2025年第44周:数字取证与事件响应技术动态盘点

赞助内容:Salesloft-Drift 漏洞事件内部剖析及其对SaaS与身份安全的意义
本次会议由Permiso的CTO主讲,内容包括:

  • 攻击者如何利用被盗的OAuth令牌,从GitHub转移到AWS,再进入Salesforce。
  • 为何这种“全机器”攻击为SaaS供应链和非人类身份敲响了警钟。
  • 在您的环境中检测和遏制类似威胁的实用步骤。
    观看视频播客
    本内容由Permiso赞助
    一如既往,感谢那些给予支持、回馈社区的朋友们!

取证分析

  • Erik Pistelli (Cerbero)
    • 内存挑战 5: DumpMe
    • 内存挑战 6: Injector
  • Christopher Eng (Ogmini)
    • BelkaCTF 7 – AAR Metamorphosis
    • BelkaCTF 7 – AAR Radars
    • 家庭实验室 – Windows 应答文件 (unattend.xml/autounattend.xml)
    • Windows 记事本 – Windows 25H2 – 版本 11.2507.26.0
    • Zeltser 挑战 – 第十个月成果
  • Forensafe
    • Android 日历
  • Adam Hachem (Hexordia)
    • 使用开源取证工具:从代码和Python脚本编译
  • Justin De Luna ('The DFIR Spot')
    • 利用QELP进行快速ESXi分析

