Sponsored Content

Salesloft-Drift 入侵内幕：对SaaS与身份安全意味着什么 在本期会议中，Permiso的首席技术官将探讨：

• 攻击者如何利用窃取的OAuth令牌从GitHub → AWS → Salesforce横向移动。
• 为何这种“全机器”攻击是对SaaS供应链和NHIs（非人类身份）的一次警醒。
• 在您环境中检测和遏制类似威胁的实用步骤。 观看视频播客（赞助方：Permiso）

一如既往，感谢那些提供支持的回馈者！

FORENSIC ANALYSIS

• Akash Patel: Hayabusa：一个用于取证和威胁狩猎的强大日志分析工具
• Massimo Iuliani at Amped: 深度伪造检测测验结果——你能用肉眼识别深度伪造吗？
• Brian Maloney: 让我们谈谈“同意”
• Christopher Eng at Ogmini: 检查移动热点 – Orbic Speed RC400L – 第4部分
• Elcomsoft: 突破壁垒：首次从运行tvOS 26的Apple TV 4K完成完整文件系统提取
• Forensafe: iOS用户通知事件
• The DFIR Report: 文件被猫叼走了：Lynx勒索软件

THREAT INTELLIGENCE/HUNTING

• Adam at Hexacorn: 一些不常见的运行时rundll32.exe工件
• Shaunak Khosla at Altered Security: BetterSuccessor：仍在滥用dMSA进行权限提升（补丁后的BadSuccessor）
• Any.Run: LOLBin攻击实例详解：SOC团队需要知道的一切
• ASEC:
  • 2025年10月信息窃取器趋势报告
  • 2025年10月钓鱼邮件趋势报告
  • 2025年10月APT组织趋势报告
  • 通过VPN网站分发的NKNShell恶意软件
  • 利用WSUS远程代码执行漏洞（CVE-2025-59287）的ShadowPad攻击分析
  • 冒充流行OTT服务的钓鱼邮件
  • 2025年10月勒索软件威胁趋势报告
  • 利用受感染合法网站作为C2服务器的基于AI的混淆恶意应用分析报告
  • 2025年10月APT攻击趋势报告（韩国）
  • 使用高级检测与规避技术的恶意应用分析报告
• AttackIQ:
  • 模拟具有破坏性的Sandworm对手
  • 更新对CISA咨询（AA24-109A）的响应：Akira勒索软件
• AWS Security:
  • 使用Amazon OpenSearch仪表板分析AWS网络防火墙日志
  • 新Amazon威胁情报发现：连接网络与物理战场的国家级行为者
  • 利用AWS安全事件响应AI驱动功能加速调查
• Christine Barry at Barracuda: Sinobi：想要成为忍者的奢华专属勒索软件组织
• Nguyen Nguyen and Bart Blaze at CyberArmor: Autumn Dragon：与中国有关的APT组织瞄准东南亚
• Mehmet Ergene at Blu Raven Academy: KQL中的时间旅行
• Brian Krebs at ‘Krebs on Security’:
  • 微软2025年11月补丁星期二
  • Cloudflare中断可能成为安全路线图
  • Mozilla表示终于与“两面派”Onerep断绝关系
• CERT Ukraine: 针对乌克兰东部教育机构的网络攻击，使用GAMYBEAR软件（CERT-UA#18329）
• CERT-AGID: 2025年11月15日至21日恶意活动周度总结
• Chainalysis: 美、英、澳针对支持全球勒索软件行动的俄罗斯网络犯罪基础设施；美国针对全球毒品贩运网络的加密货币洗钱活动
• Check Point:
  • 11月17日 – 威胁情报报告
  • 黑色星期五网络犯罪经济：欺诈性域名和电子商务诈骗激增
• Cofense: 你不知情的、正在帮助黑客的6个URL缩短器
• Coveware: Obscura勒索软件：勒索软件数据丢失案例研究
• Chris Prall at CrowdStrike: 击败BLOCKADE SPIDER：CrowdStrike如何阻止跨域攻击
• Matthew Dobbs at Cyberbit: MITRE ATT&CK企业矩阵的101指南
• Cybersec Sentinel: GootLoader针对搜索驱动工作流的新规避方法
• Cyfirma: 每周情报报告 – 2025年11月21日
• Andrea Draghetti at D3Lab:
  • 针对意大利邮政的新欺诈：没有链接的电子邮件，只有一个联系电话！
  • 电话钓鱼活动持续：从邮政克隆到伪造的Google邮件
• DCSO CyTec: 网络冲突简报 2025年第三季度
• Detect FYI:
  • 引入DRAPE指数：如何衡量威胁检测实践中的（不）成功？
  • 超越检测：扩展分析与响应以保持MDR的相关性
  • 从勒索软件到国家级攻击 - MITRE ATT&CK v18和检测策略如何激活Active Directory…
  • 基于Tor出口节点的威胁狩猎（+ KQL查询）
• Disconinja: 每周威胁基础设施调查（第46周）
• DomainTools Investigations: 威胁情报报告：APT35内部泄露针对黎巴嫩、科威特、土耳其、沙特阿拉伯、韩国以及伊朗国内目标的黑客活动
• Elliptic: 美国打击为网络犯罪提供便利的俄罗斯防弹托管服务
• Olaf Hartong at Falcon Force: Microsoft Defender for Endpoint 内部 0x06 – 自定义收集
• FalconFeeds: Kittenbusters：神秘的举报人
• Gen: 权宜之盟：APT组织如何开始合作
• Google Cloud Threat Intelligence:
  • 前线情报：针对航空航天和国防生态系统的UNC1549 TTP、定制工具和恶意软件分析
