数字取证与事件响应周报：网络安全威胁与技术分析

数字取证分析

Brian Maloney：OneDrive 离线分析
Chainalysis：朝鲜IT工作者在加密货币洗钱网络中的活动分析
Christopher Eng at Ogmini：Android Pixel 7 数字照片生命周期分析 - 第2部分
Android 取证：文件系统时间戳 ADB 脚本
Elcomsoft：iPhone 17 PWM 闪烁问题终结？密码管理器破解分析：从 Bitwarden 到 Zoho Vault
AI 在数字取证中的应用：工具而非预言家
Forensafe：iOS AllTrails 应用分析
Iram Jack：内存分析入门与内存获取
Magnet Forensics：通过自动分析简化媒体认证理解、对 iOS 26 的支持、关键证据：搜索历史记录分析
Maltego：使用 Maltego 揭露杀猪盘操作
Matthew Plascencia：iOS 26 位置功能与 AI 增强、新证据分析 II
Mattia Epifani at Zena Forensics：探索 iOS 设备数据提取：可访问的数据类型及方法
OSINT Team：Volatility3：从内存镜像中导航 SAM 注册表配置单元
The DFIR Report：从单次点击开始：Lunar Spider 如何实现近两个月的入侵

威胁情报与狩猎

Faan Rossouw at Active Countermeasures：每日恶意软件 - 通过 SMB 进行的 Agent-to-Agent 通信 (AdaptixC2)
Adam at Hexacorn：使用 .LNK 文件作为 lolbins
ASEC：在 MS-SQL Server 攻击案例中发现的 XiebroC2
Ayelen Torello at AttackIQ：勒索故事第四卷 - 模拟 Rhysida、Charon 和 Dire Wolf 勒索软件
Chi Tran, Charlie Bacon, and Nirali Desai at AWS Security：防御类似 Chalk/Debug 和 Shai-Hulud 蠕虫的供应链攻击
BI.Zone：Cavalry Werewolf 通过信任关系攻击袭击俄罗斯公共部门
c-APT-ure：使用 NetBIOS 名称进行 pivoting 和威胁聚类
CERT Ukraine：UAC-0245 使用 CABINETRAT 后门针对乌克兰教育机构进行定向网络攻击
CERT-AGID：9月27日-10月3日恶意活动总结报告
Check Point：9月29日威胁情报报告
Joey Chen at Cisco’s Talos：UAT-8099：中文网络犯罪组织针对高价值 IIS 进行 SEO 欺诈
codetodeploy：VMware CVE 集群内部：枚举、提升和暴露
Ben Reardon at Corelight：在黑帽 USA 2025 上狩猎 GTPDOOR | Corelight
CyberBoo：Microsoft Defender for Identity 深度剖析：第一部分
Cyberdom：解锁 Microsoft Sentinel MCP
Cyfirma：10月3日每周情报报告
Dark Atlas：威胁档案：Conti 勒索软件组织
Darktrace：使用 Darktrace 检测供应商泄露和信任关系滥用
Detect FYI：MDR 中缺失的一环。从检测工程框架开始，通过 AuthenticationProcessingDetails 进行威胁狩猎，使用 KQL 发现非推荐 TLS 参数
Disconinja：第39周威胁基础设施调查
DomainTools Investigations：SecuritySnack: 18+电子犯罪
Paul Asadoorian at Eclypsium：追寻 RedNovember：对网络边缘设备的深度打击
Elastic Security Labs：FlipSwitch：新颖的系统调用挂钩技术，WARMCOOKIE 一年后：新功能和最新洞察
FalconFeeds：数字断层线：地区网络冲突中民族和宗教紧张关系的武器化，网络空间中的代理战争：通过威胁行为者联盟追踪国家影响力
Guillaume Valadon and Carole Winqwist at GitGuardian：Red Hat GitLab 泄露：Crimson Collective 的攻击分析
Omar ElAhdan, Matthew McWhirt, Michael Rudden, Aswad Robinson, Bhavesh Dhake, and Laith Al at Google Cloud Threat Intelligence：前线网络犯罪观察：UNC6040 主动加固建议
GreyNoise：9月28日协调的 Grafana 利用尝试，Palo Alto 扫描在48小时内激增约500%，达到90天高点
HackTheBox：Sandworm 释放：APT44 受《沙丘》启发的网络破坏内幕
Hunt IO：Operation SouthNet：SideWinder 在南亚扩展网络钓鱼和恶意软件操作
Huntress：不要担心 ClickFix 技术：变种与检测演进，2025年从深度伪造、ClickFix 和 ViewState 漏洞利用看顶级网络威胁趋势
Infoblox：Detour Dog：DNS 恶意软件驱动 Strela Stealer 活动
