数字取证与事件响应周报：第41期（2025年）

赞助内容

Salesloft-Drift 入侵内幕：对 SaaS 和身份安全的影响 在本期节目中，Permiso 的 CTO 将涵盖： – 攻击者如何利用被盗的 OAuth 令牌，从 GitHub 移动到 AWS，再到 Salesforce。 – 为何这种“全机器”攻击为 SaaS 供应链和新型主机标识（NHIs）敲响了警钟。 – 在您的环境中检测和遏制类似威胁的实用步骤。观看视频播客 由 Permiso 赞助

一如既往，感谢那些给予点滴支持的朋友们！

取证分析

Alp Batur - 程序存在的证据：Amcache 和 Shimcache

Lucy Carey-Shields (AmpedForensic) - 使用 Amped FIVE 进行视频取证工作流程 – 第一部分：初步步骤、验证与文件考量

Brian Maloney - OneDrive 快速访问

Erik Pistelli (Cerbero) - 内存挑战 2：MEM Challenge

Christopher Eng (Ogmini)

Gmail App – IMAP 账户痕迹（附件）– 第 2 部分
Gmail App – IMAP 账户痕迹（附件）– 第 3 部分
Gmail App – IMAP 账户痕迹（消息日志）– 第 1 部分

Cyber Triage - DFIR 后续步骤：可疑的 Pulseway 使用

Dr. Neal Krawetz (‘The Hacker Factor Blog’) - 照片修改与现实

Elcomsoft - 证据保全：为何 iPhone 数据会过期

Forensafe - 调查 iOS 版 Truth Social 应用

Iram Jack

Windows 与 Linux 内存获取
虚拟机和云环境中的内存获取
Volatility 基础
Windows 内存与进程
Windows 内存与用户活动
Windows 内存与网络

OSINT Team

使用 MFTEcmd 和其他工具分析 NTFS 中的 $MFT 文件
Forensic-Timeliner v2.2：高速 Windows DFIR 时间线整合

Anthony Dourra (Paraben Corporation) - DFIR：理解证据类型对于决策的重要性

SJDC - 通过 MacOS 收集 iPhone 统一日志

Studio d’Informatica Forense - DMARC 取证：一款用于验证合规性并避免欺骗问题的工具

The Packd Byte

文章 003：关于在扣押时刻保存移动设备数据。
从 FFS 提取文件中导出统一日志以便在 Mac 上查看

威胁情报/狩猎

Adam (Hexacorn) - ntprint.exe lolbin

Arctic Wolf - 数据外泄

Ayelen Torello 和 Francis Guibernau (AttackIQ) - 模拟多功能的 Qilin 勒索软件

Maria Vasilevskaya (Auth0) - 刷新令牌安全：使用 Auth0 检测劫持和滥用

Brad Duncan (Malware Traffic Analysis)

2025-10-06：日文钓鱼邮件
2025-10-01：伪装成流行软件破解版的疑似 Rhadamanthys
2025-10-02：安卓恶意软件
2025-10-08：来自 Kongtuke 活动 ClickFix 页面的感染

Brian Krebs (‘Krebs on Security’)

ShinyHunters 发起大规模企业勒索活动
DDoS 僵尸网络 Aisuru 对美国 ISP 发起创纪录的 DDoS 攻击

CERT-AGID - 2025年10月4日至10日恶意活动周报摘要

Check Point

10月6日 – 威胁情报报告
2025年9月全球网络威胁：攻击量略有缓解，但勒索软件激增46%，GenAI风险加剧

Cisco Talos

过于“咸湿”难以处理：揭露利用 CSS 进行隐藏文本盐化的案例
勒索软件攻击中利用 Velociraptor

CloudSEK - 深入剖析与伊朗伊斯兰革命卫队（IRGC）相关的 APT35 行动

Emmett Smith 和 Brooke McLain (Cofense) - 来自家庭的钓鱼攻击 – 潜伏在特斯拉、谷歌、法拉利和 Glassdoor 远程职位中的隐蔽风险