威胁情报/狩猎

  • 0xMatheuZ
    • 规避Elastic Security:Linux Rootkit检测绕过
  • 360威胁情报中心
    • APT-C-60 (False Hunter)近期活动分析及技术演进
  • Faan Rossouw (Active Countermeasures)
    • 每日恶意软件 – 通过Google Workspace API进行命令与控制
  • Akash Patel
    • 追踪横向移动 – 命名管道、计划任务、服务、注册表和DCOM(事件ID)
    • 追踪横向移动:PowerShell远程处理、WMIC、显式凭据、NTLM中继攻击...
  • Sublime Security
    • Sublime变得更智能:自动日历事件删除功能现已上线
  • Any.Run
    • 2025年10月重大网络攻击:通过Google Careers和ClickUp进行的钓鱼攻击、Figma滥用、LockBit 5.0和TyKit
  • ASEC
    • Trigona威胁行为体最新攻击案例分析
    • 隐藏在GUI中的The Beast勒索软件
    • 使用脆弱随机数生成函数的Gunra勒索软件分析(针对Linux环境分发的ELF格式)
    • 2025年9月APT组织趋势
    • 伪装成使用Ren‘Py开发的游戏的Rhadamanthys恶意软件分发
    • 利用ActiveMQ漏洞安装Sharpire (Kinsing)的案例
  • 澳大利亚网络安全中心
    • 不要接受陌生人的BADCANDY – 您的设备如何被植入以及应对措施
  • Maria Vasilevskaya (Auth0)
    • 凭证填充和MFA漏洞利用防护的日志检测
  • Bart Blaze
    • Earth Estries依然活跃
  • Brian Krebs ('Krebs on Security')
    • Aisuru僵尸网络从DDoS转向住宅代理
  • CERT-AGID
    • 针对Autostrade per l'Italia的短信钓鱼活动正在进行中
    • 10月25日至31日恶意活动周总结
  • Chainalysis
    • 从MSMT关于朝鲜网络行动的报告中得出的五个关键要点
  • Check Point
    • 10月27日 – 威胁情报报告
    • Hezi Rash:新兴库尔德黑客主义团体瞄准全球网站
  • Takahiro Takeda, Jordyn Dunk, James Nutland, Michael Szeliga (Cisco Talos)
    • 通过多个案例揭示Qilin攻击方法
  • Corelight
    • 没有PoC?没问题:在细节有限时狩猎F5漏洞利用
    • 宣布Corelight与CrowdStrike的威胁情报合作
  • CTF导航
    • APT追踪第一集:“神秘大象”APT组织攻击战术分析
  • Cybereason
    • 从脚本到系统:全面审视Tangerine Turkey行动
  • Cyble
    • APT-C-60升级针对日本的SpyGlace行动,使用进化的恶意软件和高级规避TTP
    • 针对关键基础设施的黑客主义攻击激增:Cyble报告
    • 武器化军事文件向国防部门投递高级SSH-Tor后门
  • Cyfirma
    • 每周情报报告 – 2025年10月31日
  • Darktrace
    • Darktrace对CVE-2025-59287漏洞利用后活动的分析
  • Kennedy Toomey (Datadog Security Labs)
    • 从近期npm供应链泄露事件中吸取的教训
  • DebugPrivilege
    • 失控的机器
  • Sergio Albea (Detect FYI)
    • 通过KQL查询对内部设备进行威胁狩猎
  • Disconinja
    • 每周威胁基础设施调查(第43周)
  • DomainTools Investigations
    • 防火墙内部分析 第一部分:数据转储
  • Elastic
    • 利用AI驱动的威胁狩猎提升公共部门网络防御
  • Elastic Security Labs
    • TOR出口节点监控概述
  • Aaron Walton (Expel)
    • 经认证的OysterLoader:通过代码签名证书追踪Rhysida勒索软件团伙活动
  • Eye Research
    • 对抗影子AI:善意的提示注入
    • 野外出现的WSUS反序列化漏洞利用(CVE‑2025‑59287)
  • Flashpoint
    • 数据勒索TTP的演变:从利用代码到利用人
  • Fortinet
    • 被盗凭据和有效账户滥用仍然是经济动机入侵的组成部分
    • 大规模的云服务滥用
  • Gen
    • 解密:Midnight勒索软件
    • VibeScams:AI网站构建器如何塑造互联网
    • Gen 2025年第三季度威胁报告
    • 朝鲜的操作手册:Kimsuky的HttpTroy和Lazarus新的BLINDINGCAN变种
  • Genians
    • Qilin勒索软件分析
  • Bhavesh Dhake, Will Silverstone, Matthew Hitchcock, Aaron Fletcher (Google Cloud Threat Intelligence)
    • 王国的钥匙:特权账户监控防御者指南
  • Group-IB
    • 财富的幻象:投资诈骗平台背后的工程化现实剖析
    • 在NPM供应链泄露扩散前进行检测
  • Paolo Coba, Lee Kirkpatrick (GuidePoint Security)
    • 寻找主密钥:如何在M365中狩猎恶意的客户端密钥
  • Hudson Rock
    • Logins.zip利用Chromium零日漏洞:隐秘的信息窃取程序构建器承诺在12秒内实现99%的凭据窃取
    • 俄罗斯当局捣毁Meduza信息窃取程序开发者:年轻黑客在一次重大网络犯罪打击中被拘留
  • Hunt IO
    • 针对亚洲金融和政府组织的多语言ZIP钓鱼活动
  • Intrinsec
    • Global Group:勒索软件更名故事
  • Keisuke Shikano (JPCERT/CC)
    • SUBAME报告溢出(2025年4月-6月)
  • David (ØSecurity)
    • 关于时间戳篡改的一些信息
  • Amy L. Robertson (MITRE ATT&CK)
    • ATT&CK v18:检测策略,更多攻击者洞察,
  • Oleg Skulkin ('Know Your Adversary')
      1. 同名,错路
      1. Qilin滥用Cyberduck进行数据外泄
      1. 狩猎CVE-2025-59287漏洞利用
      1. 狩猎通过可移动介质进行的复制
      1. 攻击者滥用Microsoft Windows资源泄漏诊断工具转储内存
      1. BRONZE BUTLER滥用云存储服务进行数据外泄
  • OSINT Team
    • 威胁猎手如何思考:心态、工具和方法论
    • 无文件加载器详解:攻击者如何在内存中运行代码
    • MonsterV2恶意软件即服务(MaaS)及TA585威胁组织的高级ClickFix行动...
  • Dan Green (Push Security)
    • Push Security识别出新的LinkedIn钓鱼活动
  • Qi’anxin X Lab
    • 发现确凿证据:RPX中继暴露在PolarEdge核心中
  • SANS互联网风暴中心
    • Kaitai Struct WebIDE,(10月26日,周日)
    • 通过DNS传输字节,(10月27日,周一)
    • 主题行包含不可见字符的钓鱼邮件,(10月28日,周二)
    • 如何在Linux系统上收集仅存在于内存中的文件系统,(10月29日,周三)
    • X-Request-Purpose: 识别“研究”和漏洞赏金相关的扫描?,(10月30日,周四)
  • Sojun Ryu, Omar Amin (Securelist)
    • 被浪费的加密货币:BlueNoroff的资金和工作幻影
  • Sathwik Ram Prakki (Seqrite)
    • Operation SkyCloak:针对俄罗斯和白俄罗斯军方的Tor攻击行动
  • Silent Push
    • Silent Push揭露AdaptixC2与俄罗斯犯罪世界的联系,追踪利用开源工具投递恶意载荷的威胁行为体
  • Socket
    • 10个npm仿冒包部署多阶段凭据窃取程序
    • 安全社区抨击声称AI驱动80%勒索软件的MIT相关报告
  • Sophos
    • 虚假钓鱼:基础还是愚蠢?
    • BRONZE BUTLER利用日本资产管理软件漏洞
  • Stephan Berger
    • 今日所学:binfmt_misc
  • Symantec Enterprise
    • 乌克兰组织仍遭受俄罗斯攻击的严重影响
  • System Weakness
    • CSI: Linux – 在Ironshade房间中寻找持久化踪迹 ‍
    • 检测工程培训:检测浏览器凭据窃取攻击
    • 钓鱼邮件剖析:我们如何从“尼日利亚王子”发展到现代骗局
  • Sydney Marrone (THOR Collective Dispatch)
    • Dispatch简报:2025年10月
  • Trend Micro
    • 勒索软件聚焦:DragonForce
  • Oddvar Moe (TrustedSec)
    • 黑客无障碍性:当DLL劫持遇到Windows辅助工具
  • Varonis
    • 认识Atroposia:隐秘且功能丰富的RAT
    • 沉默的攻击者:利用VPC端点暴露AWS账户的S3存储桶而不留痕迹
  • Vasilis Orlof (Cyber Intelligence Insights)
    • 情报快讯 #4
  • Vxdb
    • 伪装成免费游戏作弊工具的信息窃取程序
  • Iván Cabrera (White Knight Labs)
    • 逆向易受攻击的Killer驱动程序的方法论
  • Ben Powell (ZScaler高级网络内容撰稿人)
    • 理解威胁狩猎生命周期
  • Palo Alto Networks
    • Microsoft WSUS远程代码执行漏洞(CVE-2025-59287)在野外被积极利用(10月28日更新)
    • 疑似国家背景威胁行为体在供应链攻击中使用新的Airstalk恶意软件
    • 当AI智能体失控:A2A系统中的智能体会话走私攻击