Kijo Ninja at Kijo Ninja：Rclone C2 数据渗漏技术
Adam Goss at Kraven Security：停止在数据中溺水：免费构建自己的 CTI 聚合器
Doug Olenick at LevelBlue：SpiderLabs 勒索软件追踪器 2025年9月更新：Qilin、Akira 位居勒索软件攻击者前列
Idan Cohen at Mitiga：ShinyHunters 和 UNC6395：Salesforce 和 Salesloft 泄露内幕
Netscout：Keymous+ 威胁行为者档案
NVISO Labs：VMware 权限提升漏洞 (CVE-2025-41244)，Lunar Spider 通过 FakeCaptcha 扩展网络，攻击者读取了什么？MailItemAccessed 告诉你
Oleg Skulkin at ‘Know Your Adversary’：271. 对手是否需要安装 RMM？272. 另一个可用于狩猎的有趣暂存文件夹，273. PDB 路径如何帮助发现恶意文件，274. Phantom Taurus 如何滥用 Exchange 管理 Shell，275. 狩猎可疑 URL，276. 狩猎可疑 IIS 模块，277. 对手滥用免费请求记录服务作为 C2，278. 狩猎可疑 XLL 文件
Palo Alto Networks：Phantom Taurus：新的中国关联 APT 和 NET-STAR 恶意软件套件的发现，多域可见性的案例
Art Ukshini at Permiso：P0LR Espresso - 云实时响应和高级分析
Picus Security：Crypto24 勒索软件揭秘：隐蔽性、持久性和企业级影响，2025年蓝色报告：如何根据1600万次攻击模拟结果采取行动，RomCom 威胁行为者演变 (2023-2025)
Resecurity：ShinyHunters 启动数据泄露网站：Trinity of Chaos 宣布新的勒索软件受害者
Ashlee Benge at ReversingLabs：使用 Spectra Analyze 狩猎 SharpHounds
Sandfly Security：Sandfly 5.5.4 - 中国 rootkit 去隐蔽化
SANS：狩猎 SaaS 威胁：来自 FOR589 课程关于网络犯罪活动的见解，记录正常以发现异常：来自真实犯罪和网络攻击的教训
SANS Internet Storm Center：Palo Alto Global Protect 漏洞 (CVE-2024-3400) 扫描增加，(9月29日，星期一)，[客座日记] 将蜜罐密码与 HIBP 比较，(10月1日，星期三)，“user=admin”。有时你甚至不需要登录，(9月30日，星期二)，更多 .well-known 扫描，(10月2日，星期四)
Cristian Souza at Securelist：取证之旅：在 AmCache 中狩猎恶意活动
Ayush Anand at Securityinbits：使用 nltest、net 和 whoami 进行发现
Jeremy Scion and Marc N. at Sekoia：静默短信诈骗：蜂窝路由器 API 的隐蔽滥用
Seqrite：勒索软件活动中利用合法远程访问工具
Shantaciak：调查电子邮件威胁：为什么收件箱仍然是前门
Siddhant Mishra：Kimsuky/APT43 网络钓鱼基础设施：技术演变
SOCRadar：暗网档案：Scattered Lapsus$ Hunters
Claudia Preciado at Stairwell：基于 CISA 的 Salt Typhoon YARA 规则：Stairwell 发现 637 个新变种
Brandon Webster and Bryan Campbell at Sublime Security：使用冒充的 Evite 和 Punchbowl 邀请进行凭证网络钓鱼和恶意软件分发
Kyle Knight at Sucuri：通过 SSH 密钥认证增强文件传输安全性
System Weakness：Windows 凭证窃取检测，日志基础 | TryHackMe 记录，SIEM 入门 | TryHackMe 记录，KK TAN 的反向工程第2课 ~ 真实世界研究 CVE-2025-8088 [经验分享]，HTB Holmes CTF 记录：The Card，SOC127 - 检测到 SQL 注入 - LetsDefend - 解决方案
THOR Collective Dispatch：Ask-a-Thrunt3r：2025年9月回顾，代理威胁狩猎第2部分：启动狩猎仓库
Niranjan Hegde and Sijo Jacob at Trellix：XWorm V6：探索关键插件
Richard Grainger at Triskele Labs：Qilin 崛起：澳大利亚组织需要知道什么
Jean-Francois Gobin at Truesec：她在海边出售网页 Shell（第一部分）
Elliot Roe at Valdin：引入 YARA 规则：使用 YARA 搜索和监控互联网基础设施
Joseliyo Sánchez at VirusTotal：高级威胁狩猎：使用 LLMs 自动化大规模操作
Vishal Thakur：引入 TLP:Black - 新的保密层级

