赞助内容

Salesloft-Drift入侵内幕：对SaaS和身份安全的意义
在本环节中，Permiso的首席技术官将涵盖：

• 攻击者如何利用被盗的OAuth令牌从GitHub移动到AWS再到SalesForce
• 为何这种"全机器"攻击给SaaS供应链和NHI敲响了警钟
• 在您的环境中检测和遏制类似威胁的实用步骤

观看视频播客
由Permiso赞助

取证分析

• Alp Batur：程序存在证据：Amcache和Shimcache

• Lucy Carey-Shields (AmpedForensic)：使用Amped FIVE的视频工作流程 - 第一部分：初步步骤、验证和文件考虑

• Brian Maloney：OneDrive快速访问

• Erik Pistelli (Cerbero)：内存挑战2：MEM挑战

• Christopher Eng (Ogmini)：

  • Gmail应用 - IMAP账户痕迹（附件）- 第2部分
  • Gmail应用 - IMAP账户痕迹（附件）- 第3部分
  • Gmail应用 - IMAP账户痕迹（消息记录）- 第1部分

• Cyber Triage：DFIR后续步骤：可疑的Pulseway使用

• Dr. Neal Krawetz (The Hacker Factor Blog)：照片修订与现实

• Elcomsoft：证据保存：为何iPhone数据会过期

• Forensafe：调查iOS Truth Social

• Iram Jack：

  • Windows和Linux内存获取
  • 虚拟机和云环境中的内存获取
  • Volatility基础
  • Windows内存与进程
  • Windows内存与用户活动
  • Windows内存与网络

• OSINT Team：使用MFTEcmd和其他工具分析NTFS中的$MFT文件

• Forensic-Timeliner v2.2：高速Windows DFIR时间线整合

• Anthony Dourra (Paraben Corporation)：DFIR：在决策时理解证据类型的重要性

• SJDC：通过MacOS收集iPhone统一日志

• Studio d’Informatica Forense：DMARC取证：验证合规性和避免欺骗问题的工具

• The Packd Byte：

  • 文章003：关于在扣押时刻保存移动设备
  • 从FFS提取中导出统一日志以在Mac中查看

威胁情报/狩猎

• Adam (Hexacorn)：ntprint.exe lolbin

• Arctic Wolf：数据外泄

• Ayelen Torello和Francis Guibernau (AttackIQ)：模拟多功能的Qilin勒索软件

• Maria Vasilevskaya (Auth0)：刷新令牌安全：使用Auth0检测劫持和滥用

• Brad Duncan (Malware Traffic Analysis)：

  • 2025-10-06：日本钓鱼邮件
  • 2025-10-01：可能伪装成流行软件破解版的Rhadamanthys
  • 2025-10-02：Android恶意软件
  • 2025-10-08：来自Kongtuke活动的ClickFix页面感染

• Brian Krebs (Krebs on Security)：

  • ShinyHunters发动广泛的企业勒索活动
  • DDoS僵尸网络Aisuru以创纪录的DDoS攻击覆盖美国ISP

• CERT-AGID：10月4日至10日恶意活动周总结

• Check Point：

  • 10月6日 - 威胁情报报告
  • 2025年9月全球网络威胁：攻击量略有缓解，但GenAI风险加剧，勒索软件激增46%

• Cisco’s Talos：

  • 太咸难以处理：揭露隐藏文本盐化的CSS滥用案例
  • Velociraptor在勒索软件攻击中被利用

• CloudSEK：IRGC关联的APT35行动内幕

• Emmett Smith和Brooke McLain (Cofense)：在家钓鱼 - 远程工作中潜伏在Tesla、Google、Ferrari和Glassdoor中的隐藏危险

• Andreas Arnold (Compass Security)：LockBit入侵：从勒索软件组织内部数据获得的见解

• CrowdStrike：CrowdStrike识别通过零日漏洞（现跟踪为CVE-2025-61882）针对Oracle电子商务套件的活动

• Cyfirma：每周情报报告 - 2025年10月10日

• Damien Lewke：狩猎压缩的攻击链

• Darktrace：Akira SonicWall活动曝光

• Disconinja：每周威胁基础设施调查（第40周）

• DomainTools Investigations：加密诈骗网络内部

• Elastic Security Labs：2025年Elastic全球威胁报告揭示的不断演变的威胁格局

• Elliptic：朝鲜加密黑客在2025年已窃取超过20亿美元

• Esentire：新Rust恶意软件"ChaosBot"使用Discord进行命令和控制

• Bas van den Berg (Eye Research)：ClickFix阻止：防范虚假CAPTCHA攻击 | Eye Security

• FalconFeeds：

  • 无边界战场：区域冲突如何在网络威胁行为者行为中反映
  • 不断演变的窃取器威胁格局：一个月深度挖掘（2025年8月20日至9月19日）
  • 消失的有效载荷：后恶意软件时代中的无文件攻击追踪

