB入门
Dr. Neal Krawetz at 'The Hacker Factor Blog' - Google Pixel 10和重大C2PA故障
Forensafe - iOS Wire
Matthew Plascencia - 点击与过滤:Wireshark中的过滤技术

威胁情报/狩猎

Faan Rossouw at Active Countermeasures - 每日恶意软件 - Velociraptor作为C2
Adam at Hexacorn - DLL ForwardSideloading,第2部分
Arctic Wolf - GPUGate恶意软件:恶意GitHub Desktop植入使用硬件特定加密,滥用Google广告针对西欧
AttackIQ - 响应CISA咨询(AA25-239A):对抗中国国家支持行为者全球网络入侵以获取全球间谍系统

Barracuda

  • 恶意软件简报:狡猾的网络钓鱼、BYOVD和Android RAT
  • 威胁聚焦:Tycoon网络钓鱼工具包揭示隐藏恶意链接的新技术
  • 八月顶级威胁行为者:勒索软件、间谍活动和信息窃取器

Jade Brown at Bitdefender - SafePay勒索软件:非RaaS组织如何执行快速攻击
Brad Duncan at Malware Traffic Analysis - 2025-09-03:从Kongtuke验证码页面到ClickFix脚本再到Lumma窃取器

Brian Krebs at 'Krebs on Security'

  • AI聊天机器人制造商Salesloft违规事件的持续影响
  • 共和党对有效的垃圾邮件过滤器提出审查指控

CERT-AGID

  • 针对INPS用户的短信网络钓鱼再次出现
  • MintsLoader活动恢复
  • 8月30日至9月5日恶意活动周汇总

Check Point - 9月1日威胁情报报告
Dr. Giannis Tziakouris and Elio Biasiotto at Cisco - 检测暴露的LLM服务器:Ollama的Shodan案例研究
Sourov Zaman, Craig Strubhart, and Grant Bourzikas at Cloudflare - Salesloft Drift违规对Cloudflare及客户的影响
Koushik Pal at CloudSEK - 威胁行为者冒充Microsoft Teams通过Clickfix分发Odyssey macOS窃取器

CTF导航

  • 红队技法|利用BITS服务实现持久化执行
  • Citrix NetScaler实战漏洞演变:从目录遍历到内存溢出的技术剖析
  • 静态分析根本不够!IDA Pro动态调试Android应用的完整实战
  • 【Vidar论文研读分享】利用LLM支持二进制污点分析
  • 每周蓝军技术推送(2025.8.30-9.5)

Cyb3rhawk

  • 狩猎影子AI:笔记应用版本
  • 基础设施分析:UNC6395 Salesforce活动使用Salesloft Drift
  • 基础设施分析:UNC6395 Salesforce活动 - 后续
  • 超越基础设施:UNC6395的OAuth供应链狩猎

Cyfirma - 每周情报报告 - 2025年9月5日
Daniel Koifman - 关于最近以太坊智能合约C2滥用的思考

Darktrace

  • P2Pinfect - 新变种针对MIPS设备
  • 行动警惕:监控域名抢注
  • Darktrace如何检测加密挖矿:威胁示例与演练
  • 从OT攻击中吸取的教训:为什么行为检测优于签名检测

Disconinja - 每周威胁基础设施调查(第35周)
Steve Behm at DomainTools - 在Splunk中使用DomainTools Feed API
DomainTools调查 - 深入Kimsuky泄露事件:"Kim"转储如何暴露朝鲜的凭据盗窃策略
Elastic Security Labs - 调查神秘畸形的Authenticode签名
Esentire - 新僵尸网络从阴影中出现:NightshadeC2
FalconFeeds - 幕后一瞥:揭露Kimsuky威胁行为者操作、基础设施和能力