即将举行的活动

Cellebrite：在线剥削，离线被困：亚太地区的诈骗园区和人口贩运
Cyber Social Hub：Cyber Social Hub 的变化
Magnet Forensics：向领先的媒体取证专家学习审查和分析媒体证据的技巧和最佳实践，Cyber Unpacked S2:E4 // 来自现场的声音：DFIR 的趋势、挑战和未来
Simply Defensive：实践防御：Markus Schober 谈 DFIR、实验室和培养更好的蓝队成员 | S5 E1

演示/播客

Alexis Brignoni：数字取证现在播客 S3 - E0
Behind the Binary by Google Cloud Security：EP16 逆向工程中的机器学习革命与 Hahna Kane Latonick
Patterson Cake at Black Hills Information Security：使用 Hayabusa & SOF-ELK 处理 Windows 事件日志（第2部分）
Cellebrite：提示星期二：C2C 用户峰会论文最后征集
Erik Pistelli at Cerbero：内存挑战1：揭秘
Cyber Social Hub：FTK Imager Pro 游戏规则改变者
InfoSec_Bret：SA - SOC211-161 - Utilman.exe Winlogon 利用尝试
John Hammond：初学者逆向工程
Magnet Forensics：法律解析 E1：数字证据的搜查令：数据驱动方法
Monolith Forensics：与 Relay 用户共享文件和报告，Monolith 中的案例详情
MSAB：XAMN 早期访问
MyDFIR：SOC 自动化项目 2.0：如何在 SOC 工作流程中使用 AI
Parsing the Truth: One Byte at a Time：商业电子邮件泄露
The Cyber Mentor：PowerShell 入门：调查 Windows 进程
Three Buddy Problem：Oracle cl0p 勒索软件危机、欧盟无人机目击事件、Cisco bootkit 余波