• Forescout：黑客活动攻击剖析：俄罗斯对齐组织针对OT/ICS

• gm0：

  • The Gentlemen勒索软件组织档案 - 第2部分：基础设施
  • The Gentlemen勒索软件组织档案 - 第3部分：操作
  • The Gentlemen勒索软件组织档案 - 第4部分：影响

• Peter Ukhanov, Genevieve Stark, Zander Work, Ashley Pearson, Josh Murchie, Austin Larsen (Google Cloud Threat Intelligence)：Oracle电子商务套件零日在广泛勒索活动中被利用

• Noah Stone (GreyNoise)：100,000+ IP僵尸网络对美国基础设施发起协调的RDP攻击波

• Hunt IO：AdaptixC2揭秘：能力、战术和狩猎策略

• Huntress：

  • The Crown Prince, Nezha：中国关联威胁行为者偏爱的新工具
  • Gladinet CentreStack和Triofox本地文件包含漏洞的主动利用

• Maël Le Touz和John Wòjcik (Infoblox)：杀猪盘骗局及其DNS踪迹：将威胁链接到恶意复合体

• InfoSec Write-ups：

  • 对手TTP模拟实验室
  • 中间人检测

• Benjamin Tan和Moses Tay (INTfinity Consulting)：从DFIR角度保护您的CMS

• Invictus Incident Response：2025年BEC剖析

• Kevin Beaumont (DoublePulsar)：Red Hat Consulting入侵使5000多家高调企业客户面临风险 - 详细说明

• Adam Goss (Kraven Security)：驯服数据野兽：威胁猎手的Nushell指南

• Alexandre Kim (MaverisLabs)：逃避警惕之眼：红队绕过EDR技术指南

• Md. Abdullah Al Mamun：自2025年9月以来的未知俄罗斯网络攻击

• Microsoft Security：

  • 调查CVE-2025-10035 GoAnywhere托管文件传输漏洞的主动利用
  • 破坏针对Microsoft Teams的威胁
  • 调查影响美国大学的针对性"工资海盗"攻击

• Idan Cohen (Mitiga)：ShinyHunters和UNC6395：Salesforce和Salesloft入侵内幕

• Natto Thoughts：中国的漏洞研究：现在有何不同？

• NCSC：通过可观察性和威胁狩猎加强国家网络韧性

• NVISO Labs：

  • 检测工程：实践检测即代码 - 监控 - 第7部分
  • 漏洞管理 - 需求、范围确定和目标设定

• Oleg Skulkin (Know Your Adversary)：

  • 279. Confucius组织使用恶意PowerPoint Show文件
  • 280. 狩猎可疑TLD
  • 281. 对手滥用Bunny.net CDN
  • 282. 这是另一个您很可能未检测到的RMM
  • 283. 勒索软件团伙如何滥用Wbadmin
  • 284. WhatsApp蠕虫如何禁用UAC
  • 285. Stealit如何隐藏PowerShell窗口

• Palo Alto Networks：

  • 从赎金到收入损失
  • ClickFix工厂：IUAM ClickFix生成器的首次曝光
  • 响应云事件：2025年Unit 42全球事件响应报告的分步指南
  • 当AI记住太多时 - 代理内存中的持久行为
  • 缩小云安全差距
  • 黄金尺度：Bling Libra和不断演变的勒索经济

• Rain Ginsberg：substation_at_0742.nfo

• Recorded Future：大规模恶意NPM包攻击威胁软件供应链

• Tony Lambert和Chris Brook (Red Canary)：Mac窃取器分类学：区分Atomic、Odyssey和Poseidon

• SANS Internet Storm Center：

  • 可能Oracle电子商务套件利用脚本的快速粗略分析（CVE-2025-61882）[更新]，（10月6日，星期一）
  • 多态Python恶意软件，（10月8日，星期三）
  • 利用FreePBX（CVE-2025-57819）进行代码执行的漏洞利用，（10月7日，星期二）
  • [客座日记] 构建更好的防御：来自蜜罐的RedTail观察，（10月9日，星期四）
  • Wireshark 4.4.10和4.6.0发布，（10月12日，星期日）

• Securelist：

  • 使用机器学习检测DLL劫持：真实案例
  • 我们如何训练ML模型检测DLL劫持

• Thomas Roccia (SecurityBreak)：介绍PromptIntel

• Liran Tal (Snyk)：利用NPM生态系统的钓鱼活动

• Socket：

  • 175个恶意npm包托管针对135多个组织的钓鱼基础设施
  • 朝鲜传染性面试活动升级：338个恶意npm包，50,000次下载
  • 在npm、PyPI和RubyGems.org上武器化Discord进行命令和控制

