2025年第41周数字取证与事件响应技术动态汇总

赞助内容

Salesloft-Drift入侵内幕：对SaaS和身份安全的意义
在本环节中，Permiso的CTO将涵盖：

攻击者如何利用被盗OAuth令牌从GitHub→AWS→Salesforce横向移动
为何这种"全机器"攻击为SaaS供应链和NHI敲响警钟
在您的环境中检测和遏制类似威胁的实用步骤
观看视频播客
由Permiso赞助

取证分析

Alp Batur：程序存在证据：Amcache和Shimcache
Lucy Carey-Shields（AmpedForensic）：使用Amped FIVE的视频工作流程 - 第一部分：初步步骤、验证和文件考量
Brian Maloney：OneDrive快速访问
Erik Pistelli（Cerbero）：内存挑战2：MEM挑战
Christopher Eng（Ogmini）：
- Gmail应用 - IMAP账户痕迹（附件）- 第2部分
- Gmail应用 - IMAP账户痕迹（附件）- 第3部分
- Gmail应用 - IMAP账户痕迹（消息日志）- 第1部分
Cyber Triage：DFIR后续步骤：可疑Pulseway使用
Dr. Neal Krawetz（The Hacker Factor Blog）：照片修订与现实
Elcomsoft：证据保存：为何iPhone数据会过期
Forensafe：调查iOS Truth Social
Iram Jack：
- Windows和Linux内存获取
- 虚拟机和云环境中的内存获取
- Volatility基础
- Windows内存与进程
- Windows内存与用户活动
- Windows内存与网络
OSINT Team：
- 使用MFTEcmd和其他工具分析NTFS中的$MFT文件
- Forensic-Timeliner v2.2：高速Windows DFIR时间线整合
Anthony Dourra（Paraben Corporation）：DFIR：在决策时理解证据类型的重要性
SJDC：通过MacOS收集iPhone统一日志
Studio d'Informatica Forense：DMARC取证：验证合规性并避免欺骗问题的工具
The Packd Byte：
- 文章003：关于在扣押时刻保存移动设备
- 从FFS提取中导出统一日志以在Mac中查看

