数字取证与事件响应周报：第46周技术动态

销售Loft-Drift泄露事件剖析：对SaaS与身份安全的影响

在本期会议中，Permiso的首席技术官将深入探讨：

攻击者如何利用窃取的OAuth令牌从GitHub转移到AWS，再进入Salesforce。
为何这次“全自动”攻击为SaaS供应链和非人类身份（NHI）敲响了警钟。
在您所在环境中检测和遏制类似威胁的实用步骤。

取证分析

Atola Technology

映像捕获前操作：驱动器诊断的强大功能 – Akash Patel 其他技术文章
NTFS文件系统与NTFS日志记录（包含$I30、$MFT、$LogFile、$UsnJrnl等不同构件）
macOS取证：结构、持久性与调查 Belkasoft
iOS Telegram取证。第二部分：构件、秘密聊天、缓存、已删除消息 – Christopher Eng 移动热点检查
检查移动热点 – Orbic Speed RC400L – 第2部分
检查移动热点 – Orbic Speed RC400L – 第3部分 – Damien Attoe 其他
深入Proton的保险库：揭示Android Proton Drive构件
Realm文件 – 第2卷 – 物理结构概述 – Elcomsoft
勿做卢浮宫：弱密码和未修补软件如何助长数据泄露
哪些iOS版本受支持，以及为何“视情况而定”是最佳答案
Android应用程序图标 – Forensafe
调查Chrome历史快照 – Foxton Forensics
数字取证 — Windows USB构件 [内部威胁案例] – InfoSec Write-ups
证据库 – 一个DFIR映像汇编 – Kevin Pagano
Torrential Downpour和BitTorrent证据 – P2P调查的取证视角 – Kenneth G Hartman 系统弱点相关文章
调查Windows - TryHackMe - 房间
NCL物联网日志分析 — CTF挑战 — Write-up
权限提升与移动 TryHackMe演练 | 权限提升与RDP分析
This Bytes — NCL取证CTF挑战 — Write-up