Andreas Arnold (Compass Security) - LockBit 数据泄露：来自勒索软件组织内部数据的洞见

CrowdStrike - CrowdStrike 发现通过零日漏洞（现编号 CVE-2025-61882）针对 Oracle E-Business Suite 的攻击活动

Cyfirma - 每周情报报告 – 2025年10月10日

Damien Lewke - 狩猎压缩的杀伤链

Darktrace - 揭露 Akira SonicWall 攻击活动

Disconinja - 每周威胁基础设施调查（第40周）

DomainTools Investigations - 加密货币骗局网络内部

Elastic Security Labs - 2025年 Elastic 全球威胁报告揭示的不断演变的威胁格局

Elliptic - 朝鲜加密货币黑客在2025年已盗取超过20亿美元

Esentire - 新型 Rust 恶意软件 “ChaosBot” 利用 Discord 进行命令与控制

Bas van den Berg (Eye Security) - ClickFix 拦截：防御虚假验证码攻击

FalconFeeds

无国界的战场：地区冲突如何反映在网络威胁行为者的行为中
窃密软件威胁格局演变：为期一个月的深度剖析（2025年8月20日 – 9月19日）
消失的载荷：在后恶意软件时代追踪无文件攻击

Forescout - 黑客活动分子攻击剖析：俄罗斯相关组织针对 OT/ICS

gm0

绅士勒索软件组织画像 – 第2部分：基础设施
绅士勒索软件组织画像 – 第3部分：行动
绅士勒索软件组织画像 – 第4部分：影响

Peter Ukhanov, Genevieve Stark, Zander Work, Ashley Pearson, Josh Murchie, Austin Larsen (Google Cloud Threat Intelligence) - Oracle E-Business Suite 零日漏洞在大规模勒索活动中被利用

Noah Stone (GreyNoise) - 超过10万个 IP 的僵尸网络对美国基础设施发起协同 RDP 攻击波

Hunt IO - AdaptixC2 曝光：能力、战术与狩猎策略

Huntress

皇太子，哪吒：中国背景威胁行为者青睐的新工具
Gladinet CentreStack 和 Triofox 本地文件包含漏洞的活跃利用

Maël Le Touz 和 John Wòjcik (Infoblox) - 杀猪盘诈骗及其 DNS 踪迹：将威胁关联到恶意窝点

InfoSec Write-ups

对手 TTP 模拟实验室
中间人攻击检测

Benjamin Tan 和 Moses Tay (INTfinity Consulting) - 从 DFIR 视角保护您的 CMS

Invictus Incident Response - 2025年 BEC 攻击剖析

Kevin Beaumont (DoublePulsar) - 红帽咨询公司数据泄露，导致超过5000家高知名度企业客户面临风险 – 详细分析

Adam Goss (Kraven Security) - 驯服数据巨兽：威胁猎人的 Nushell 指南

Alexandre Kim (MaverisLabs) - 避开警惕之眼：红队的 EDR 绕过技术指南

Md. Abdullah Al Mamun - 自2025年9月以来未知的俄罗斯网络攻击

Microsoft Security

调查 CVE-2025-10035 (GoAnywhere 托管文件传输) 漏洞的活跃利用
阻断针对 Microsoft Teams 的威胁
调查影响美国大学的针对性“薪资海盗”攻击

Idan Cohen (Mitiga) - ShinyHunters 和 UNC6395：深入 Salesforce 和 Salesloft 数据泄露事件内部

Natto Thoughts - 中国的漏洞研究：现在有何不同？

NCSC - 通过可观测性和威胁狩猎增强国家网络弹性

NVISO Labs

检测工程：实践检测即代码 – 监控 – 第7部分
漏洞管理 – 需求、范围界定与目标设定

Oleg Skulkin (‘Know Your Adversary’)

1. Confucius 组织使用恶意 PowerPoint 放映文件
1. 狩猎可疑的顶级域名（TLD）
1. 攻击者滥用 Bunny.net CDN
1. 这又是一个您很可能未检测到的 RMM
1. 勒索软件团伙就是这样滥用 Wbadmin 的
1. WhatsApp 蠕虫就是这样禁用 UAC 的
1. Stealit 就是这样隐藏 PowerShell 窗口的