Flare

  • 深入网络犯罪经济:威胁行为者如何像企业一样运作
  • 准备勒索软件谈判:安全团队需要知道什么

Yun Zheng Hu and Mick Koomen at Fox-IT - 三个Lazarus RAT瞄准你的奶酪
g0njxa - 接近窃取器开发者:与MacSync(前mentalpositive)的简短访谈
Guillaume Valadon and Gaetan Ferry at GitGuardian - GhostAction活动:通过受损GitHub工作流窃取3,325个秘密
Rommel Joven, Josh Fleischer, Joseph Sciuto, Andi Slok, and Choon Kiat Ng at Google Cloud Threat Intelligence - Sitecore产品中的ViewState反序列化零日漏洞(CVE-2025-53690)
GreyNoise - 25,000个IP扫描Cisco ASA设备 - 新漏洞可能即将出现
Anton Ushakov at Group-IB - 从深度伪造到暗黑LLM:AI如何推动网络犯罪的5个用例
Hudson Rock - 信息窃取器到APT管道:被盗外交凭据如何助长网络政治权力博弈
Hunt IO - 从面板到有效载荷:深入TinyLoader恶意软件操作

Huntress

  • 揭穿Microsoft 365和身份神话
  • Obscura,一个晦涩的新勒索软件变种

Kasada - 2025年第二季度僵尸攻击趋势:AI抓取、抢购机器人和旅行欺诈
Kevin Beaumont at DoublePulsar - Citrix Netscaler后门 - 第一部分 - 2025年5月针对政府的活动
Adam Goss at Kraven Security - 超越流行语:如何使用CTI指标衡量成功
Abul Azed at Microsoft - 云取证:为什么启用Microsoft Azure存储账户日志很重要
Ray Fernandez at Moonlock - 新恶意软件JSCoreRunner通过虚假PDF转换器传播

Oleg Skulkin at 'Know Your Adversary'

    1. TamperedChef如何查询系统安全产品
    1. 攻击者滥用Python分发商业恶意软件
    1. TinyLoader如何维持持久性
    1. 来自ClickFix的另一个狩猎机会
    1. 攻击者如何滥用Netsh进行发现
    1. 攻击者使用Active Setup实现持久性

Matt Black at OSINT Team - 从别名到归因:分析师暗网威胁行为者剖析指南
Palo Alto Networks - 威胁简报:Salesloft Drift集成被用于入侵Salesforce实例
Proofpoint - 工作不安全:追踪和调查Stealerium和Phantom信息窃取器

Recorded Future

  • 2025年上半年恶意软件和漏洞趋势
  • 从CastleLoader到CastleRAT:TAG-150通过多层基础设施推进操作
  • 俄罗斯影响力资产汇聚于摩尔多瓦选举
  • 南亚的影响力操作和冲突升级
  • 领先一步:Stark Industries Solutions先发制人应对欧盟制裁
  • TAG-144对南美组织的持续控制

Chris Brook, Alex Walston and Harrison Koll at Red Canary - 理解OAuth应用程序攻击和防御
Resecurity - Azure AD客户端秘密泄露:云的关键
SANS Internet Storm Center

  • pdf-parser:所有流,(8月31日,星期日)
  • Wireshark 4.4.9发布,(8月31日,星期日)
  • 大规模性勒索快速查看:1,900条消息和205个比特币地址跨越四年,(9月2日,星期二)
  • Dassault DELMIA Apriso的漏洞利用尝试。CVE-2025-5086,(9月3日,星期三)
  • 从YARA偏移到虚拟地址,(9月5日,星期五)

John Tuckner at Secure Annex - DePIN进入浏览器扩展
Securelist

  • Cookie及其制作方法:用途、相关风险以及会话劫持的关系
  • 2025年第二季度IT威胁演变。移动统计
  • 2025年第二季度IT威胁演变。非移动统计

Aleksandar Milenkoski, Sreekar Madabushi (Validin) & Kenneth Kinion (Validin) at SentinelOne - 传染性访谈 | 朝鲜威胁行为者通过滥用网络情报平台揭示计划和操作
Sanjay Katkar and Mahua Chakrabarthy at Seqrite - Operation BarrelFire:NoisyBear针对哈萨克斯坦石油和天然气部门相关实体
Simone Kraus

  • 对抗中国国家支持的行为者
  • 网络空间中的独狼神话、激进化和反射控制

SOCRadar

  • 暗网档案:Lynx勒索软件
  • 暗网档案:GLOBAL勒索软件
  • LockBit 5.0和勒索软件卡特尔:你需要知道什么?