威胁情报/狩猎

Faan Rossouw

狩猎痛点：痛苦金字塔 Alex Necula
从ClickFix虚假更新到Vidar窃取器 Anthropic
干扰首次报告的AI策划网络间谍活动 AttackIQ
勒索故事：第五卷 — 怀旧版！模拟REvil、DarkSide和BlackMatter勒索软件
模拟以间谍活动为导向的SideWinder组织 CJ Moses (AWS Security)
亚马逊发现APT组织利用Cisco和Citrix零日漏洞 Jade Brown (Bitdefender)
Bitdefender威胁简报 | 2025年11月 Brian Krebs (Krebs on Security)
深入探讨美国政府拟议的TP-Link禁令
谷歌提起诉讼以瓦解中国短信钓鱼团伙 CERT-AGID
以Facebook为主题的钓鱼活动：虚假的版权违规举报
2025年11月8日至14日恶意活动周总结 Check Point
11月10日 – 威胁情报报告
新钓鱼活动利用Meta Business Suite针对美国及全球中小型企业
2025年10月全球网络攻击激增，勒索软件爆炸式增长和生成式AI威胁加剧
薪资海盗：一个网络，数百个目标
勒索软件状态 – 2025年第三季度 CISA
CISA及其合作伙伴发布关于Akira勒索软件的咨询更新
更新：关于Cisco ASA和Firepower设备漏洞的紧急指令实施指南 Cisco Talos
释放Kraken勒索软件组织 – Chetan Raghuprasad和Michael Szeliga Cyberdom
Entra ID日志分析器：将原始日志转化为故事
Entra ID中ChatGPT的隐藏风险 Cyble
多品牌主题钓鱼活动通过Telegram Bot API窃取凭据
2025年10月攻击激增30%，新组织重新定义网络战场 Cyfirma
每周情报报告 – 2025年11月14日 D3Lab
GPT Trade：假冒Google Play商店向Android设备投放BTMob间谍软件和UASecurity挖矿程序 – Andrea Draghetti 其他
Vibe狩猎：以结果为导向的威胁狩猎 – Damien Lewke
重新思考SIEM第二部分 – Danny Zendejas Darktrace
Vo1d僵尸网络曝光：Darktrace如何检测全球Android威胁 DebugPrivilege
我如何通过Citrix FAS利用ESC3获得域管理员权限
从供应商到ESC3/ESC4 Detect FYI
代理检测创建 — 现在与Atomic Red Team和Splunk MCP集成 – Burak Karaduman 其他
每周威胁基础设施调查（第45周） – Disconinja
深入探讨防火墙内部第三部分：地缘政治与社会影响 – DomainTools
Elliptic的类型学报告：破坏受制裁行为者对稳定币的使用 FalconFeeds
恶意域名的生命周期：从注册到清除
当泄露导致杠杆作用：威胁行为者如何利用泄露数据进行长期目标定位
专家威胁档案：Cyber Toufan—疏忽利用与破坏能力的融合
间谍活动与金融的联结：通过西奈山事件分析中国跨国网络犯罪生态系统 Gen
SMS威胁：小文本的多副面孔 – Luis Corrons Genians
针对Android设备的国家级远程擦除策略 Google Cloud威胁情报
没有地方比localhost更安全：通过Triofox漏洞CVE-2025-12480实现未经身份验证的远程访问
时间旅行分析：使用.NET进程空洞案例研究介绍时间旅行调试 Google威胁分析组
TAG公告：2025年第三季度 – Billy Leonard Group-IB
揭露针对意大利基础设施的多阶段钓鱼工具包其他
做KVM，搞欺诈 – Grumpy Goose Labs Hornet Security
勒索软件攻击统计数据
2025年10月月度威胁报告 Hunt IO
狩猎Cobalt Strike完全指南 – 第1部分：在开放目录中检测Cobalt Strike Huntress
威胁困扰教育机构 – Lindsey O’Donnell-Welch Intellibron
威胁狩猎目录：让Sigma检测规则焕发生命 – Meyta Zenis Taliti 其他
Anthropic关于AI间谍活动的报告对安全领导者意味着什么 – Roy Halevi
分析Silk Typhoon：策略、历史与防御措施 – Invictus Incident Response Kraven Security
战术性CTI与运营性CTI深度探讨 – Adam Goss
CTI分析师路线图：从零到英雄的指南与CTI学习资源 LevelBlue
LevelBlue未来报告：零售业领袖揭示安全担忧 – Doug Olenick Rapid7
使用Velociraptor进行内存分析 – 第1部分 – Mike Cohen 其他
Now You See Me：Workday日志 – Ucha Gobejishvili
SigmaHQ质量保证管道 – Nasreddine Bencherchali
谁将沦为石头？ – Netscout NVISO Labs
Contagious Interview攻击者现利用JSON存储服务进行恶意软件投放 – Bart Parys Know Your Adversary
1. 攻击者滥用PowerShell创建快捷方式以实现持久性
