Week 42 – 2025 – This Week In 4n6

本文是第42周的数字取证与事件响应（DFIR）新闻综述。

赞助内容：Salesloft-Drift 泄露事件剖析

在本期视频播客中，Permiso公司的CTO将探讨：

• 攻击者如何利用窃取的OAuth令牌从GitHub转移到AWS，再到Salesforce。
• 为何这种“全自动”攻击为SaaS供应链和NHI（非人类身份）敲响了警钟。
• 在您的环境中检测和遏制类似威胁的实用步骤。 观看视频播客（由Permiso赞助）

一如既往，感谢那些给予支持的朋友们！

取证分析

• Adam at Hexacorn：过去的取证
• Akash Patel：
  • 远程执行与Kansa——仍是最被低估的应急响应工具之一
  • 日志分析——无关知识，重在关联
  • 追踪Kerberos和NTLM身份验证失败及调查
• Lucy Carey-Shields at Amped：使用Amped FIVE的法证视频工作流程 – 第二部分：视频证据分析
• Erik Pistelli at Cerbero：内存挑战3：隐形
• Christopher Eng at Ogmini：
  • Gmail应用 – IMAP账户痕迹（消息日志记录）- 第二部分
  • 法证ADB脚本 – adb-pull-stat.py
  • BSides NYC 0x05 – 通过贡献来学习：通过开源构建DFIR专业技能
• Elcomsoft：
  • 提取苹果统一日志
  • 速查表：完美获取（32位）
  • 有效的磁盘镜像：端口、集线器和电源
  • 所有USB线缆生而平等，但有些更为平等
• Elliptic：
  • 美国扣押的150亿美元源自伊朗/中国的比特币矿工“盗窃”案
  • Prince Group因“杀猪盘”业务遭遇150亿美元加密货币扣押和制裁
• Forensafe：解决Magnet虚拟峰会2025 CTF（Windows）
• Hussam Shbib at Cyber Dose：成为更好的侦探 #6 解析Linux内存转储
• Ian Whiffin at DoubleBlak：Safari浏览器演练
• Iram Jack：
  • 补充内存
  • Linux内存分析
• Matthew Plascencia：Windows取证的精妙世界
• Md. Abdullah Al Mamun：莫斯科黑客暴露的命令历史
• OSINT Team：$UsnJrnl：探索NTFS USN日志以追踪文件系统活动
• Kirill Magaskin at Securelist：王已逝，新王万岁！Windows 10 EOL 与 Windows 11 取证痕迹
• Studio d’Informatica Forense：为Le Iene验证原始或伪造的电子邮件