Joe at Stranded on Pylos - 情报贫困和商业数据经济
Brandon Webster at Sublime Security - 使用在线预约滥用和分发列表进行回调网络钓鱼
Marco A. De Felice aka amvinfe at SuspectFile - "这不是合法或非法的问题":与Qilin附属机构的访谈
Visir at System Weakness - 会话取证TryHackMe演练:解码JWT、调查日志和捕获令牌伪造
Tehtris - 威胁情报报告 - 2025年9月

THOR Collective Dispatch

  • 如果你不知道正常,就找不到异常
  • 无法在3D中隐藏

Trellix

  • XWorm的演变感染链:从可预测到欺骗性
  • ToolShell unleashed:解码SharePoint攻击链

Trend Micro - 安全博客是否支持氛围编码的网络犯罪?
Buddy Tancio, Aldrin Ceriola, Khristoffer Jocson, Nusrath Iqra, and Faith Higgins at Trend Micro - MDR分析针对macOS通过'破解'应用的AMOS窃取器活动
Tom Neaves at Trustwave SpiderLabs - 你的SOC和SIEM中的恶意AI代理 - 通过日志文件进行间接提示注入
Ugur Koc and Bert-Jan Pals at Kusto Insights - Kusto Insights - 八月更新
Vasilis Orlof at Cyber Intelligence Insights - 一个Stark连接
Strahinja Janjusevic at Vectra AI - 新技术带来新风险:MCP驱动的Swarm C2
Bernardo Quintero at VirusTotal - 使用AI代码分析揭露哥伦比亚恶意软件活动
Fernando Tavella at WeLiveSecurity - GhostRedirector毒化Windows服务器:后门与Potatoes并存

Wiz

  • s1ngularity的后果:Nx供应链攻击中的AI、TTP和影响
  • 从受损密钥到网络钓鱼活动:内部云电子邮件服务接管

Zero Salarium - 使用不存在的可执行文件实现隐蔽持久性
Блог Solar 4RAYS - Solar 4RAYS FlagHunt:任务解析

即将举行的活动

AnyRun - 新恶意软件策略:SOC案例和检测技巧
Black Hills Information Security - BHIS - 谈论[信息安全]新闻 2025-09-08 #直播 #信息安全 #信息安全新闻
Gerald Auger at Simply Cyber - 网络安全中的DFIR职业
Magnet Forensics - 使用Magnet Review简化数字证据共享和审查
Simply Defensive - 侦探如何成为Ginger黑客:SOC生活、求职和蓝队智慧 | S4E7

演示/播客

Behind the Binary by Google Cloud Security - EP14 Web3的黑暗面:揭露金融犯罪的新时代
Belkasoft - 注册表秘密:恶意软件如何在Windows中保持隐藏 | Vedant Narayan
Cellebrite - 提示星期二:数字司法奖提名
Clint Marsden at the TLP - Digital Forensics Podcast - 第23集:AI语音代理安全:受攻击的语音AI:SIP欺骗、成本流失以及如何反击
Cloud Security Podcast by Google - EP241 从黑盒到构建块:来自Google的更现代检测工程经验

Compass Security

  • Kerberos深度潜水第1部分 - 介绍
  • Kerberos深度潜水第2部分 - Kerberoasting

InfoSec_Bret - SA - SOC335-313 - 检测到CVE-2024-49138利用
Magnet Forensics - 使用Magnet Automate在整个DF工具包中构建简化工作流
MSAB - #msabmonday - 排除无关位置

MyDFIR

  • SOC分析师网络安全工具 - 网站分析
  • 成为SOC分析师的最快方式
  • 如何准备求职面试(网络安全)
  • SOC自动化项目更新 | 第1/4部分
  • 真实SOC分析师调查 | 账户泄露

Off By One Security - UEFI Bootkit和内核模式Rootkit开发
Paraben Corporation - 在事件响应中使用Zandra AI
Parsing the Truth: One Byte at a Time - 找到Epstein的缺失分钟
The Cyber Mentor - 使用堆叠查找恶意行为

恶意软件

ASEC - Dire Wolf勒索软件:结合数据加密和泄露勒索的威胁
Dr Josh Stroschein

  • 安装WSL快速指南:在Windows上运行Linux只需几分钟!
  • 如何在WinDbg中使用r命令在EFLAGS/RFLAGS中设置标志
  • Behind the Binary新剧集:进入Web3的黑暗面!