1. 攻击者滥用CURL收集认证材料
1. 攻击者持续使用Plink和Putty建立反向SSH隧道
1. 攻击者越来越多地使用AppleScript文件
1. 攻击者使用PowerShell搜寻密码存储
1. 攻击者滥用JSON存储服务进行恶意软件投放
1. 攻击者在ClickFix攻击中滥用Finger Pepe Berba
macOS感染媒介：使用AppleScript绕过Gatekeeper
脚本混淆：玩弄隐藏在命名分叉中的AppleScript Picus Security
xHunt APT：针对科威特和Exchange服务器的网络间谍活动
Ferocious Kitten APT曝光：深入以伊朗为重点的间谍活动
MalKamak APT的ShellClient RAT：深入Operation GhostShell
GreenCharlie APT：伊朗基于PowerShell的网络间谍活动
DEV-1084和MERCURY：深入伊朗的DarkBit勒索软件活动 Proofpoint
安全简报：VenomRAT被制服
Operation Endgame震撼Rhadamanthys Push Security
分析自2021年以来的“Scattered Lapsus$ Hunters”泄露事件 – Dan Green PwnDefend
疑似零日漏洞 – 如果您可能拥有受影响的设备，应如何处理？
疑似Fortinet零日漏洞在野被利用
使用Defused Cyber Deception分析100万蜜罐事件
Rhadamanthys – 超过4400万凭据被盗
2025年Fortiweb漏洞
用于防御性网络安全的AI简史 – Daniel Card Recorded Future
威胁狩猎 vs. 威胁情报
发布《2025年威胁情报状态报告》：威胁情报从防御转向战略
威胁情报与高管层 Red Canary
在AWS中嗅探出TruffleHog – Laura Brosnan SANS互联网风暴中心
并非总是默认设置：扫描3CX用户名，(周一，11月10日)
Formbook通过多个脚本传递，(周四，11月13日)
SmartApeSG活动使用ClickFix页面推送NetSupport RAT，(周三，11月12日)
Microsoft Office俄罗斯套娃，(周五，11月14日)
蜜罐：FortiWeb CVE-2025-64446漏洞利用，(周六，11月15日)
Finger.exe与ClickFix，(周日，11月16日)
SANS假日黑客挑战2025，(周日，11月16日) 其他
Rhadamanthys历史僵尸感染特别报告 – Shadowserver
高级威胁狩猎：四种在钓鱼基础设施发动攻击前检测其的技术 – Silent Push
从勒索软件到国家级攻击 - MITRE ATT&CK v18和检测策略如何转变Active Directory… – Simone Kraus Socket
恶意Chrome扩展窃取种子短语，导致钱包被接管
新一轮TEA协议垃圾邮件泛滥npm，但这并非蠕虫 Sophos
信息窃取器：身份攻击的无声入口 — 以及为何主动防御至关重要 – Jon Munshaw Splunk
NotDoor洞察：深入了解Outlook宏及其他
Hide Me Again：更新的多负载.NET隐写术加载器，包含Lokibot Team Cymru
Team Cymru支持欧洲刑警组织作为Operation Endgame的一部分，取缔三个关键网络犯罪工具 – Jeremy Bender THOR Collective Dispatch
自主SOC（泰勒版）
您希望早日拥有的PEAK威胁狩猎模板 Trellix
Trellix Helix如何检测Active Directory中的AS-REP烘焙攻击 – Adithya Chandra和Maulik Maheta Trend Micro
魔鬼点评Xanthorox：对最新恶意LLM产品的犯罪导向分析 – David Sancho, Vincenzo Ciancaglini, 和 Salvatore Gariuolo 其他
Operation ENDGAME与初始访问的争夺 – Lucie Cardiet
VTPRACTITIONERS{ACRONIS}: 追踪FileFix, Shadow Vector, 和 SideWinder – Joseliyo Sánchez
假冒Lockbit 5.0的愚蠢行为与三层勒索软件千层面 – VX API
当模拟功能被用于模拟用户时 (Fortinet FortiWeb (??) 认证绕过) – Sina Kheirkhah和Jake Knott White Knight Labs
理解云持久性：攻击者如何利用Google Cloud Functions维持访问 – Jay Pandya 其他
汉堡大盗 – Francesco Sercia
武器库中的Shedding Zmiy：利用流行CMS系统配置缺陷的攻击工具 – Блог Solar 4RAYS
通过Entra访客邀请进行的TOAD攻击 – Taggart Tech Black Hills Information Security
利用Impacket滥用委派（第2部分）：受约束的委派 – Hunter Wade Palo Alto Networks
您以为结束了？认证胁迫攻击持续演进
数字分身：剖析传播Gh0st RAT的演进中的模拟活动

