数字取证与事件响应周报:网络安全威胁与技术防御深度解析

本周周报全面汇总了数字取证与事件响应领域的最新动态,涵盖威胁情报分析、恶意软件技术剖析、漏洞利用技术、内存取证方法、云安全实践以及防御检测策略等实质性技术内容。

赞助内容

学习Scattered Spider更新的TTP及防御方法 在本网络研讨会中,Permiso的首席技术官和P0 Labs威胁研究负责人将讨论:

  • Scattered Spider的方法在过去几年中如何演变。
  • 他们当前的攻击重点及实施方式。
  • Permiso平台如何发现并防御Scattered Spider身份。 立即注册 由Permiso赞助

一如既往,感谢那些给予支持的回馈者!

取证分析

  • Andrea Fortuna:NTFS USN日志如何助力DFIR调查
  • Christopher Eng at Ogmini:Zeltser挑战 – 第八个月成就
  • BelkaCTF 7 – AAR Party Van
  • 内存取证 – Windows记事本第6部分
  • Chris Ray at Cyber Triage:DFIR后续步骤:可疑的LogMeIn使用
  • Damien Attoe:Realm文件 – 第1卷 – RealmDB简介
  • Dr. Neal Krawetz at ‘The Hacker Factor Blog’:Google Pixel 10与大规模C2PA故障
  • Forensafe:iOS Wire
  • Matthew Plascencia:点击与过滤:Wireshark中的过滤