威胁情报/狩猎

Adam（Hexacorn）：ntprint.exe lolbin
Arctic Wolf：数据外泄
Ayelen Torello和Francis Guibernau（AttackIQ）：模拟多功能Qilin勒索软件
Maria Vasilevskaya（Auth0）：刷新令牌安全：使用Auth0检测劫持和滥用
Brad Duncan（Malware Traffic Analysis）：
- 2025-10-06：日本网络钓鱼邮件
- 2025-10-01：可能伪装成流行软件破解版的Rhadamanthys
- 2025-10-02：Android恶意软件
- 2025-10-08：来自Kongtuke活动的ClickFix页面感染
Brian Krebs（Krebs on Security）：
- ShinyHunters发动广泛企业勒索狂潮
- DDoS僵尸网络Aisuru以创纪录DDoS覆盖美国ISP
CERT-AGID：10月4日至10日恶意活动周报摘要
Check Point：
- 10月6日 - 威胁情报报告
- 2025年9月全球网络威胁：攻击量略有缓解，但GenAI风险加剧，勒索软件激增46%
Cisco Talos：
- 太咸难以处理：暴露隐藏文本加盐的CSS滥用案例
- Velociraptor在勒索软件攻击中被利用
CloudSEK：IRGC关联APT35行动内幕
Emmett Smith和Brooke McLain（Cofense）：来自家庭的网络钓鱼 - 特斯拉、谷歌、法拉利和Glassdoor远程工作中潜伏的隐藏危险
Andreas Arnold（Compass Security）：LockBit泄露：从勒索软件组织内部数据获得的洞察
CrowdStrike：CrowdStrike识别通过零日漏洞（现跟踪为CVE-2025-61882）针对Oracle电子商务套件的活动
Cyfirma：每周情报报告 - 2025年10月10日
Damien Lewke：狩猎压缩杀伤链
Darktrace：Akira SonicWall活动曝光
Disconinja：每周威胁基础设施调查（第40周）
DomainTools Investigations：加密诈骗网络内部
Elastic Security Labs：2025年Elastic全球威胁报告揭示的不断演变的威胁格局
Elliptic：朝鲜加密黑客在2025年已窃取超过20亿美元
Esentire：新Rust恶意软件"ChaosBot"使用Discord进行命令和控制
Bas van den Berg（Eye Research）：ClickFix阻止：防范虚假CAPTCHA攻击 | Eye Security
FalconFeeds：
- 无边界战场：区域冲突如何反映在网络威胁行为者行为中
- 不断演变的窃取器威胁格局：一个月深度挖掘（2025年8月20日-9月19日）
- 消失的有效载荷：后恶意软件时代追踪无文件攻击
Forescout：黑客活动攻击剖析：俄罗斯相关组织针对OT/ICS
gm0：
- The Gentlemen勒索软件组织档案 - 第2部分：基础设施
- The Gentlemen勒索软件组织档案 - 第3部分：行动
- The Gentlemen勒索软件组织档案 - 第4部分：影响
Peter Ukhanov, Genevieve Stark, Zander Work, Ashley Pearson, Josh Murchie, Austin Larsen（Google Cloud Threat Intelligence）：Oracle电子商务套件零日在广泛勒索活动中被利用
Noah Stone（GreyNoise）：100,000+ IP僵尸网络对美国基础设施发起协调RDP攻击波
Hunt IO：AdaptixC2揭秘：能力、战术和狩猎策略
Huntress：
- The Crown Prince, Nezha：中国关联威胁行为者偏爱的新工具
- Gladinet CentreStack和Triofox本地文件包含漏洞的主动利用
Maël Le Touz和John Wòjcik（Infoblox）：杀猪盘骗局及其DNS踪迹：将威胁链接到恶意园区
InfoSec Write-ups：
- 对手TTP模拟实验室
- 中间人检测
Benjamin Tan和Moses Tay（INTfinity Consulting）：从DFIR角度保护您的CMS
Invictus Incident Response：2025年BEC剖析
Kevin Beaumont（DoublePulsar）：Red Hat Consulting泄露使5000多家高知名度企业客户面临风险 - 详细分析
Adam Goss（Kraven Security）：驯服数据野兽：威胁猎手的Nushell指南
Alexandre Kim（MaverisLabs）：逃避监视眼：红队绕过EDR技术指南
Md. Abdullah Al Mamun：自2025年9月以来的未知俄罗斯网络攻击
Microsoft Security：
- 调查CVE-2025-10035 GoAnywhere托管文件传输漏洞的主动利用
- 破坏针对Microsoft Teams的威胁
- 调查影响美国大学的针对性"工资海盗"攻击
Idan Cohen（Mitiga）：ShinyHunters和UNC6395：Salesforce和Salesloft泄露内幕
Natto Thoughts：中国的漏洞研究：现在有何不同？
NCSC：通过可观测性和威胁狩猎加强国家网络韧性
NVISO Labs：
- 检测工程：实践检测即代码 - 监控 - 第7部分
- 漏洞管理 - 需求、范围界定和目标设定
Oleg Skulkin（Know Your Adversary）：
- 1. Confucius组织使用恶意PowerPoint Show文件
- 1. 狩猎可疑TLD
- 1. 对手滥用Bunny.net CDN
- 1. 这是另一个您很可能未检测到的RMM
- 1. 勒索软件团伙如此滥用Wbadmin
- 1. WhatsApp蠕虫如此禁用UAC
- 1. Stealit如此隐藏PowerShell窗口
Palo Alto Networks：
- 从赎金到收入损失
- ClickFix工厂：IUAM ClickFix生成器首次曝光
- 响应云事件：2025年Unit 42全球事件响应报告的分步指南
- 当AI记住太多时 - 代理记忆中的持久行为
- 缩小云安全差距
- 黄金尺度：Bling Libra和不断演变的勒索经济
Rain Ginsberg：substation_at_0742.nfo
Recorded Future：大规模恶意NPM包攻击威胁软件供应链
Tony Lambert和Chris Brook（Red Canary）：Mac窃取器分类学：区分Atomic、Odyssey和Poseidon
SANS Internet Storm Center：
- 可能的Oracle电子商务套件利用脚本快速粗略分析（CVE-2025-61882）[更新]
- 多态Python恶意软件
- 利用FreePBX（CVE-2025-57819）进行代码执行的漏洞利用
- [客座日记] 构建更好的防御：来自蜜罐的RedTail观察
- Wireshark 4.4.10和4.6.0发布
Securelist：
- 使用机器学习检测DLL劫持：真实案例
- 我们如何训练ML模型检测DLL劫持
Thomas Roccia（SecurityBreak）：介绍PromptIntel
Liran Tal（Snyk）：利用NPM生态系统的网络钓鱼活动
Socket：
- 175个恶意npm包托管针对135多个组织的网络钓鱼基础设施
- 朝鲜传染性面试活动升级：338个恶意npm包，50,000次下载
- 在npm、PyPI和RubyGems.org上武器化Discord进行命令和控制
SOCRadar：虚假Microsoft Teams安装程序分发Oyster后门
Sophos：
- 2025年医疗保健领域勒索软件状况
- WhatsApp蠕虫针对巴西银行客户
Vincent Zell（Stairwell）：Yurei：新的勒索软件威胁
Bryan Campbell（Sublime Security）：英国内政部签证和移民诈骗针对Sponsor Management System账户
Marco A. De Felice aka amvinfe（SuspectFile）：
- 迈阿密律师事务所遭受重大数据泄露：2.5 TB敏感文件暴露
- 更新：Beaumont Bone & Joint Institute遭PEAR针对性攻击：大规模敏感数据泄露
Synacktiv：LLM投毒[1/3] - 阅读Transformer的思想
Eduardo Kayky（System Weakness）：LetsDefend - SOC模拟器/英文版
THOR Collective Dispatch：
- 时间形状：掌握时间图表
- 超越指标的狩猎
Andrew Scott（Todyl）：网络犯罪联盟的崛起：LockBit、Qilin和DragonForce对企业风险的意义
Trellix：俄罗斯物理网络间谍活动的演变
Trend Micro：
- 武器化AI助手和凭据窃取器
- 您的AI聊天机器人如何成为后门
- 不安全架构的级联：Axis插件设计缺陷使部分Autodesk Revit用户面临供应链风险
Jean-Francois Gobin（Truesec）：她在海边销售Web Shells（第二部分）
Ugur Koc和Bert-Jan Pals（Kusto Insights）：Kusto Insights - 九月更新
Kenneth Kinion（Valdin）：使用Validin探索发票欺诈邮件尝试
Vasilis Orlof（Cyber Intelligence Insights）：情报投放#2
Lucie Cardiuet（Vectra AI）：看透表面：Crimson Collective揭示的云检测深度
Callum Roxan, Killian Raimbaud,和Steven Adair（Volexity）：APT遇见GPT：使用未受控LLM的针对性操作
watchTowr Labs：
- 好吧，好吧，好吧。又是新的一天。（Oracle电子商务套件预认证RCE链 - CVE-2025-61882）
- 不仅仅是DoS（Progress Telerik UI for ASP.NET AJAX不安全反射CVE-2025-3600）
Wiz：
- RediShell：Redis中的关键远程代码执行漏洞（CVE-2025-49844），CVSS评分10
- 防御数据库勒索软件攻击
Vinay Polurouthu, Manohar Ghule,和Brendon Macaraeg（ZScaler）：防御最后一英里重组攻击
Блог Solar 4RAYS：NGC4141：东亚组织攻击定制Web应用程序