Palo Alto Networks

从勒索到收入损失
ClickFix 工厂：首次曝光 IUAM ClickFix 生成器
响应云事件：来自《2025年 Unit 42 全球事件响应报告》的分步指南
当 AI 记住太多时 – 智能体记忆中的持久性行为
弥合云安全差距
黄金天平：Bling Libra 与不断演变的勒索经济

Rain Ginsberg - substation_at_0742.nfo

Recorded Future - 大规模恶意 NPM 软件包攻击威胁软件供应链

Tony Lambert 和 Chris Brook (Red Canary) - Mac 窃密软件分类法：区分 Atomic、Odyssey 和 Poseidon

SANS Internet Storm Center

对可能的 Oracle E-Business Suite 漏洞利用脚本（CVE-2025-61882）的快速粗略分析 [已更新]，（10月6日，周一）
多态 Python 恶意软件，（10月8日，周三）
针对 FreePBX 的漏洞利用（CVE-2025-57819）及代码执行，（10月7日，周二）
[客座日记] 构建更好的防御：来自蜜罐的 RedTail 观察，（10月9日，周四）
Wireshark 4.4.10 和 4.6.0 版本发布，（10月12日，周日）

Securelist

使用机器学习检测 DLL 劫持：真实案例
我们如何训练 ML 模型来检测 DLL 劫持

Thomas Roccia (SecurityBreak) - 介绍 PromptIntel

Liran Tal (Snyk) - 利用 NPM 生态系统的网络钓鱼活动

Socket

175 个恶意 npm 软件包托管针对 135 多个组织的网络钓鱼基础设施
朝鲜的“传染性面试”活动升级：338 个恶意 npm 软件包，5 万次下载
在 npm、PyPI 和 RubyGems.org 上利用 Discord 进行命令与控制

SOCRadar - 假冒的 Microsoft Teams 安装程序分发 Oyster 后门

Sophos

2025 年医疗保健行业勒索软件状况
WhatsApp 蠕虫针对巴西银行客户

Vincent Zell (Stairwell) - Yurei：新的勒索软件威胁

Bryan Campbell (Sublime Security) - 英国内政部签证和移民骗局针对赞助管理系统账户

Marco A. De Felice (aka amvinfe) (SuspectFile)

迈阿密律师事务所遭遇重大数据泄露：2.5 TB 敏感文件暴露
更新：Beaumont Bone & Joint Institute 遭 PEAR 攻击：大规模敏感数据泄露

Synacktiv - LLM 投毒 [1/3] – 读取 Transformer 的“思想”

Eduardo Kayky (System Weakness) - LetsDefend – SOC 模拟器/英文版

THOR Collective Dispatch

时间的形状：掌握时间图表
超越指标的狩猎

Andrew Scott (Todyl) - 网络犯罪联盟的崛起：LockBit、Qilin 和 DragonForce 对商业风险意味着什么

Trellix - 俄罗斯物理-网络间谍活动的演变

Trend Micro

武器化的 AI 助手和凭据窃取者
您的 AI 聊天机器人如何成为后门
不安全架构的连锁反应：Axis 插件设计缺陷使部分 Autodesk Revit 用户面临供应链风险

Jean-Francois Gobin (Truesec) - 她在海边兜售 Web Shell（第二部分）

Ugur Koc 和 Bert-Jan Pals (Kusto Insights) - Kusto Insights – 九月更新

Kenneth Kinion (Valdin) - 使用 Valdin 探索发票欺诈邮件尝试

Vasilis Orlof (Cyber Intelligence Insights) - 情报分享 #2

Lucie Cardiet (Vectra AI) - 洞察表象之下：Crimson Collective 揭示的云检测深度

Callum Roxan, Killian Raimbaud 和 Steven Adair (Volexity) - APT 遇上 GPT：利用未受控 LLM 的针对性行动

watchTowr Labs

嗯，嗯，嗯，又是新的一天。（Oracle E-Business Suite 认证前 RCE 链 – CVE-2025-61882）
不仅仅是拒绝服务（Progress Telerik UI for ASP.NET AJAX 不安全反射漏洞 CVE-2025-3600）