即将举行的活动

  • Black Hills Information Security
    • Talkin‘ Bout [infosec] News 2025-11-03 #infosec #news
  • Brett Shavers
    • 对抗市政厅:来自亲历诉讼当事人的DF/IR经验教训。一项判决,节省两年时间,五十万条理由证明其价值。
  • Cellebrite
    • Cellebrite + Corellium:数字取证遇见移动安全
  • Cybersecurity mentors podcast
    • 从澳大利亚国立大学泄露事件中吸取的经验教训 w/Suthagar Seevaratnam P2 | CMP S5 E4
  • Simply Defensive
    • 平衡教育与现实世界网络安全:与SOC分析师学生探讨 | Simply Defensive S5 E4
  • Magnet Forensics
    • 法律拆解 E2:超越应用图标:起草反映数据真实存储方式的移动设备搜查令
    • 更智能的移动设备调查:当今取证服务提供商的工具
  • SANS
    • SANS 2025年度杰出贡献者奖
  • Silent Push
    • 研讨会 – 检测:为预防性网络防御加强集成:SIEM版
    • 网络研讨会 – 解锁域搜索和基于PADNS的预防性检测的力量 – Silent Push
  • Sygnia
    • 从泄露中幸存:从过去泄露事件中吸取的经验教训

演示/播客

  • AhmedS Kasmani
    • Cobalt Strike加载器内部剖析:从加载器到Shellcode执行
  • Alexis Brignoni
    • Digital Forensics Now播客 S3 – 1
  • Cloud Security Podcast by Google
    • EP249 数据优先:什么真正让您的SOC“为AI做好准备”?
  • Cyber Social Hub
    • A.I. 与人类直觉
  • InfoSec_Bret
    • 挑战 – 隐藏后门
  • John Dwyer
    • 恶意软件分析演练 – JavaScript信息窃取程序
  • Kevin Pagano (Stark 4N6)
    • Truth in Data播客特辑 – CTFs
  • Magnet Forensics
    • Mobile Unpacked S3:E10 // 剖析密码:确定设备解锁方式
  • Monolith Forensics
    • 在Monolith中为案件添加联系人
  • MSAB

    • MSABMonday – XAMN Pro上下文

  • MyDFIR
    • SOC警报分类解释:大多数初学者常犯的错误
  • Off By One Security
    • ReVault!被您的安全SoC攻陷 w/ Philippe Laulheret
    • 通过静态分析和文档排名扩展基于LLM的漏洞研究
  • Parsing the Truth: One Byte at a Time
    • 与Larry深入探讨关于Pam的那些事
  • Permiso Security
    • Permiso演示网络研讨会 | 2025年10月30日
  • Richard Davis (13Cubed)
    • 分析Linux内存的简便方法
  • SANS Cloud Security
    • 2025 SANS CloudSecNext峰会
  • Security BSides Dublin
    • Security BSides Dublin 2025
  • The Cyber Mentor
    • 直播:HTB Sherlocks!| 网络安全 | 蓝队
    • PowerShell入门:狩猎网络活动。
  • Three Buddy Problem
    • OpenAI的Dave Aitel谈论Aardvark,以及利用LLM进行漏洞挖掘的经济学