  • 超越水坑攻击：APT24转向多向量攻击
• GreyNoise:
  • 当防弹托管证明是“防弹”时：斯塔克工业的骗局
  • FortiWeb CVE‑2025‑64446：我们在野外观察到的情况
  • Palo Alto扫描量在24小时内激增40倍，创90天新高
  • 引入基于查询的阻止列表：在GreyNoise平台中实现完全可配置的实时威胁阻止
• Hunt IO: 狩猎Cobalt Strike的完整指南 – 第2部分：10+个HuntSQL配方来寻找Cobalt Strike
• Lindsey O’Donnell-Welch and Harlan Carvey at Huntress: Velociraptor WSUS利用，第一部分：WSUS-Up?
• Jeffrey Bellny at CatchingPhish: Rhadamanthys的终局（暂时）
• Shusei Tomonaga at JPCERT/CC: YAMAGoya：使用Sigma和YARA规则的实时客户端监控工具
• Kostas: DetectionStream迎来重大升级：Suricata集成现已到来！
• Mat Fuchs: GHOST框架：零足迹EDR测试，为分析师应对真实威胁进行训练
• Shmuel Uzan at Morphisec: Morphisec挫败针对美国房地产公司的复杂Tuoni C2攻击
• Natto Thoughts: 中国的网络安全公司通过攻防实验室推进攻击性网络能力
• Oleg Skulkin at ‘Know Your Adversary’:
  • 321. 对手利用Outlook LoadMacroProviderOnBoot实现持久化
  • 322. 检测PowerShell滥用容易吗？
  • 323. 对手继续使用NetExec：取证视角
  • 324. 对手使用HideMouse隐藏远程访问证据
  • 325. 我们能否利用发现技术进行狩猎？
  • 326. 对手滥用XstExport在外泄前提取电子邮件
• Marine Pichon and Alexis Bonnefoi at Orange Cyberdefense: 迷雾中的痛点：剖析Operation DreamJob的武器库
• Ian Ahl at Permiso: Gainsight入侵调查：又一场SalesLoft式攻击正在展开
• Sıla Özeren Hacıoğlu at Picus Security: 深入Sandworm：十年的网络破坏与间谍活动
• Dan Green at Push Security: 分析最新的Sneaky2FA BITB钓鱼页面
• Recorded Future: 可操作的网络威胁情报
• Red Canary: 情报洞察：2025年11月
• SANS Internet Storm Center:
  • 解码二进制数值表达式，（11月17日，周一）
  • KongTuke活动，（11月18日，周二）
  • Unicode：不仅仅是好玩的域名，（11月12日，周三）
  • 使用CSS填充作为混淆技术？，（11月21日，周五）
  • 9月份观察到的Oracle Identity Manager漏洞利用（CVE-2025-61757），（11月20日，周四）
  • Wireshark 4.4.1发布，（11月23日，周日）
• Securelist:
  • 2025年第三季度IT威胁演变。移动统计
  • 2025年第三季度IT威胁演变。非移动统计
  • Tsundere僵尸网络滥用区块链和Node.js
  • 深入暗网就业市场
  • ToddyCat：您隐藏的电子邮件助手。第1部分
• Gilad Friedenreich Maizles and Marty Kareem at Security Scorecard: Operation WrtHug，隐藏在您家庭路由器中的全球间谍活动
• Dheeraj Kumar and Tanmay Kumar at Securonix: Securonix威胁实验室月度情报洞察 – 2025年10月
• Tomas Gatial at SentinelOne: 威胁狩猎增强 | 使用Validin和Synapse提升活动发现能力
• Olivia Brown at Socket: npm恶意软件活动使用Adspect伪装技术投递恶意重定向
• SOCRadar:
  • 暗网档案：Sarcoma勒索软件
  • 暗网市场：FreshTools
• Colin Cowie at Sophos: WhatsApp被入侵导致Astaroth部署
• Stephan Berger: 利用php-win.exe的PHP后门解剖
• Symantec Enterprise:
  • 不受欢迎的礼物：大型活动以虚假派对邀请诱骗目标
  • 军备竞赛：AI对网络安全的影响
• Alberto Pellitteri and Michael Clark at Sysdig: 检测CVE-2024-1086：一个被勒索软件活动积极利用的、存在十年的Linux内核漏洞
• System Weakness:
  • 追踪数据轨迹：检测数据外泄的指南
  • 网络服务器犯罪现场调查 – 检测网络攻击的防御者指南
• Yash Verma at Trend Micro: 剖析S3勒索软件：变种、攻击路径和Trend Vision One™防御
• Truesec: 反复使用高度可疑的PDF编辑器渗透环境
• Valdin: 深入朝鲜针对美国AI人才的虚假招聘平台
• Lucie Cardiet at Vectra AI: Typhoon APT如何不留痕迹地渗透基础设施
• István Márton at Wordfence: 攻击者正积极利用Post SMTP插件中的关键漏洞
• Блог Solar 4RAYS:
  • Solar 4RAYS：2025年事件调查纪事
  • 恶意攻击形势：传感器分析
• Jeremy Brown at Palo Alto Networks: Akira勒索软件攻击剖析：当虚假验证码导致42天的入侵