Wiz

RediShell：Redis 中的关键远程代码执行漏洞（CVE-2025-49844，CVSS 10分）
防御数据库勒索软件攻击

Vinay Polurouthu, Manohar Ghule 和 Brendon Macaraeg (ZScaler) - 防御“最后一公里”重组攻击

Блог Solar 4RAYS - NGG4141：东亚攻击组织针对定制网络应用程序

即将举办的活动

Simply Defensive - 检测工程教程：云安全、Kubernetes 日志与 SOC 职业道路 | 第5季第2集

Huntress - Tradecraft Tuesday | Huntress CTF 2025

Magnet Forensics

云上还是本地？为何不两者兼得 – 探索全新的 Nexus 混合代理
使用 Magnet Graykey Fastrak 和 Magnet Automate 消除您的移动设备积压和瓶颈

Paula Januszkiewicz 和 Amr Thabet (Cqure Academy) - 在线研讨会 当邪恶隐姓埋名时：威胁猎手和事件响应者的最佳实践

Silent Push - 研讨会 – 在攻击前检测网络钓鱼基础设施

演示/播客

Hexordia - Truth in Dat：EP15：证据专家：专家证人证词

Cellebrite

专家问答：与 Ian Whiffin 一起审视 Karen Read 审判 – 第1部分
专家问答：与 Ian Whiffin 一起审视 Karen Read 审判 – 第2部分

Cellebrite - 周二小贴士：在 Inseyets UFED 中使用 Streamline

Google 云安全播客 - EP246 从扫描器到 AI：Qualys CEO Sumedh Thakar 谈25年的漏洞管理

Magnet Forensics

向领先的媒体取证专家学习审查和分析媒体证据的技巧和最佳实践
Cyber Unpacked 第2季第4集 // 来自一线的声音：DFIR 的趋势、挑战与未来

Michael Haggis - ClickGrab 更新：新技术、重定向跟随器、社区集成及更多！

Microsoft Threat Intelligence Podcast - 威胁态势更新：勒索软件即服务与高级模块化恶意软件

Monolith Forensics

如何在 Monolith 中添加采集
Neptune 中的哈希搜索
在 Neptune 中将网络威胁情报标记为已审查
Neptune 中的已知媒体
在 Neptune 中使用热键
在 Neptune 中审查网络威胁情报数据
在 Neptune 中添加和处理网络威胁情报
Neptune 介绍

MSAB - XAMN 抢先体验第二部分

MyDFIR - 为何您应该在家庭实验室中模拟攻击

Parsing the Truth: One Byte at a Time - 关于 Pam Hupp 和 Russ Faria 的那些事第1部分

Proofpoint - 当网络安全意识意味着承认您是人类时

Sandfly Security - Linux 隐形 Rootkit 狩猎演示

SentinelOne - LABScon25 回放 | 自动挑衅熊：AI 时代的分析技巧

The Cyber Mentor - 直播：HTB Sherlocks！| 网络安全 | 蓝队

The DFIR Journal - SharePoint 同步：生产力沦为数据外泄

The Weekly Purple Team Vibe - 在攻防运营中使用 AI 实现自动化的黑客技术

Three Buddy Problem

Chris Eng 分享从 NSA、@Stake、Veracode 以及20年网络安全生涯中学到的经验教训
苹果漏洞链赏金、无线近距漏洞利用和战术手提箱

恶意软件

CTF导航APT - 海莲花组织 Havoc 远控木马分析

Cybereason - 应对针对 Oracle EBS CVE-2025-61882 漏洞的 CL0P 勒索活动

Dr Josh Stroschein

直播：Suricata 8.0.1 和 7.0.12 安全版本发布：与核心团队一起修复高危 CVE
新一集《Behind the Binary》：逆向工程中的机器学习革命