即将举行的活动

Simply Defensive：检测工程教程：云安全、Kubernetes日志记录和SOC职业路径 | S5 E2
Huntress：Tradecraft Tuesday | Huntress CTF 2025
Magnet Forensics：
- 云还是本地？为何不两者兼得 — 发现新的Nexus混合代理
- 使用Magnet Graykey Fastrak和Magnet Automate消除移动设备积压和瓶颈
Paula Januszkiewicz和Amr Thabet（Cqure Academy）：实时网络研讨会 当恶意行为隐匿时：威胁猎手和事件响应者的最佳实践
Silent Push：研讨会 - 在攻击前检测网络钓鱼基础设施

演示/播客

Hexordia：Truth in Dat：EP15：证据权威：专家证人证词
Cellebrite：
- 专家问答：与Ian Whiffin一起检查Karen Read审判 - 第1部分
- 专家问答：与Ian Whiffin一起检查Karen Read审判 - 第2部分
Cellebrite：周二技巧：在Inseyets UFED中使用Streamline
Cloud Security Podcast by Google：EP246 从扫描器到AI：Qualys CEO Sumedh Thakar谈25年漏洞管理
Magnet Forensics：
- 从领先的媒体取证专家学习审查和分析媒体证据的技巧和最佳实践
- Cyber Unpacked S2:E4 // 来自现场的声音：DFIR趋势、挑战和未来展望
Michael Haggis：ClickGrab更新：新技术、重定向跟随器、社区集成等！
Microsoft Threat Intelligence Podcast：威胁格局更新：勒索软件即服务和高级模块化恶意软件
Monolith Forensics：
- 如何在Monolith中添加获取
- Neptune中的哈希搜索
- 在Neptune中将网络提示标记为已审查
- Neptune中的已知媒体
- 在Neptune中使用热键
- 在Neptune中审查网络提示数据
- 在Neptune中添加和处理网络提示
- Neptune简介
MSAB：XAMN早期访问第二部分
MyDFIR：为何应在家庭实验室模拟攻击
Parsing the Truth: One Byte at a Time：关于Pam Hupp和Russ Faria的事情第1部分
Proofpoint：当意识到网络安全意味着知道自己是人类时
Sandfly Security：Linux隐形Rootkit狩猎演示
SentinelOne：LABScon25回放 | 自动挑衅熊：AI时代的分析技巧
The Cyber Mentor：直播：HTB Sherlocks！ | 网络安全 | 蓝队
The DFIR Journal：SharePoint同步：生产力变为数据外泄
The Weekly Purple Team Vibe 使用AI进行攻防操作自动化黑客
Three Buddy Problem：
- Chris Eng谈从NSA、@Stake、Veracode和20年网络安全中学到的经验
- Apple漏洞利用链赏金、无线邻近漏洞利用和战术手提箱