威胁情报/狩猎

• Abdul Mhanni：成为机器：虚拟账户的完全控制指南
• Faan Rossouw at Active Countermeasures：威胁狩猎与“假定已失陷”理念
• Adam at Hexacorn：
  • help.exe的一个鲜为人知的秘密
  • nslookup.exe的一个鲜为人知的秘密，第二部分
  • wsreset.exe的一个鲜为人知的秘密
• ASEC：
  • Larva-25010 – APT Down威胁组织PC分析
  • 使用选择性加密算法的Qilin勒索软件分析
  • 2025年第三季度针对Linux SSH服务器的恶意软件统计报告
  • 2025年第三季度针对Windows数据库服务器的恶意软件统计报告
• AttackIQ：对Oracle安全警报公告的响应：Oracle电子商务套件预认证RCE (CVE-2025-61882)
• Deerendra Prasad at Barracuda：威胁聚焦：解析针对Microsoft 365的新型隐蔽钓鱼工具包
• Jade Brown at Bitdefender：Bitdefender威胁简报 | 2025年10月
• Brian Krebs at ‘Krebs on Security’：
  • 2025年10月“Windows 10终结”版补丁星期二
  • 邮件炸弹利用Zendesk宽松的身份验证
• BushidoToken：从Capita遭受的BlackBasta勒索软件攻击中汲取的教训
• CERT Ukraine：“对抗俄罗斯DRG”：UAC-0239利用OrcaC2框架和FILEMESS窃密程序发动网络攻击 (CERT-UA#17691)
• CERT-AGID：
  • 针对意大利外国公民的居留许可验证网络钓鱼
  • 针对PagoPA的网络钓鱼滥用Google开放重定向
  • 10月11日至17日恶意活动概要总结
• Check Point：
  • 10月13日 – 威胁情报报告
  • Microsoft在2025年第三季度主导网络钓鱼仿冒
• CISA：ED 26-01：缓解F5设备中的漏洞
• Vanja Svajcer and Michael Kelley at Cisco’s Talos：BeaverTail和OtterCookie演进出新Javascript模块
• CloudSEK：IRGC关联的APT35行动内幕：第三集 – 恶意软件库与工具
• Cofense：
  • 武器化的信任：Microsoft标识成为技术支持诈骗的入口
  • “隐私”与“奖品”：来自恶意浏览器扩展的“奖励”
• Ash Leslie, Doug Brown, and Mitch Datka at CrowdStrike：Falcon防御Git漏洞CVE-2025-48384
• Curated Intelligence：策划情报日记：为CTI研究ASN
• Cyfirma：每周情报报告 – 2025年10月10日
• Dark Atlas：威胁行为者可疑的ScreenConnect滥用
• Detect FYI：
  • 重写剧本 – 一种检测驱动的事件响应方法
  • 使用KQL查询识别通过RDP会话进行的文件外泄（亡灵节特别篇）
  • 狩猎WMI事件订阅持久化
  • 用于检测工程的关键资产分析
• Disconinja：每周威胁基础设施调查（第41周）
• DomainTools Investigations：安全零食：仓库钓鱼 – NPM网络钓鱼
• Dreadnode：LOLMIL：利用现成模型和推理库
• Magdalena Karwat at EclecticIQ：扩展STIX：自定义对象如何赋能您的智能工作
• Paul Asadoorian at Eclypsium：BombShell：隐藏在Framework设备中的已签名后门
• Sai Molige at Forescout：一年后，Interlock勒索软件持续升级
• Pei Han Liao at Fortinet：追踪恶意软件和攻击扩张：一个黑客组织在亚洲的旅程
• Google Cloud Threat Intelligence：
  • 朝鲜采用EtherHiding：隐藏于区块链的民族国家恶意软件
  • 新组织登场：UNC5142利用EtherHiding分发恶意软件
• GreyNoise：GreyNoise近期关于F5的观察
• Group-IB：
  • 对抗支付欺诈的新武器：反欺诈团队的独特威胁情报
  • 东西方张力：NDR厂商是否监控了错误的流量？
• Hunt IO：Odyssey窃密程序和AMOS活动通过虚假工具瞄准macOS开发者
• Harlan Carvey and Lindsey O’Donnell-Welch at Huntress：破除勒索软件部署神话
• Jeffrey Bellny at CatchingPhish：
  • 通过ChatGPT Agent模式进行数据外泄
  • 混淆医院的故事
• Kasada：2025年第三季度威胁情报报告
• Adam Goss at Kraven Security：所以你想成为CTI分析师？终极职业指南
• Cris Tomboc at LevelBlue：SocGholish：将应用程序更新变为棘手的感染
• Amy Hogan-Burney at Microsoft Security：敲诈勒索和勒索软件驱动了过半的网络攻击
• Oleg Skulkin at ‘Know Your Adversary’：
  • 286. Astaroth就是这样滥用GitHub
  • 287. 对手滥用Dpaste存储恶意文件
  • 288. ClickFix，FileFix… 那又怎样？
  • 289. 狩猎伪装行为
