数字取证与事件响应周报：剖析高级威胁与安全技术趋势

强化身份安全态势

在攻击者发现漏洞之前，请加强您的身份安全态势。本速查表中，您将了解：

当前需要修复的四个最高风险身份类别。
分步实施的ISPM成熟度模型和90天实施计划。
如何大规模消除危险权限、强制执行MFA并移除闲置身份。
下载ISPM速查表，由Permiso赞助。

一如既往，感谢所有给予支持的贡献者！

取证分析

Cofense的Kahng An：Windows持久化技术详解：技术、风险及防御者须知。
Emanuele De Lucia：Safetensors取证：它真的“安全”吗？
Forensafe：苹果数据使用情况分析。
InfoSec Write-ups：数字取证 - Ali Hadi的神秘被黑系统案例分析。
Julien Houry：Prefetch文件是如何创建的？
Husam Shbib：解析基于Linux的内存转储时存在的问题。
System Weakness：
- [CyberDefenders演练] 恶意PyPi（从pip包到Sliver和Aurora窃取器）。
- [CyberDefenders演练] Midnight RDP（通过恶意RDP连接导致Cobalt Strike信标和域内渗透）。
- 作为防御内容工程师，设计您的第一个Windows取证实验室。

威胁情报/狩猎

ASEC：
- 绅士勒索软件面具背后的威胁。
- 2025年11月APT攻击趋势报告（韩国）。
- 2025年11月信息窃取器趋势报告。
- 2025年11月韩国及全球金融领域安全问题。
- 2025年11月APT组织趋势。
- 2025年11月钓鱼邮件趋势报告。
- 2025年11月勒索软件威胁趋势报告。
- 利用React2Shell漏洞（CVE-2025-55182）分发EtherRAT恶意软件。
AttackIQ的Francis Guibernau：勒索故事：第六卷——怀旧版！模拟Ryuk、Conti和BlackCat勒索软件。
AWS Security：
- 亚马逊威胁情报识别出针对西方关键基础设施的俄罗斯网络威胁组织。
- AWS Security从最近的npm供应链威胁活动响应中学到了什么。
- GuardDuty扩展威胁检测发现针对Amazon EC2和Amazon ECS的加密货币挖矿活动。
Black Hills Information Security, Inc.：窃案入侵者的离奇案例。
Brian Krebs（Krebs on Security）：大多数停放域名现正承载恶意内容。
CERT-AGID：2025年12月13日至19日恶意活动汇总摘要。
Check Point：
- 12月15日威胁情报报告。
- 深入Ink Dragon：揭示隐秘进攻行动的跳板网络和内部运作。
- GachiLoader：通过API追踪击败Node.js恶意软件。
Cisco Talos：UAT-9686积极攻击Cisco Secure Email Gateway和Secure Email and Web Manager。
Corelight的David Burkett：在Cisco邮件网关上检测CVE-2025-20393。
Cyb3rhawk：从抽象到洞察——剖析现代BEC攻击。
Cyfirma：2025年12月19日每周情报报告。
Datadog Security Labs：引入Pathfinding.cloud。
Detect FYI：使用综合评分和VirusTotal遥测数据进行野外威胁狩猎。
Disconinja：第50周威胁基础设施调查。
DomainTools Investigations：APT35数据泄露第四集：泄露伊朗情报行动的幕后通道。
Dzianis Skliar：超越凭证：信息窃取器的隐秘生态与日志经济。
Flare：
- 钓鱼工具包：交互式深度剖析。
- 基于网络犯罪情报狩猎活跃钓鱼基础设施。
Gen：
- GhostPairing攻击：从电话号码到WhatsApp的完全访问权限。
- 击败AuraStealer：现代信息窃取器的实用去混淆流程。
GreyNoise：
- 协调的凭据窃取活动针对Cisco和Palo Alto Networks VPN网关。
- Payload与pAIload：观察选定的机会性（可能为AI“增强”）React2Shell探测与攻击。
Group-IB：选择你的战士：乌兹别克斯坦Android短信窃取器演进的新阶段。
HackTheBox：哎呀，一个GodRAT：金融行业攻击的逐步分解。
Hunt IO：深入DPRK行动：在全球活动中新发现的Lazarus和Kimsuky基础设施。
Huntress：
- OID问题：编写真正有效的LDAP检测规则。
- 一系列不幸的（RMM）事件。
Infoblox：停放域名通过直接搜索广告成为武器。
Jonathan Johnson：RAG、ICL和Windows事件：构建人类指导的安全分析师。
Kraven Security的Adam Goss：FlowViz：一分钟内将40页威胁报告转化为可视化攻击流程图。