UPCOMING EVENTS

• Cellebrite: DFU解码：用媒体情报解锁隐藏真相
• Cyber Social Hub: CyberSocialCon 2025注册开放
• Magnet Forensics: Mobile Unpacked S3:E11 // 分析应用的生命周期
• SANS: 领先勒索软件一步 – 针对勒索软件和网络勒索的威胁狩猎

PRESENTATIONS/PODCASTS

• Hexordia: 数据中的真相 EP18：从政策到处理器：立法如何协助儿童剥削调查
• Adversary Universe Podcast: 诱导失败：DeepSeek生成代码中潜伏的安全风险
• Behind the Binary by Google Cloud Security: EP19 解构问题的艺术：工具、战术与ScatterBrain混淆器（与Nino Isakovic）
• Cloud Security Podcast by Google: EP252 智能SOC的现实：管理AI代理、数据保真度与衡量成功
• HackTheBox: 酿造混乱：勒索软件组织如何攻击Asahi
• Huntress: 社区炉边谈话 | 制定出色的事件响应（IR）计划
• InfoSec_Bret: 挑战 – 黄金票据
• Magnet Forensics:
  • Mobile Minute Ep. 15 // Magnet Automate如何将您的实验室变成24小时司法送达中心
  • 使用Magnet Verify保护您的组织免受篡改媒体的侵害
  • 数字取证和自动化如何改变联邦调查
• Microsoft Threat Intelligence Podcast: 啊嗬！一个针对大学薪资海盗的故事
• Monolith Forensics: 在Monolith案例中添加文件
• MSAB: #MSABMonday – XRY指定流程选项
• MyDFIR:
  • 网络安全SOC分析师实验室 – 网络调查（PCAP）
  • 从YouTube教程到真实的SOC技能 | MYDFIR会员访谈
  • 从卡车司机到学习成为SOC分析师 | Anthony的旅程
• Off By One Security: 职业倦怠：不要被烧焦
• Parsing the Truth: One Byte at a Time: 蘑菇谋杀案 第1部分
• Permiso Security: 第04集 – Gainsight — Salesforce：又一次OAuth供应链恐慌？
• Proofpoint: 从烤面包机到僵尸网络：保护日常物联网
• Sandfly Security: Destination Linux播客：Tor、VPN和匿名风险
• SANS: Inside Digital Forensics：与Heather Barnhart在黑暗中寻找真相
• The Weekly Purple Team: 利用Windows过滤平台致盲EDR
• Three Buddy Problem: Gemini 3反应、Fortinet/Chrome零日漏洞、Cloudflare单一文化现象和十亿美元的加密转折