Itz Sanskarr at InfoSec Write-ups - 逆向工程WannaCry勒索软件:深入分析
Marc Messer and Dave Truman at Kroll - 花哨的熊已消失 - 间谍工具提供对Microsoft Outlook的后门访问
Lab52 - 分析NotDoor:深入APT28不断扩展的武器库
MALCAT - 准备好你的泳衣,我们正在潜入黑色SEO计划
Shubho57 - 分析Word文档导致Ducktail(虚假求职申请)
Kush Pandya at Socket - 恶意npm包冒充Flashbots SDK,针对以太坊钱包凭据
Zhassulan Zhussupov - MacOS黑客第11部分:ARM(M1)的绑定shell。简单汇编(M1)和C(运行shellcode)示例
Шифровальщики-вымогатели - The Digest "加密勒索软件"

H2O - Water
BlackNevas

杂项

Jack Hyland at Black Hills Information Security - MailFail
Brett Shavers at DFIR.Training - DFIR培训博客:我为什么这样做
Phil Roth at CrowdStrike - EMBER2024:推进网络安全ML模型对抗规避性恶意软件的培训
Josibel Mendoza at DFIR Dominican - DFIR工作更新 - 2025年9月1日
Dr. Tristan Jenkinson at 'The eDiscovery Channel' - Bellingcat挑战 - 2025年8月(隐藏危险)

Forensic Focus

  • Exterro通过引入用于法律审查和调查的Exterro Intelligence改变AI游戏规则
  • Atola Technology质量保证负责人Tetiana Hrybok
  • 数字取证工作汇总,2025年9月1日
  • 连接世界情报同时保护背后的人们
  • 数字取证汇总,2025年9月3日
  • 零售业受困:勒索软件如何重写英国数字取证规则
  • Forensic Focus文摘,2025年9月5日

Will Francillette at French365Connection - Entra:检索Entra Connect版本信息

InfoSec Write-ups

  • 勒索软件桌面练习和手册
  • [第2部分]在Ubuntu 22.04上安装和配置CAPEv2

Kevin Pagano at Stark 4N6 - 取证StartMe更新(2025年9月1日)
Lesley Carhart

  • Stories Ink采访了我,我喜欢Stories
  • 开放在线指导指南

Magnet Forensics

  • 如何使用数字取证支持早期案件评估
  • 如何使用数字取证执行可辩护、全面的法律保留
  • 员工离职:利用数字取证进行完整、可辩护的收集

Oxygen Forensics - 36个仅可通过Oxygen Forensics访问的云应用和服务
Patrick Siewert at 'The Philosophy of DFIR' - 第3部分,共3部分:发展数字取证业务
Ryan G. Cox at The Cybersec Café - DataDog中的检测即代码:我如何为小团队构建MVP

软件更新

Airbus Cybersecurity - IRIS-Web v2.4.23
Alexis Brignon - iLEAPP v2.3.0
Amped - Amped Replay更新38515:新Redact选项卡、改进的运动检测等!
Cyber Triage - Cyber Triage 3.15:导入Defender遥测+更多SOC功能
Didier Stevens - 更新:pdf-parser.py版本0.7.13
Digital Sleuth - winfor-salt v2025.10.7
Manabu Niseki - Mihari v8.2.0
OpenCTI - 6.7.17
Phil Harvey - ExifTool 13.35(生产版本)
Rapid7 - Velociraptor v0.75.1

Xways

  • 杂项
  • X-Ways用户论坛:X-Ways Forensics 21.5 SR-6
  • X-Ways用户论坛:X-Ways Forensics 21.6 Beta 2

Yogesh Khatri - mac_apt 29250905

本周内容到此结束!如果您认为我遗漏了什么,或希望我特别报道某些内容,请通过联系页面或社交媒体渠道与我联系!
使用代码PM15或点击此链接享受Hexordia课程15%折扣
与我一起上课!使用折扣码thisweekin4n6在Cyber5w享受任何课程15%优惠。
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号(网络安全技术点滴分享)

公众号二维码

公众号二维码

posted @ 2025-10-30 08:21  qife  阅读(6)  评论(0)    收藏  举报