恶意软件

  • Arctic Wolf
    • UNC6384武器化ZDI-CAN-25373漏洞向匈牙利和比利时外交实体部署PlugX
  • Bobby Rauch
    • 剖析Google Drive钓鱼骗局 – 全面安全还是全面骗局?
  • Abdallah Elnoty (eln0ty)
    • SpyNote C2模拟器
  • ReversingLabs
    • 评估用于在Spectra Analyze中狩猎macOS恶意软件的YARA规则
    • 追踪不断演变的基于Discord的RAT家族
  • John Tuckner (Secure Annex)
    • 那是哪只宝可梦?是Monero!
  • John Tuckner (Secure Annex)
    • SleepyDuck恶意软件通过Open VSX入侵Cursor
  • Security Onion
    • 恐怖的恶意软件分析!
  • Shubho57
    • Latrodectus变种(msi安装程序)分析
  • The Reverser’s Draft
    • PEB遍历剖析
  • ThreatFabric
    • 新Android恶意软件Herodotus模拟人类行为以规避检测
  • Jeffrey Francis Bonaobra, Joe Soares, Emmanuel Panopio (Trend Micro)
    • Active Water Saci行动通过WhatsApp传播,具有多向量持久性和复杂C&C
  • Wordfence
    • 10万个WordPress站点受Anti-Malware Security and Brute-Force Firewall插件任意文件读取漏洞影响
    • 恶意WordPress插件在虚假PNG文件中隐藏多层信用卡窃取器
    • 攻击者积极利用WP Freeio插件中的关键漏洞
  • YUCA
    • Malops挑战9:Katz窃取程序分析报告

其他

  • Cellebrite
    • 演员、主持人、艺术家及反人口贩运倡导者Terry Crews将担任2026年Cellebrite C2C用户峰会主讲人
    • 寻找您的调查路径
    • 分享即关爱:转变数字调查工作流程范式
    • 解锁AI在数字调查中的战略优势
    • Endpoint Inspector:适用于您组织的现代化、灵活且用户友好的解决方案
  • CyberBoo
    • Microsoft Defender for Endpoint 第3部分:警报管理与调查基础
    • Microsoft Defender for Endpoint 第4部分:事件管理与攻击故事分析
  • Josibel Mendoza (DFIR Dominican)
    • DFIR职位更新 – 2025年10月27日
  • Forensic Focus
    • 数字取证职位汇总,2025年10月27日
    • 2025年9月Oxygen技术简报
    • 数字取证汇总,2025年10月29日
    • MSAB白皮书 – 调查移动设备中的RAM
    • GMDSOFT技术通讯 Vol 15. 分析位置伪造应用留下的反取证痕迹
  • HackTheBox
    • Scattered Spider:一个为期90天的恢复计划,以建立更好的韧性
  • Iram Jack
    • 冷系统取证入门
  • Lykos Defence
    • 白皮书:从混乱到能力
  • Magnet Forensics
    • Magnet Witness 1.10版本中简化的启动和导出功能
    • 从扣押到判决:用清晰、可采纳的数字证据加强起诉
    • 当实验室永不眠
    • 用可验证的云安全保护敏感媒体证据
    • 新!Magnet认证准备
  • Patrick Siewert ('The Philosophy of DFIR')
    • 推销科学:DF/IR服务的市场营销
  • Raymond Roethof
    • Microsoft Defender for Identity推荐操作:非特权账户可能修改GPO

软件更新

  • Arkime
    • v5.8.2
  • Arsenal Recon
    • Arsenal Image Mounter v3.12.331新功能快速导览
  • Didier Stevens
    • 更新:dnsresolver.py 版本 0.0.4
  • Digital Detective
    • NetAnalysis®️ v4.1 – 解密Firefox v144
  • Digital Sleuth
    • winfor-salt v2025.12.1
  • Maxim Suhanov
    • dfir_ntfs文件系统解析器 1.1.20
  • OpenCTI
    • 6.8.10
  • Sigmar
    • 2025-11-01
  • Vound
    • Intella 3.0.1 发行说明
  • Xways
    • X-Ways Forensics 21.7 预览版
    • X-Ways Forensics 21.6 SR-1
    • X-Ways Forensics 21.5 SR-10
    • 查看器组件
  • YARA
    • YARA v4.5.5

本周内容就是这些!如果您认为我遗漏了什么,或者希望我特别关注某个内容,请通过联系页面或社交媒体渠道与我联系!
参加我的课程!在任何Cyber5w的课程中使用折扣码 thisweekin4n6 可享受15%优惠。使用代码 PM15 或点击此链接,在您的下一门Hexordia课程中享受15%优惠。
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号(网络安全技术点滴分享)

公众号二维码

公众号二维码

posted @ 2025-12-02 22:21  qife  阅读(0)  评论(0)    收藏  举报