Fortinet

Chaos 勒索软件的演变：更快、更智能、更危险
新的 Stealit 活动滥用 Node.js 单文件可执行应用程序

Harshil Patel 和 Prabudh Chakravorty (McAfee Labs) - Astaroth：利用 GitHub 增强韧性的银行木马

Ray Fernandez (Moonlock) - Mac.c 窃密软件演变为具有后门和远程控制功能的 MacSync

Rizqi Setyo Kusprihantanto (OSINT Team) - MCP 作为您的恶意软件分析助手

Paolo Luise - Ghidra 与字符串

Shubho57 - 批处理文件（bat）释放器分析

Rizqi Mulki (System Weakness) - 安卓应用逆向工程：揭开隐藏的秘密

Zhassulan Zhussupov - Linux 黑客第7部分：Linux sysinfo 窃取者：Telegram Bot API。简单 C 语言示例

بانک اطلاعات تهدیدات بدافزاری پادویش - HackTool.Win32.APT-GANG8220

杂项

Decrypting a Defense - ICE 增强能力、SIM 卡农场、纽约市住房管理局监视听证会、修复损坏的手机以进行数据提取等更多内容

Josibel Mendoza (DFIR Dominican) - DFIR 职位更新 – 2025年10月6日

Forensic Focus

Exterro 推出 FTK Imager Pro，为全球调查人员解锁对加密证据的更快访问
关于 PDF 解密的一切 – 在 Passware 知识库中发现
即将举行的网络研讨会 – 深入2025年秋季版本
Alexander Fehrmann：如何在 Amped FIVE 中分析压痕证据
Forensic Focus 文摘，2025年10月10日

GreyNoise - 介绍 GreyNoise Feeds：实时情报应对实时响应

Group-IB - 值得您关注的7大网络安全资讯邮件

Manuel Feifel (InfoGuard Labs) - 分析与拦截 Microsoft Defender for Endpoint 的云通信

Kevin Pagano (Stark 4N6) - 与 Magnet Forensics 合作的 Cyber Unpacked 专题

Magnet Forensics

Magnet Axiom 秋季更新：支持 ChatGPT、Chromium、私密消息及更多功能
使用 Magnet One 夺回数字调查时间：第4部分 – 简化数据管理
利用数字取证打击毒品和团伙暴力

MISP - Wazuh 与 MISP 集成

Oxygen Forensics

事件响应团队可以立即改进远程数据收集的5种方法
如何在 Oxygen Remote Explorer 中使用代理管理中心

Shantaciak - 事件响应策略：风暴前的蓝图

Pilar Garcia (Sucuri) - 介绍 Sucuri 学院：您学习网站安全的新平台

System Weakness - Blue Cape Security 的新取证认证？我拿到了，这是我的测评。

Bernardo.Quintero (VirusTotal) - 为更强大的 VirusTotal 提供更简单的访问

软件更新

Brian Maloney - OneDriveExplorer v2025.10.09

Digital Sleuth - winfor-salt v2025.11.1

Doug Metz (Baker Street Forensics) - 跨平台 DFIR 工具：Windows 上的 MalChelaGUI

North Loop Consulting - Arsenic v2.0

OpenCTI - 6.8.4

Passmark Software - OSForensics V11.1 build 1011 2025年10月8日

Passware - Passware Kit Mobile 2025 v4 现已推出

Phil Harvey - ExifTool 13.39

Ulf Frisk - MemProcFS Version 5.16

WithSecure Labs - Chainsaw v2.13.1

Xways

X-Ways Forensics 21.5 SR-8
X-Ways Forensics 21.6 Beta 6

本周内容就是这些！如果您认为我遗漏了什么，或者希望我专门报道某个内容，请通过联系页面或社交媒体与我联系！使用代码 PM15 或点击此链接，享受您下一堂 Hexordia 课程的 15% 折扣。跟我一起上课！使用折扣码 thisweekin4n6 在 Cyber5w 的任何课程上享受 15% 优惠。