恶意软件

CTF导航APT：海莲花组织Havoc远控木马分析
Cybereason：应对针对Oracle EBS CVE-2025-61882的CL0P勒索活动
Dr Josh Stroschein：
- 直播：Suricata 8.0.1和7.0.12安全发布：与核心团队修复高严重性CVE
- Behind the Binary新剧集：逆向工程中的机器学习革命
Fortinet：
- Chaos勒索软件的演变：更快、更智能、更危险
- 新Stealit活动滥用Node.js单可执行应用程序
Harshil Patel和Prabudh Chakravorty（McAfee Labs）：Astaroth：银行木马滥用GitHub实现韧性
Ray Fernandez（Moonlock）：Mac.c窃取器演变为具有后门和远程控制的MacSync
Rizqi Setyo Kusprihantanto（OSINT Team）：MCP作为您的恶意软件分析助手
Paolo Luise：Ghidra和字符串
Shubho57：bat文件投放器分析
Rizqi Mulki（System Weakness）：Android应用逆向工程：揭示隐藏秘密
Zhassulan Zhussupov：Linux黑客第7部分：Linux系统信息窃取器：Telegram Bot API。简单C示例
بانک اطلاعات تهدیدات بدافزاری پادویش：HackTool.Win32.APT-GANG8220

杂项

Decrypting a Defense：ICE增加能力，SIM卡农场，NYCHA监视听证会，修复损坏的手机以进行提取等
Josibel Mendoza（DFIR Dominican）：DFIR工作更新 - 2025年10月6日
Forensic Focus：
- Exterro推出FTK Imager Pro，为全球调查人员解锁对加密证据的更快访问
- 所有关于PDF解密 - 在Passware知识库中发现
- 即将举行的网络研讨会 - 2025年秋季发布内幕
- Alexander Fehrmann：如何在Amped FIVE中分析印迹证据
- Forensic Focus文摘，2025年10月10日
GreyNoise：介绍GreyNoise Feeds：实时情报用于实时响应
Group-IB：值得您收件箱的7大网络安全通讯
Manuel Feifel（InfoGuard Labs）：分析和破坏Defender for Endpoint的云通信
Kevin Pagano（Stark 4N6）：与Magnet Forensics合作的Cyber Unpacked专题
Magnet Forensics：
- Magnet Axiom秋季更新：ChatGPT、Chromium、私人消息支持等
- 使用Magnet One在数字调查中重新获得时间：第4部分 - 简化数据管理
- 使用数字取证打击毒品和帮派暴力
MISP：Wazuh和MISP集成
Oxygen Forensics：
- 事件响应团队立即改进远程数据收集的5种方法
- 如何在Oxygen Remote Explorer中使用代理管理中心
Shantaciak：事件响应策略：风暴前的蓝图
Pilar Garcia（Sucuri）：介绍Sucuri Academy：您网站安全教育的新目的地
System Weakness：Blue Cape Security的新取证认证？我获得了，这是我的评价
Bernardo.Quintero（VirusTotal）：更简单的访问，更强大的VirusTotal

软件更新

Brian Maloney：OneDriveExplorer v2025.10.09
Digital Sleuth：winfor-salt v2025.11.1
Doug Metz（Baker Street Forensics）：跨平台DFIR工具：Windows上的MalChelaGUI
North Loop Consulting：Arsenic v2.0
OpenCTI：6.8.4
Passmark Software：OSForensics V11.1 build 1011 2025年10月8日
Passware：Passware Kit Mobile 2025 v4现已可用
Phil Harvey：ExifTool 13.39
Ulf Frisk：MemProcFS版本5.16
WithSecure Labs：Chainsaw v2.13.1
Xways：
- X-Ways Forensics 21.5 SR-8
- X-Ways Forensics 21.6 Beta 6

以上就是本周的全部内容！如果您认为我遗漏了什么，或希望我特别报道某些内容，请通过联系页面或社交媒体渠道与我联系！
参加我的课程！使用折扣码thisweekin4n6在Cyber5w任何课程享受15%优惠。使用代码PM15或点击此链接在Hexordia下一课程享受15%优惠
更多精彩内容请关注我的个人公众号公众号（办公AI智能小助手）
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号（网络安全技术点滴分享）

公众号二维码

公众号二维码

posted @ 2025-11-30 16:19 qife 阅读(3) 评论(0) 收藏举报

刷新页面返回顶部

qife122