Microsoft Security：防御CVE-2025-55182（React2Shell）漏洞在React Server Components中的利用。
Mitiga的Austin Bollinger：现在你能看见我：GitHub日志分析。
Natto Thoughts：MSS的多臂：为何省级机构在中国网络行动中至关重要。
Nebulock：
- CVE-2025-55182：发现暴露React Server Components RCE的行为。
- 智能体威胁狩猎框架。
Nextron Systems：向Nextron的RuneAI问好。
NVISO Labs：
- 检测与响应编年史：探究Telegram滥用。
- 整合滥用案例场景以改进授权测试。
Oleg Skulkin（Know Your Adversary）：
- 1. 攻击者将恶意脚本隐藏在字幕文件中。
- 1. 攻击者将合法可执行文件伪装成文档以启用DLL侧加载。
- 1. 威胁参与者利用Discord API作为其C2通道。
- 1. 攻击者滥用Telegram进行有效载荷执行通知。
- 1. Ink Dragon如何降低安全控制。
- 1. 攻击者滥用Fastly作为C2基础设施。
- 1. 攻击者修改注册表以使控制台窗口显示在屏幕外。
OSINT Team的Rizqi Setyo Kusprihantanto：深入LockBit 5.0：非正式审查见解。
Picus Security：
- NoName057(16)如何使用DDoSia攻击北约目标。
- FunkSec RaaS行动：黑客主义与网络犯罪的交汇。
- HardBit 4.0勒索软件分析。
Plainbit的Seojun Kim：使用CrowdStrike RTR（实时响应）进行远程收集。
Proofpoint：访问权限已授予：利用设备代码授权进行账户接管的钓鱼攻击。
Pulsedive的Grace Chi：2025年回顾。
Qi’anxin X Lab：Kimwolf曝光：拥有180万台感染设备的巨型Android僵尸网络。
Recorded Future：
- BlueDelta针对UKR.NET的持续活动。
- 标志着国家网络攻击的0美元交易。
Red Canary：
- KPop恶意软件猎手：2025年的打击行动。
- 情报洞察：2025年12月。
Ryan Hausknecht：Azure存储账户攻击与检测。
S-RM：React2Shell作为Weaxor勒索软件部署的初始访问向量。
SANS Internet Storm Center：
- React2Shell漏洞CVE-2025-55182的更多利用（12月15日，星期一）。
- 2025年公共IP范围的积极趋势（12月18日，星期四）。
- 可能更有趣一点的React2Shell利用（12月17日，星期三）。
- DLL与TLS回调（12月19日，星期五）。
Sansec：MGT Varnish扩展中发现关键后门。
Securelist：
- Frogblight用法庭案件威胁你：针对土耳其用户的新型Android银行恶意软件。
- 持续进行的Operation ForumTroll：利用抄袭报告针对俄罗斯政治学家。
- 又一个用于横向移动的DCOM对象。
- 2025年上半年Cloud Atlas活动：有何变化。
Securonix的Nitish Singh, Nikhil Kumar Chadha和Tanmay Kumar：Securonix威胁实验室月度情报洞察 - 2025年11月。
SentinelOne的Gabriel Bernadett-Shapiro, Jim Walter & Alex Delamotte：LLMs与勒索软件 | 操作加速器，而非革命。
Siddhant Mishra：20万美元的导弹问题：利用雷达的微多普勒效应实现亚秒级C2精度。
Silent Push：揭示全球防弹主机生态系统。
Splunk的Lauren Stemler和Ryan Fetterman：通过现实世界事件预测网络欺诈：来自域名注册趋势的见解。
Spur的Joe Metzler：如何使用IP和会话情报应对基于代理的攻击并满足MITRE D3FEND建议。
Strikeready：俄罗斯APT组织对波罗的海和巴尔干地区进行钓鱼攻击。
SuspectFile：Securotrop：从隶属到独立，一个年轻勒索软件组织的演变。
Team Cymru：起诉书即是IOC：利用法律记录追查DPRK远程工作者。
Trellix：
- 你没注意到的假域控制器：使用Trellix NDR检测DCShadow攻击。
- Amadey利用自托管GitLab分发StealC。
WeLiveSecurity：
- ESET 2025年下半年威胁报告。
- LongNosedGoblin试图窥探东南亚和日本政府事务。
YLabs：深度分析所谓的Qilin、DragonForce和LockBit联盟。