• SOCRadar：虚假Microsoft Teams安装程序分发Oyster后门

• Sophos：

  • 2025年医疗保健领域勒索软件状况
  • WhatsApp蠕虫针对巴西银行客户

• Vincent Zell (Stairwell)：Yurei：新的勒索软件威胁

• Bryan Campbell (Sublime Security)：英国内政部签证和移民诈骗针对赞助管理系统账户

• Marco A. De Felice aka amvinfe (SuspectFile)：

  • 迈阿密律师事务所遭受重大数据泄露：2.5 TB敏感文件暴露
  • 更新：Beaumont Bone & Joint Institute成为PEAR目标：大规模敏感数据泄露

• Synacktiv：LLM投毒[1/3] - 阅读Transformer的思想

• Eduardo Kayky (System Weakness)：LetsDefend - SOC模拟器/英文版

• THOR Collective Dispatch：

  • 时间形状：掌握时间图表
  • 超越指标的狩猎

• Andrew Scott (Todyl)：网络犯罪联盟的崛起：LockBit、Qilin和DragonForce对商业风险的意义

• Trellix：俄罗斯物理网络间谍活动的演变

• Trend Micro：

  • 武器化AI助手和凭据窃取器
  • 您的AI聊天机器人如何成为后门
  • 不安全架构的级联：Axis插件设计缺陷使部分Autodesk Revit用户面临供应链风险

• Jean-Francois Gobin (Truesec)：她在海边销售Web Shells（第二部分）

• Ugur Koc和Bert-Jan Pals (Kusto Insights)：Kusto Insights - 九月更新

• Kenneth Kinion (Valdin)：使用Validin探索发票欺诈电子邮件尝试

• Vasilis Orlof (Cyber Intelligence Insights)：情报投放 #2

• Lucie Cardiet (Vectra AI)：看透表面：Crimson Collective揭示的云检测深度

• Callum Roxan, Killian Raimbaud,和Steven Adair (Volexity)：APT遇见GPT：使用未驯服LLM的定向操作

• watchTowr Labs：

  • 好吧，好吧，好吧。又是新的一天。（Oracle电子商务套件预认证RCE链 - CVE-2025-61882）
  • 不仅仅是DoS（Progress Telerik UI for ASP.NET AJAX不安全反射CVE-2025-3600）

• Wiz：

  • RediShell：Redis中的关键远程代码执行漏洞（CVE-2025-49844），CVSS评分10
  • 防御数据库勒索软件攻击

• Vinay Polurouthu, Manohar Ghule,和Brendon Macaraeg (ZScaler)：防御最后一英里重组攻击

• Блог Solar 4RAYS：NGC4141：东亚组织攻击定制Web应用程序

即将举行的活动

• Simply Defensive：检测工程教程：云安全、Kubernetes日志记录和SOC职业路径 | S5 E2

• Huntress：Tradecraft Tuesday | Huntress CTF 2025

• Magnet Forensics：

  • 云还是本地？为什么不两者兼得 — 发现新的Nexus混合代理
  • 使用Magnet Graykey Fastrak和Magnet Automate消除移动设备积压和瓶颈

• Paula Januszkiewicz和Amr Thabet (Cqure Academy)：实时网络研讨会 当邪恶隐匿时：威胁猎手和事件响应者的最佳实践

• Silent Push：研讨会 - 在攻击前检测钓鱼基础设施

演示/播客

• Hexordia：Truth in Dat：EP15：工件权威：专家证人证词

• Cellebrite：

  • 询问专家：与Ian Whiffin一起检查Karen Read审判 - 第1部分
  • 询问专家：与Ian Whiffin一起检查Karen Read审判 - 第2部分
  • 提示星期二：在Inseyets UFED中使用Streamline

• Cloud Security Podcast by Google：EP246 从扫描器到AI：与Qualys CEO Sumedh Thakar一起探讨25年的漏洞管理

• Magnet Forensics：

  • 从领先的媒体取证专家学习审查和分析媒体证据的技巧和最佳实践
  • Cyber Unpacked S2:E4 // 来自现场的声音：DFIR的趋势、挑战和未来

• Michael Haggis：ClickGrab更新：新技术、重定向跟随者、社区集成等！

• Microsoft Threat Intelligence Podcast：威胁格局更新：勒索软件即服务和高级模块化恶意软件

• Monolith Forensics：

  • 如何在Monolith中添加获取
  • Neptune中的哈希搜索
  • 在Neptune中将网络提示标记为已审查
  • Neptune中的已知媒体
  • 在Neptune中使用热键
  • 在Neptune中审查网络提示数据
  • 在Neptune中添加和处理网络提示
  • Neptune介绍