恶意软件

Mauro Eldritch at Any.Run：FunkSec 的 FunkLocker：AI 如何推动下一波勒索软件
hasherezade at Check Point：Rhadamanthys 0.9.x - 更新详解
Cleafy：Klopatra：揭露源自土耳其的新 Android 银行木马操作
Dr Josh Stroschein：IDA Pro 基础 - 轻松折叠函数文件夹的方法
Dr. Web：Doctor Web 2025年第三季度病毒活动回顾，Doctor Web 2025年第三季度移动设备病毒活动回顾
Cara Lin at Fortinet：Confucius 间谍活动：从窃取器到后门
Nicole Fishbein at Intezer：恶意软件分析和逆向工程初学者指南
Uma Madasamy at K7 Labs：Patchwork APT 分析
Marc Messer and Dave Truman at Kroll：FANCY BEAR GONEPOSTAL - 间谍工具提供对 Microsoft Outlook 的后门访问
OSINT Team：打开一罐 XWorms
Shubho57：JavaScript 文件分析导致 Koi Loader Stealer
Puja Srivastava at Sucuri：隐藏在 WordPress 网站中的恶意广告活动
ThreatFabric：Datzbro：隐藏在老年旅行诈骗背后的 RAT
Jeffrey Francis Bonaobra, Maristel Policarpio, Sophia Nilette Robles, Cj Arsley Mateo, Jacob Santos, and Paul John Bardon at Trend Micro：通过 WhatsApp 传播的自传播恶意软件，针对巴西用户
Daniel Kelley at Varonis：MatrixPDF 通过恶意 PDF 附件使 Gmail 用户面临风险
Шифровальщики-вымогатели The Digest “Crypto-Ransomware”：Lamia

其他内容

CyberCX：快速调查的案例
Belkasoft：[按需课程] BelkaGPT：DFIR 中有效的人工智能应用
Djordje Lukic at Binalyze：为什么检测浏览器存储的密码能增强网络弹性
Cyber Codex：深入探讨勒索软件时间线及其影子帝国 | Cyber Codex
Dr. Brian Carrier at Cyber Triage：数字取证和调查 (DFIR) 的 AI 原则
Josibel Mendoza at DFIR Dominican：DFIR 职位更新 - 09/29/25
Elan at DFIR Diva：技术安全与数字取证会议：2025年10月27-29日
Forensic Focus：Oxygen Analytic Center v.1.6：更智能、更快速、更安全的调查，数字取证工作汇总，2025年9月29日，打击儿童剥削内部 - 来自 Debbie Garner 的领导力和健康经验
Howard Oakley at ‘The Eclectic Light Company’：统一日志内部第3部分：日志存储和损耗，解释器：inodes 和 inode 编号
Kenneth G. Hartman at Lucid Truth Technologies：为罪犯辩护：辩护律师、调查人员和专家是否在为黑暗面工作？
Magnet Forensics：今天的企业 DFIR 状况如何？在我们的调查中分享您的见解！
Passware：关于 PDF 解密的一切
Sandfly Security：Sandfly 现已在 Microsoft Azure 市场上提供

软件更新

Datadog Security Labs：GuardDog v2.7.0
Digital Sleuth：winfor-salt v2025.11.0
Elcomsoft：Elcomsoft Distributed Password Recovery 增加对8个密码管理应用的支持
Google：Timesketch 20250929
MALCAT：0.9.11 发布：ARM 和 MachO 分析
Metaspike：Forensic Email Collector (FEC) 变更日志 - 4.2.579.104，Forensic Email Intelligence - 2.2.579
Microsoft：msticpy - Defender 的 OAuth v2.0 修复
MISP：MISP 2.5.22 发布，包含改进和错误修复
MSAB：2025年第三季度主要版本现已可用
OpenCTI：6.8.2
Phil Harvey：ExifTool 13.38
radare2：6.0.4
Sigma：发布 r2025-10-01
WithSecure Labs：Chainsaw v2.13.0

以上就是本周的全部内容！如果您认为我遗漏了什么，或者希望我特别报道某些内容，请通过联系页面或社交媒体渠道与我联系！

使用代码 PM15 或点击此链接享受 Hexordia 课程 15% 折扣与我一起上课！使用折扣码 thisweekin4n6 在 Cyber5w 享受任何课程 15% 折扣。