MALWARE

• Bloo: 深入Shellcode：剖析朝鲜APT43的高级PowerShell加载器
• Erik Pistelli at Cerbero: 内存挑战8：MemLabs实验室4 – Obsession
• Melissa Eckardt at cyber.wtf: Rhadamanthys加载器去混淆
• Cybereason: 加密许可证：“绅士们”开始行动
• Darktrace: Xillen窃取器更新至版本5以逃避AI检测
• hasherezade’s 1001 nights: Flare-On 12 – 任务9
• K7 Labs:
  • 内存中的伪装：隐藏的.PYC片段利用cvtres.exe与C&C通信
  • 巴西活动：通过WhatsApp传播恶意软件
• Jan Michael Alcantara at Netskope: 恶意软件的未来是LLM驱动的
• PetiKVX: Virus.Win32.Aidlot（MS-DOS，ASM）分析
• Rexor: Vc0Snake进化
• Shubho57: 恶意VS Code可执行文件分析
• Siddhant Mishra: 深入Shellcode：剖析朝鲜APT43的高级PowerShell加载器
• ThreatFabric: Sturnus：绕过WhatsApp、Telegram和Signal加密的移动银行恶意软件
• Nathaniel Morales, John Basmayor, and Nikita Kazymirskyi at Trustwave SpiderLabs: SpiderLabs发现通过WhatsApp分发的新型银行木马
• Facundo Muñoz and Dávid Gábriš at WeLiveSecurity: PlushDaemon入侵网络设备以实现中间人攻击

MISCELLANEOUS

• Cellebrite:
  • 淹没在数据中？EDRM模型是您的救生索
  • 通过更智能的数字调查建设更安全的社区
• CISA: CISA发布指南以减轻防弹托管提供商带来的风险
• Mike Wilkinson at Cyber Triage: 2025年远程取证收集工具
• Josibel Mendoza at DFIR Dominican: DFIR职位更新 – 2025年11月17日
• Djnn: Anthropic的论文闻起来像胡说八道
• Forensic Focus:
  • 使用SS8 Discovery解决高调谋杀案 – 下载案例研究
  • 重新思考内部调查：数字取证协作的新时代
  • GMDSOFT技术通讯第16卷：Galaxy和iPhone上AI编辑痕迹分析
  • 数字取证综述，2025年11月19日
  • 推出Oxygen Remote Explorer 2.0
  • Amped Authenticate通过智能报告和批处理使深度伪造检测更容易
  • 宣布Magnet User Summit 2026演示目录
• Howard Oakley at ‘The Eclectic Light Company’: 解释器：数据和元数据
• Jeffrey Appel: 使用Defender中的有效设置排查已配置的Defender AV设置问题
• Kevin Beaumont at DoublePulsar: 组织可以从Capita勒索软件事件创纪录的罚款中学到什么
• Magnet Forensics:
  • 推出Magnet One Mobile Case Stream：现已提供早期访问！
  • 相同的应用，不同的数据：向法庭解释为何设备和云端数据不匹配
  • 利用数字取证推进员工不当行为调查
  • Magnet User Summit 2026：这是您的演示目录！
• Mark Russinovich at Microsoft: Windows即将引入原生Sysmon功能
• Osama Elnaggar: 使用Logstash进行闪电般快速的日志丰富
• Raymond Roethof:
  • Microsoft Defender for Identity建议操作：内置Active Directory来宾账户已启用
  • Microsoft Defender for Identity建议操作：更改KRBTGT账户密码
  • Microsoft Defender for Identity建议操作：确保所有特权账户都设置了配置标志
  • Microsoft Defender for Identity建议操作：更改内置域管理员账户密码
• Salvation DATA: 比特币取证和加密货币取证：区块链调查初学者指南
• Sandfly Security: 在DigitalOcean上部署和配置Sandfly无代理安全
• Ryan McGeehan at Starting Up Security: 恶意内部人员场景
• THOR Collective Dispatch:
  • 现实世界中的紫队演练：当一切偏离轨道时（这很正常）
  • 调整风险管理与威胁知情防御实践（第2部分）
• Alan Sguigna at White Knight Labs: 使用MCP进行调试、逆向工程和威胁分析：第2部分
• Victor M. Alvarez at YARA-X: 看，没有警告

SOFTWARE UPDATES

• Airbus Cybersecurity: IRIS-Web v2.4.26
• Digital Sleuth: winfor-salt v2025.14.5
• Lethal-Forensics: MacOS-Analyzer-Suite v1.1.0
• Mandiant: Capa v9.3.1
• MISP:
  • MISP v2.5.25 – 性能更新
  • MISP v2.5.26 – 发布，包含性能改进和互操作性修复
• MSAB: XRY 11.2.1：增强对现代设备和操作系统版本的支持
• OpenCTI: 6.8.13
• Passmark Software: OSForensics V11.1 build 1012 2025年11月18日
• Phil Harvey: ExifTool 13.42
• Xways: X-Ways Forensics 21.7 Preview 3

Miscellaneous

以上就是本周的全部内容！如果您认为我遗漏了什么，或者希望我特别报道某些内容，请通过联系页面或社交渠道联系我！ 使用代码 PM15 或点击此链接享受您的下一门Hexordia课程15%优惠。参加我的课程！使用折扣码 thisweekin4n6 在Cyber5w的任何课程中享受15%折扣。