  • 290. 对手就是这样使用PowerShell进行互斥体检测
  • 291. 对手持续滥用Microsoft控制台调试器
  • 292. 狩猎PhantomVAI加载器的行为
• OSINT Team：映射网络对手：MITRE ATT&CK如何帮助您在攻击发生前发现它们
• Marcelo Ruano at Outpost24：卡片犯罪生态系统：传统金融网络犯罪的衰落
• Palo Alto Networks：
  • PhantomVAI加载器投递多种信息窃取程序
  • 攻击剖析：全球设备制造商的“BlackSuit闪电战”
  • 威胁简报：民族国家攻击者窃取F5源代码和未公开漏洞
• Picus Security：
  • 散乱的LAPSUS$猎人：2025年最危险的网络犯罪超级组织
  • Lazarus组织 (APT38) 解析：时间线、TTP和主要攻击
• Proofpoint：当怪物噬咬时：追踪TA585及其武器库
• Qi’anxin X Lab：StealthServer：来自南亚APT组织的双平台后门
• Recorded Future：如何缓解供应链攻击
• Jesse Griggs at Red Canary：引人注目的命令：对手如何滥用AI CLI工具
• Resecurity：Qilin勒索软件与幽灵防弹主机集团
• Rexor：Vc0CTI 黑暗斗篷
• SANS Internet Storm Center：
  • 注意：扫描ESAFENET CDG V5，(10月13日，周一)
  • Python信息窃取程序中的剪贴板图片外泄，(10月15日，周三)
  • TikTok视频推广恶意软件安装，(10月17日，周五)
  • 新的DShield支持Slack，(10月16日，周四)
• Securelist：
  • 神秘大象：日益增长的威胁
  • Maverick：滥用WhatsApp进行大规模分发的新型银行木马
  • 现在也通过npm投递的后期利用框架
• Seqrite：
  • 司法通知钓鱼针对哥伦比亚用户 – .SVG附件部署信息窃取恶意软件
  • Operation Silk Lure：计划任务被武器化用于DLL侧加载（投放ValleyRAT）
  • Operation MotorBeacon：威胁组织使用.NET植入程序瞄准俄罗斯汽车行业
• Shantaciak：
  • 蓝队停止反应、开始设计之处
  • 激发好奇心：检测工程生命周期
• Kirill Boychenko at Socket：131个针对WhatsApp的垃圾邮件扩展程序涌入Chrome网上应用店
• Sophos：威胁情报执行报告 – 2025年，第5卷
• Soumyadeep Basu at Soumyadeep Basu：检测AWS X-Ray C2滥用
• Michael Haag at Splunk：丢失的载荷：MSIX复活
• Squiblydoo：DeceptionPro：领先网络犯罪一步
• Sublime Security：
  • 假冒Google Careers的凭证网络钓鱼诈骗，变化无穷
  • 假冒知名公司的招聘骗局进行Facebook凭证网络钓鱼
• Gabriel Barbosa at Sucuri：联系表单垃圾邮件攻击：一个无辜的功能导致了大问题
• SuspectFile：
  • 未曾存在的联盟：对ReliaQuest 2025年第三季度勒索软件报告的批判性分析
  • Allardyce Bower Consulting数据泄露：网络保险未激活，原因仍不明
  • 为什么Allardyce Bower Consulting的勒索软件保险没有按预期生效
• Symantec Enterprise：Jewelbug：中国APT组织扩大对俄罗斯的触及范围
• Synacktiv：LinkPro：eBPF rootkit分析
• System Weakness：
  • LetsDefend – SOC模拟器 – EventID: 44/ 英文版
  • CyberTalents数字取证：“Just Smile” 解题报告
  • CyberTalents数字取证：“Hack a nice day” 解题报告
  • CyberTalents数字取证：“XMEN-Files” 解题报告
• THOR Collective Dispatch：
  • Sliver BOFs实战：将Sliver Armory BOFs引入紫队演练
  • 协调风险管理与基于威胁的防御实践（第一部分）
• Maulik Maheta at Trellix：Active Directory中的沉默威胁：AS-REP烘烤如何无声窃取密码及Trellix NDR的快速检测
• Junestherry Dela Cruz at Trend Micro：地下世界的转变：Water Kurita (Lumma Stealer) 数据泄露的影响
• Stephen Kowski at Varonis：收件箱渗透：您忽视的文件类型
• Vasilis Orlof at Cyber Intelligence Insights：
  • 映射最新的Lumma基础设施
  • 情报投放 #3
• Vectra AI：
  • Qilin的2025年剧本，及其暴露的安全鸿沟（作者：Lucie Cardiet）
  • 从Conti到Black Basta再到DevMan：无尽的勒索软件品牌重塑（作者：Lucie Cardiet）
• Rami McCarthy at Wiz：瓦解VSCode扩展市场中的关键供应链风险
• Darshit Ashara, Pratik Kadam, and Michael Wylie at ZScaler：搜索、点击、窃取：假冒Ivanti VPN客户端站点的隐藏威胁