即将举行的活动

Black Hills Information Security: Talkin’ Bout [infosec] News 2025-11-17 #infosec #news
Cyber Triage: When (and When Not) to Use EDR in Investigations
DFRWS: Call for Papers Is Open for DFRWS-USA 2026!
Cybersecurity Mentors Podcast: Think Like a Spy, Hunt Like a Hacker: Former FBI Agent Eric O’Neill on Outsmarting Cybercriminals Magnet Forensics
使用Magnet Verify保护您的组织免受篡改媒体的侵害
数字取证和自动化如何转变联邦调查
从警报到答案：现代事件响应中的数字取证

演示/播客

Black Hills Information Security: X-Typhon – Not your Father’s China with John Strand
Cerbero: Memory Challenge 7: DeepDive – Erik Pistelli
Chainalysis: Crypto National Security and Pig Butchering: Podcast Ep. 174
Cloud Security Podcast by Google: EP251 Beyond Fancy Scripts: Can AI Red Teaming Find Truly Novel Attacks? InfoSec_Bret
SA – SOC275 EventID: 250 – 检测到应用程序令牌窃取尝试
Challenge – Learn Sigma John Hammond
Lua信息窃取器分析（“我的夏威夷假期”CTF）
2025年网络犯罪状态（与Nick Ascoli合作！） Magnet Forensics
Mobile Minute 第14集：Magnet One中的移动案例流
AI Unpacked #6: 您想知道的一切—以及您不害怕提问的问题 Monolith Forensics
Monolith中的案例报告
在Monolith中合并查询 MSAB
#MSABMonday – XRY日志文件导出
Forensic Fix 第24集 MyDFIR
网络安全SOC分析实验室 – 恢复已删除文件（BTLO）
从不知所措到充满信心：Paul如何学会像SOC分析师一样调查
MyDFIR SOC社区如何帮助我做好工作准备 Parsing the Truth: One Byte at a Time
数字取证的25年动荡
25集 – 回顾！ Sandfly Security
在DigitalOcean Marketplace一键应用中安装Sandfly Security The Cyber Mentor
直播：PSAP发布 | TCM Security | 蓝队 | 问我任何问题 Three Buddy Problem
在Countermeasures直播：Google v FFmpeg, 勒索软件叛徒, Samsung 0days
Anthropic Claude Code自动化APT攻击，KnownSec泄露，具有远程访问权限的中国公交车

恶意软件

0xMatheuZ

Ioctl Secrets Writeup Any.Run
ClickFix爆炸式增长：跨平台社交工程将用户变成恶意软件安装者 ASEC
利用LogMeIn和PDQ Connect传播恶意软件的案例
分发带有合法签名的后门恶意软件，伪装成Steam清理工具
分析Yurei勒索软件Go语言构建器的加密结构 Debugactiveprocess
巴西持久性Android NFC恶意软件的剖析：恶意服务如何实现24/7… – Ialle Teixeira Denwp Research
分析似乎是GNNCRY的macOS测试版本 – Tonmoy Jitu Dr Josh Stroschein
汇编短片 – 使用PEB和InInitialiationOrderModule在内存中查找Kernerl32
在栈转移后执行自定义Shellcode Elastic Security Labs
RONINGLOADER: DragonBreath滥用PPL的新途径其他
终端勒索软件 – errbody
EVALUSION活动分发Amatera窃取器和NetSupport RAT – Esentire Jamf
Digit窃取器：一种基于JXA的信息窃取器，足迹很小 – Thijs Xhaflaire Malwarebytes
我们打开了一封虚假发票，掉进了复古XWorm形状的蠕虫洞 – Pieter Arntz 其他
分析BlankGrabber变体（bat文件） – Shubho57
追踪追踪者：从APT43/Kimsuky取缔中吸取的教训 – Siddhant Mishra Snyk
自动化包发布事件：NPM生态系统中的IndonesianFoods与加密奖励耕种诈骗相关 – Stephen Thoemmes Sysdig
狩猎反向Shell：Sysdig威胁研究团队如何构建更智能的检测规则 – Alberto Pellitteri和Lorenzo Susini Trend Micro
Lumma窃取器活动增加与自适应浏览器指纹识别技术的使用同时发生 – Junestherry Dela Cruz和Sarah Pearl Camiling YUCA
恶意操作挑战8：逆向分析APT 37的RokRaT加载器
分析恶意软件中混淆API解析的API哈希和导入查找技术其他
Linux黑客第八部分：Linux密码保护的绑定Shell。简单的NASM示例 – Zhassulan Zhussupov
BlackShrantac – 加密勒索软件文摘