• MSAB：XAMN早期访问第二部分

• MyDFIR：为何应在家庭实验室中模拟攻击

• Parsing the Truth: One Byte at a Time：关于Pam Hupp和Russ Faria的事情第1部分

• Proofpoint：当意识到网络安全意味着知道自己是人类时

• Sandfly Security：Linux隐形Rootkit狩猎演示

• SentinelOne：LABScon25回放 | 自动挑衅熊：AI时代中的分析交易技巧

• The Cyber Mentor：直播：HTB Sherlocks！ | 网络安全 | 蓝队

• The DFIR Journal：SharePoint同步：生产力变成数据外泄

• The Weekly Purple Team Vibe：在攻防操作中使用AI自动化进行黑客攻击

• Three Buddy Problem：

  • Chris Eng谈从NSA、@Stake、Veracode和20年网络安全中学到的经验教训
  • Apple漏洞利用链赏金、无线邻近漏洞利用和战术手提箱

恶意软件

• CTF导航APT | 海莲花组织：Havoc远控木马分析

• Cybereason：解决针对Oracle EBS CVE-2025-61882的CL0P勒索活动

• Dr Josh Stroschein：

  • 直播：Suricata 8.0.1和7.0.12安全发布：与核心团队修复高严重性CVE
  • Behind the Binary新剧集：逆向工程中的机器学习革命

• Fortinet：

  • Chaos勒索软件的演变：更快、更智能、更危险
  • 新的Stealit活动滥用Node.js单可执行应用程序

• Harshil Patel和Prabudh Chakravorty (McAfee Labs)：Astaroth：滥用GitHub实现弹性的银行木马

• Ray Fernandez (Moonlock)：Mac.c窃取器演变为具有后门和远程控制的MacSync

• Rizqi Setyo Kusprihantanto (OSINT Team)：MCP作为您的恶意软件分析助手

• Paolo Luise：Ghidra和字符串

• Shubho57：bat文件投放器分析

• Rizqi Mulki (System Weakness)：Android应用程序逆向工程：揭示隐藏的秘密

• Zhassulan Zhussupov：Linux黑客第7部分：Linux sysinfo窃取器：Telegram Bot API。简单C示例

• بانک اطلاعات تهدیدات بدافزاری پادویش：HackTool.Win32.APT-GANG8220

其他

• Decrypting a Defense：ICE增加能力，SIM卡农场，NYCHA监控听证会，修复损坏的手机以进行提取等

• Josibel Mendoza (DFIR Dominican)：DFIR工作更新 - 2025年10月6日

• Forensic Focus：

  • Exterro推出FTK Imager Pro，为全球调查人员解锁对加密证据的更快访问
  • 所有关于PDF解密 - 在Passware知识库中发现
  • 即将举行的网络研讨会 - 2025年秋季发布内幕
  • Alexander Fehrmann：如何在Amped FIVE中分析压痕证据
  • Forensic Focus摘要，2025年10月10日

• GreyNoise：介绍GreyNoise Feeds：实时情报用于实时响应

• Group-IB：值得您收件箱的7大网络安全通讯

• Manuel Feifel (InfoGuard Labs)：分析和破坏Endpoint Defender的云通信

• Kevin Pagano (Stark 4N6)：与Magnet Forensics合作的Cyber Unpacked专题

• Magnet Forensics：

  • Magnet Axiom秋季更新：ChatGPT、Chromium、私人消息支持等
  • 使用Magnet One在数字调查中回收时间：第4部分 - 简化数据管理
  • 使用数字取证打击毒品和帮派暴力

• MISP：Wazuh和MISP集成

• Oxygen Forensics：

  • 事件响应团队立即改进远程数据收集的5种方式
  • 如何在Oxygen Remote Explorer中使用代理管理中心

• Shantaciak：事件响应策略：风暴前的蓝图

• Pilar Garcia (Sucuri)：介绍Sucuri Academy：您网站安全教育的新目的地

• System Weakness：Blue Cape Security的新取证认证？我获得了，这是我的评价

• Bernardo.Quintero (VirusTotal)：更简单的访问，更强的VirusTotal

软件更新

• Brian Maloney：OneDriveExplorer v2025.10.09
• Digital Sleuth：winfor-salt v2025.11.1
• Doug Metz (Baker Street Forensics)：跨平台DFIR工具：Windows上的MalChelaGUI
• North Loop Consulting：Arsenic v2.0
• OpenCTI：6.8.4
• Passmark Software：OSForensics V11.1 build 1011 2025年10月8日
• Passware：Passware Kit Mobile 2025 v4现已可用
• Phil Harvey：ExifTool 13.39
• Ulf Frisk：MemProcFS版本5.16
• WithSecure Labs：Chainsaw v2.13.1
• Xways：
  • X-Ways Forensics 21.5 SR-8
  • X-Ways Forensics 21.6 Beta 6