即将到来的活动

• Black Hills Information Security：谈论[信息安全]新闻 2025-10-20 #直播 #信息安全 #新闻
• Dragos：夺旗赛 2025
• Magnet Forensics：克服工作场所调查中的移动设备取证挑战
• Simply Cyber：从服务台到SOC：KevTech如何在无证书情况下进入网络安全领域 | Simply Defensive 第5季第3集
• Spur：从平壤到您的SaaS：在Zoom和Slack中发现朝鲜战术

演讲/播客

• Adversary Universe Podcast：勒索软件简史
• Black Hills Information Security：谈论[信息安全]新闻 2025-10-13 #直播 #信息安全 #信息安全新闻
• Brett Shavers：除法官外的每个席位
• Cellebrite：
  • 周二贴士：Cellebrite 2025年秋季发布
  • 特别周二贴士：注册Cellebrite CTF
  • Cellebrite CTF 2025 注册现已开放
• Amy Ciminnisi at Cisco’s Talos：Laura Faria：前线的共情力
• Cloud Security Podcast by Google：EP247 不断演进的CISO：从安全警察到云与AI冠军
• Cyber from the Frontlines：E18 AI威胁等式：从模型到恶意软件
• InfoSec_Bret：SA – SOC235 EventID: 197 (Atlassian Confluence 访问控制破坏0-Day CVE-2023-22515)
• John Hammond：
  • 基于脚本的恶意软件分析！
  • 窃取密码
• Magnet Forensics：
  • 云端还是本地？为何不兼得 – 探索全新的Nexus混合代理
  • 使用Magnet Graykey Fastrak和Magnet Automate消除您的移动设备积压和瓶颈
• Monolith Forensics：Monolith中的证据详情
• MSAB：
  • #MSABMonday – XRY 11.2.0 中的哈希树构建器更新（选择）
  • 取证修复 第23集
• MyDFIR：将您的实验室转化为真实的SOC经验（让您脱颖而出）
• Parsing the Truth: One Byte at a Time：关于Pam Hupp和Russ Faria重审之事（第二部分）
• Three Buddy Problem：JAGS LABScon 2025主题演讲：迈向网络安全生态的步骤

恶意软件

• Any.Run：新的恶意软件策略：面向SOC和MSSP的案例与检测技巧
• Erik Pistelli at Cerbero：MSI格式包
• Cyble：GhostBat RAT：洞察RTO主题Android恶意软件的复苏
• Jeroen Beckers at NVISO Labs：修补Android ARM64库初始化器以便于Frida检测和调试
• Sekoia：解冻PolarEdge的后门
• Shubho57：恶意APK文件分析
• Alan Sguigna at White Knight Labs：Microsoft WinDbg时间旅行调试 vs Intel处理器追踪
• Zhassulan Zhussupov：macOS入侵 第12部分：ARM（M1）的反向Shell。简单汇编（M1）示例
• بانک اطلاعات تهدیدات بدافزاری پادویش：ShrinkLocker