其他

Hexacorn

disksnapshot.exe的一个或多个小秘密 – Adam 其他
对抗市政厅：如果您错过了网络研讨会，您正在犯您不知道的错误 – Brett Shavers Cellebrite
数字证人是昆士兰州母亲六年寻求正义之旅的关键 CyberBoo
Microsoft Defender for Endpoint 第五部分：实时响应与自动化调查 DFIR Dominican
DFIR职位更新 – 2025年11月10日 – Fabian Mendoza The Hacker Factor Blog
严密的SEAL – Dr. Neal Krawetz Forensic Focus
数字取证职位汇总，2025年11月10日
Cellebrite如何释放AI力量用于数字调查
图像为证：使用Exterro Imager Pro为调查提供动力
管理警方调查中的生成式AI风险
数字取证汇总，2025年11月12日
Amped Software开放Amped Connect U.S. 2026预注册：在南卡罗来纳州默特尔海滩举行的免费全天数字取证活动
征集论文：FOSDEM 2026的开源（数字）取证开发室
Semantics 21推出AI Describe – 世界上首个用于CSAM和淫秽内容的安全离线AI描述器 Forescout
勒索软件趋势：是否应该禁止支付赎金？ – Don Sears The Eclectic Light Company
解释器：.DS_Store文件 – Howard Oakley Magnet Forensics
为何数字取证成为联邦机构的关键任务其他
不要将您工作中的人性灵魂出卖给机器 – Matthew Plascencia OpenText
OpenText网络安全2025年全球勒索软件调查：信心上升，恢复下降 – Grayson Milbourne OSINT Team
每位网络安全专业人士都应了解的18种数字取证工具（2025指南） – Nazrul Islam Rana Paraben Corporation
通过数字取证保存过去 – Amber Schroader Pen Test Partners
寻找进入DFIR的路径 – Joseph Williams

软件更新

Airbus Cybersecurity: IRIS-Web v2.4.25
Amped: Authenticate 更新 39075：Deepfake Detection换上新装，现已在智能报告中提供，改进了GUI和报告等！
BerlaiVe: Software v4.13 发布
C.Peter: UFADE 1.0.2
Didier Stevens: 更新：numbers-to-hex.py 版本 0.0.4
Digital Sleuth: winfor-salt v2025.14.3 Elcomsoft
Elcomsoft System Recovery 8.36增加了对Windows Server 2025的支持、BitLocker密钥导出和增强的SRUM分析 Foxton Forensics
Browser History Examiner — 版本历史 – 版本 1.23.0 其他
Google: Timesketch 20251114
IsoBuster: IsoBuster 5.7 beta 发布
Lethal-Forensics: MacOS-Analyzer-Suite v1.0.0
Mandiant: Capa v9.3.0
OpenCTI: 6.8.11
Rapid7: Velociraptor v0.75.5
Three Planet Software: Apple Cloud Notes Parser v0.23 Yamato Security
WELA v2.0.0 – CODE BLUE 发布
Hayabusa v3.7.0 – CODE BLUE 发布

以上就是本周的全部内容！如果您认为我遗漏了什么，或者希望我专门报道某些内容，请通过联系页面或社交媒体渠道与我联系！