即将举行的活动

Arctic Wolf：2026年威胁报告。
Black Hills Information Security：
- Talkin’ Bout [infosec] News 2026-01-05 #infosec #news。
- 零基础到Zeek：与Troy Wojewoda一起快速轻松构建网络传感器。
Magnet Forensics：利用拨款为数字调查提供动力。
SANS：
- 领先于勒索软件——AI军备竞赛：当双方都有Copilot时。
- AI驱动的勒索软件：威胁参与者如何在攻击生命周期中武器化AI。

演示文稿/播客

Hexordia：数据中的真相 EP20：打破孤岛：如何促进合作。
Adversary Universe Podcast：这是终局吗？打击行动如何重塑网络犯罪。
ArcPoint Forensics：
- 12天DFIR盛宴 - 第三季，第1集：Brett Shavers。
- 12天DFIR盛宴 - 第三季，第2集：Josh Hickman。
- 12天DFIR盛宴 - 第三季，第2集：Manny Kressel。
- 12天DFIR盛宴 - 第三季，第4集：Becky Passmore & Stacy Eldridge。
- 12天DFIR盛宴 - 第三季，第5集：Jeremy McBroom。
BSides Cape Town：从假冒到利用：移动恶意软件活动观察 - Brent Shaw & Dr Roboto。
Cerbero的Erik Pistelli：
- 内存挑战 13: TeamSpy。
- 内存挑战 14: RogueOne。
InfoSec_Bret：IR – SOC293 – 检测到通过Pastebin的数据渗出。
Magnet Forensics：S3:E12 // 我们最喜欢的一些东西：带给我们调查乐趣的12个取证痕迹。
Marcus Hutchins：朝鲜间谍入侵了数千名开发者的账户。
Meet and Confer with Kelly Twigger：从“我们不能”到“方法如下”——关于发现中超链接文件的实用讨论。
Microsoft Threat Intelligence Podcast：Whisper Leak：威胁参与者如何窥探您与AI的对话。
Monolith Forensics：在Monolith中创建子证据项。
MSAB：#MSABMonday – MSAB 2026数字峰会。
MyDFIR：网络安全SOC分析师实验室 – LLMNR投毒（凭证投毒）。
Parsing the Truth: One Byte at a Time：12天DFIR。
The Weekly Purple Team：零日NTLMv2哈希通过Microsoft Photos URI方案泄露。
Three Buddy Problem：美国政府推动“私有化”网络行动的背后原因是什么？
Yaniv Hoffman：恶意软件真实工作原理（多数人遗漏的关键点）。