杂项

• Anton Chuvakin：SIEM、初创公司与IT惰性神话（现实？）：一位改过自新的分析师对SIEM MQ 2025的反思
• Brett Shavers：当调查迷失在机器中时
• Brett Shavers at DFIR.Training：如果您的案件败诉，可能不是工具的错
• Josibel Mendoza at DFIR Dominican：DFIR职位更新 – 2025年10月13日
• Michael Karsyan at Event Log Explorer blog：Windows事件日志API漏洞毁掉了大多数事件日志软件
• F-Response：了解您的F-Response版本…
• Forensic Focus：
  • Oxygen Forensics发布Oxygen Remote Explorer v1.9.1
  • FMLA诉讼中被拒绝第三方手机的取证镜像
  • 2025年10月13日数字取证职位汇总
  • Matthew Plascencia，数字取证调查员，Exhibit A Cyber
  • Passware Kit 2025v4发布：解锁Transcend便携式SSD
  • 2025年10月15日数字取证汇总
  • Amped Software推出新的三部分博客系列：基于真实案例的Amped FIVE法证视频工作流程
  • Oxygen Forensics培训 – Extraction in a Box (XiB)
  • Detego Global与Raven建立战略合作伙伴关系，通过技术打击儿童剥削
• Hornet Security：英国勒索软件支付禁令对您的企业意味着什么
• Howard Oakley at ‘The Eclectic Light Company’：
  • 深入统一日志 5：导航
  • 深入统一日志 6：困难时期
• Mahmoud Soheem：
  • 开始使用DFiR Galaxy工作站
  • DFiR Galaxy工作站：DFIR调查的瑞士军刀
  • DFiR Galaxy工作站中的可用工具
• MISP：MISP性能调优
• Oxygen Forensics：
  • 为您的数字调查添加最佳的翻译
  • 如何从ChatGPT提取和解析数据
• Ryan G. Cox at The Cybersec Café：安全事件后如何改善您的安全态势

软件更新

• Amped：Amped FIVE 更新 38827：新的过滤器预设、项目快照，以及对Convert DVR、Annotate、Compression Analysis、Advanced File Info等的改进
• Belkasoft：Belkasoft X v.2.9 的新增功能
• Cellebrite：2025年秋季发布：进入数字调查和移动网络安全的新前沿
• Doug Metz at Baker Street Forensics：使用CyberPipe 5.2简化数字证据收集
• Elcomsoft：iOS Forensic Toolkit 8.80增强逻辑获取，增加对苹果统一日志的支持
• F-Response：F-Response 8.7.1.36 现已可用
• Logisek：ThreatHunting – Windows事件日志威胁狩猎工具包
• Manabu Niseki：Mihari v8.2.1
• MISP：MISP 2.5.23 发布，包含增强的基准测试、多个错误修复和文档更新
• North Loop Consulting：KeyProgrammerParser v4.1
• OpenCTI：6.8.6
• Passware：Passware Kit 2025 v4 现已可用
• Xways：
  • X-Ways用户论坛：X-Ways Forensics 21.2 SR-13
  • X-Ways用户论坛：X-Ways Forensics 21.3 SR-12
  • X-Ways用户论坛：X-Ways Forensics 21.4 SR-8
  • X-Ways用户论坛：X-Ways Forensics 21.5 SR-9
  • X-Ways用户论坛：X-Ways Forensics 21.6 Beta 7

本周内容到此结束！ 如果您认为我遗漏了什么，或希望我专门报道某些内容，请通过联系页面或在社交媒体上联系我！ 与我一起上课！

• 使用折扣码 thisweekin4n6 在 Cyber5w 的任何课程中享受 15% 折扣。
• 使用代码 PM15 或点击此链接在 Hexordia 的下一次课程中享受 15% 折扣。