恶意软件

BI.Zone：Arcane Werewolf使用Loki 2.1植入更新其武器库。
Cyble：层层伪装：揭露针对性电子邮件活动中使用的加载器。
Howler Cell的Rahul Ramesh：从加载器到掠夺者：ACR窃取器借助升级版CountLoader传播。
Intellibron的Lalu Raynaldi Pratama Putra：Lua-JIT SmartLoader：分析通过GitHub活动传播窃取器的攻击。
Intezer的Nicole Fishbein：通过AI生成的诱饵和Excel XLL追踪Paper Werewolf活动。
K7 Labs的Debmalya Datta：Phantom 3.5：初始向量分析与取证。
Koi Security：
- 800万用户的AI对话被“隐私”扩展程序售卖牟利。
- 深入GhostPoster：一个PNG图标如何感染5万名Firefox用户。
Palo Alto Networks的Anmol Maurya和Jingwen Shi：从线性到复杂：RansomHouse加密的升级。
Rapid7的Milan Spinka：SantaStealer即将来临：地下论坛广告宣传的新型、野心勃勃的信息窃取器。
ReversingLabs的Petar Kirhmajer：NuGet恶意软件针对Nethereum工具。
Sekoia：配置提取之旅 – 第三部分：映射GOT/PLT和反汇编SNOWLIGHT加载器。
Shubho57：Autocolor后门变种分析。
Socket的Kirill Boychenko：恶意NuGet包通过仿冒流行的.NET追踪库窃取钱包密码。
Sophos：我不是机器人：ClickFix被用于部署StealC和Qilin。
Squiblydoo.blog：SolarMarker：目标行动分析。
Sysdig：剖析EtherRAT：React2Shell植入如何通过区块链C2传递5个有效载荷。
ZScaler：
- BlindEagle使用Caminho和DCRAT瞄准哥伦比亚政府机构。
- Zscaler威胁狩猎捕获了规避性SideWinder APT活动。

杂项

Atola Technology：DFIR之声：您应该关注的8位专业人士。
Bitmindz的Manny Kressel：Xeon误区：您的取证工作站更慢且更昂贵。
Brett Shavers：您的DF/IR工具无法告诉您是谁干的。FACT告诉您何时被允许进行调查。
Cellebrite：
- 掌握移动数据以取得法律成功。
- 在调查中应对数据洪流。
- 强大的合作伙伴关系，改变电子取证中的移动数据处理。
DFIR Dominican的Fabian Mendoza：DFIR职位更新 – 2025年12月15日。
Eye Research的Jorn Pieterse：AitM拦截：预防现代M365钓鱼攻击。
Forensic Focus：
- 进展参差不齐：英国警方如何响应Oscar Kilo增强的职业健康标准。
- Exterro INFORM 2025：面向DFIR从业者的全球网络研讨会系列。
- GMDSOFT技术通讯第17卷。在嫌疑设备上检测热点连接证据。
- S21 VisionX聚焦：第3周 – 用于真实世界调查的专业工具。
- 2025年12月17日数字取证综述。
- Passware Kit 2026v1：解密AMD桌面上的BitLocker。
- Oxygen Forensics：更智能、更快速的远程DFIR收集。
Google Workspace：Google Workspace审计日志API增强功能现已可用。
Howard Oakley（The Eclectic Light Company）：macOS Tahoe保留了哪些扩展属性？
Magnet Forensics：Magnet Nexus现在支持目标位置（及更多功能）。
Matthew Plascencia：Velociraptor 101入门。
Pyae Heinn Kyaw：GX-FA考试回顾。
The Metadata Perspective的Blake Newton：我的第一个认证：Berla车辆取证课程内部一周体验。

软件更新

BerlaiVe：软件 v4.14 发布。
Canadian Centre for Cyber Security：Assemblyline 4.6.1.1 发布。
Didier Stevens：更新：pecheck.py 版本 0.7.19。
Digital Sleuth：winfor-salt v2025.14.14 发布。
Google：Timesketch 20251219 发布。
Metaspike：
- 取证邮件收集器（FEC）更新日志 – 4.3.654.1288。
- 取证邮件情报 – 2.2.658。
OpenCTI：6.9.3 版本发布。
Passmark Software：OSForensics V11.1 build 1014 2025年12月17日。
Passware：Passware Kit 2026 v1 现已推出。
Phil Harvey：ExifTool 13.44（生产版本）发布。
Security Onion：Security Onion 2.4.200 现已可用，我们的Onion AI助手有重大改进！

以上就是本周的全部内容！如果您认为我遗漏了什么，或者希望我特别报道某些内容，请通过联系页面或社交媒体渠道联系我。