威胁情报/狩猎

  • Faan Rossouw at Active Countermeasures:每日恶意软件 – Velociraptor作为C2
  • Adam at Hexacorn:DLL ForwardSideloading,第2部分
  • Arctic Wolf:GPUGate恶意软件:恶意GitHub桌面植入使用硬件特定解密,滥用Google广告针对西欧
  • AttackIQ:响应CISA咨询(AA25-239A):对抗中国国家支持的行为者全球网络间谍系统
  • Barracuda
    • 恶意软件简报:狡猾的网络钓鱼、BYOVD和Android RAT
    • 威胁聚焦:Tycoon网络钓鱼工具包揭示隐藏恶意链接的新技术
    • 八月顶级威胁行为者:勒索软件、间谍活动和信息窃取器
  • Jade Brown at Bitdefender:SafePay勒索软件:非RaaS组织如何执行快速攻击
  • Brad Duncan at Malware Traffic Analysis:2025-09-03:从Kongtuke验证码页面到ClickFix脚本再到Lumma窃取器
  • Brian Krebs at ‘Krebs on Security’
    • AI聊天机器人制造商Salesloft漏洞的持续影响
    • GOP因有效的垃圾邮件过滤器而指责审查制度
  • CERT-AGID
    • 针对INPS用户的短信网络钓鱼再次出现
    • MintsLoader活动恢复
    • 8月30日至9月5日恶意活动周总结
  • Check Point:9月1日 – 威胁情报报告
  • Dr. Giannis Tziakouris and Elio Biasiotto at Cisco:检测暴露的LLM服务器:Ollama的Shodan案例研究
  • Sourov Zaman, Craig Strubhart, and Grant Bourzikas at Cloudflare:Salesloft Drift漏洞对Cloudflare及客户的影响
  • Koushik Pal at CloudSEK:威胁行为者冒充Microsoft Teams通过Clickfix传递Odyssey macOS窃取器
  • CTF导航
    • 红队技法|利用BITS服务实现持久化执行
    • Citrix NetScaler实战漏洞演变:从目录遍历到内存溢出的技术剖析
    • 静态分析根本不够!IDA Pro动态调试Android应用的完整实战
    • 【Vidar论文研读分享】利用LLM支持二进制污点分析
    • 每周蓝军技术推送(2025.8.30-9.5)
  • Cyb3rhawk
    • 狩猎影子AI:笔记应用版本
    • 基础设施分析:UNC6395 Salesforce活动使用Salesloft Drift
    • 基础设施分析:UNC6395 Salesforce活动 – 后续
    • 超越基础设施:UNC6395的OAuth供应链狩猎
  • Cyfirma:每周情报报告 – 2025年9月5日
  • Daniel Koifman:对近期以太坊智能合约C2滥用的思考
  • Darktrace
    • P2Pinfect – 新变种针对MIPS设备
    • 行动中的警惕:监控域名抢注
    • Darktrace如何检测加密挖矿:威胁示例与演练
    • 从OT攻击中吸取的教训:为何行为检测优于签名
  • Disconinja:每周威胁基础设施调查(第35周)
  • Steve Behm at DomainTools:在Splunk中使用DomainTools Feed API
  • DomainTools调查:深入Kimsuky泄漏:‘Kim’转储如何暴露朝鲜的凭据盗窃策略
  • Elastic Security Labs:调查神秘畸形的Authenticode签名
  • Esentire:新僵尸网络从阴影中浮现:NightshadeC2
  • FalconFeeds:幕后一瞥:揭露Kimsuky威胁行为者的操作、基础设施和能力
  • Flare
    • 深入网络犯罪经济:威胁行为者如何像企业一样运作
    • 准备勒索软件谈判:安全团队需要知道的内容
  • Yun Zheng Hu and Mick Koomen at Fox-IT:三个Lazarus RAT瞄准你的奶酪
  • g0njxa:接近窃取器开发者:与MacSync(前mentalpositive)的简短访谈
  • Guillaume Valadon and Gaetan Ferry at GitGuardian:GhostAction活动:通过受损的GitHub工作流窃取3,325个秘密
  • Rommel Joven, Josh Fleischer, Joseph Sciuto, Andi Slok, and Choon Kiat Ng at Google Cloud Threat Intelligence:Sitecore产品中的ViewState反序列化零日漏洞(CVE-2025-53690)
  • GreyNoise:25,000个IP扫描Cisco ASA设备 – 新漏洞可能即将出现
  • Anton Ushakov at Group-IB:从深度伪造到黑暗LLM:AI如何推动网络犯罪的5个用例
  • Hudson Rock:从信息窃取器到APT的管道:被盗外交凭据如何助长网络政治权力博弈
  • Hunt IO:从面板到有效载荷:深入TinyLoader恶意软件操作
  • Huntress
    • 揭穿Microsoft 365与身份神话
    • Obscura,一个晦涩的新勒索软件变种
  • Kasada:2025年第二季度僵尸攻击趋势:AI爬取、抢购机器人和旅行欺诈
  • Kevin Beaumont at DoublePulsar:Citrix Netscaler后门 – 第一部分 – 2025年5月针对政府的活动
  • Adam Goss at Kraven Security:超越流行语:如何使用CTI指标衡量成功
  • Abul Azed at Microsoft:云取证:启用Microsoft Azure存储账户日志的重要性
  • Ray Fernandez at Moonlock:新恶意软件JSCoreRunner通过虚假PDF转换器传播
  • Oleg Skulkin at ‘Know Your Adversary’
      1. TamperedChef如何查询系统安全产品
      1. 对手滥用Python传递商业恶意软件
      1. TinyLoader如何维持持久性
      1. 来自ClickFix的另一个狩猎机会
      1. 对手如何滥用Netsh进行发现
      1. 对手使用Active Setup实现持久性
  • Matt Black at OSINT Team:从别名到归因:分析师的黑网威胁行为者剖析指南
  • Palo Alto Networks:威胁简报:Salesloft Drift集成用于入侵Salesforce实例
  • Proofpoint:工作不安全:追踪和调查Stealerium和Phantom信息窃取器
  • Recorded Future
    • 2025年上半年恶意软件和漏洞趋势
    • 从CastleLoader到CastleRAT:TAG-150通过多层基础设施推进操作
    • 俄罗斯影响力资产汇聚于摩尔多瓦选举
    • 南亚的影响力操作与冲突升级
    • 领先一步:Stark Industries Solutions先发制人应对欧盟制裁
    • TAG-144对南美组织的持续控制
  • Chris Brook, Alex Walston and Harrison Koll at Red Canary:理解OAuth应用攻击与防御
  • Resecurity:Azure AD客户端秘密泄漏:云的关键
  • SANS互联网风暴中心
    • pdf-parser:所有流,(8月31日,星期日)
    • Wireshark 4.4.9发布,(8月31日,星期日)
    • 大规模性勒索快速查看:1,900条消息和205个比特币地址跨越四年,(9月2日,星期二)
    • Dassault DELMIA Apriso的漏洞利用尝试。CVE-2025-5086,(9月3日,星期三)
    • 从YARA偏移到虚拟地址,(9月5日,星期五)
  • John Tuckner at Secure Annex:DePIN进入浏览器扩展
  • Securelist
    • Cookie及其制作:用途、相关风险以及会话劫持的关系
    • 2025年第二季度IT威胁演变。移动统计
    • 2025年第二季度IT威胁演变。非移动统计
  • Aleksandar Milenkoski, Sreekar Madabushi (Validin) & Kenneth Kinion (Validin) at SentinelOne:传染性访谈 | 朝鲜威胁行为者通过滥用网络情报平台揭示计划和操作
  • Sanjay Katkar and Mahua Chakrabarthy at Seqrite:Operation BarrelFire:NoisyBear针对哈萨克斯坦石油和天然气部门的实体
  • Simone Kraus
    • 对抗中国国家支持的行为者
    • 网络空间的孤狼神话、激进化和反射控制
  • SOCRadar
    • 黑网档案:Lynx勒索软件
    • 黑网档案:GLOBAL勒索软件
    • LockBit 5.0与勒索软件卡特尔:需要知道的内容
  • Joe at Stranded on Pylos:情报贫困与商业数据经济
  • Brandon Webster at Sublime Security:利用在线预约滥用和分发列表进行回调网络钓鱼
  • Marco A. De Felice aka amvinfe at SuspectFile:“这不是合法或非法的问题”:采访Qilin附属机构
  • Visir at System Weakness:会话取证TryHackMe演练:解码JWT、调查日志和捕获令牌伪造
  • Tehtris:威胁情报报告 – 2025年9月
  • THOR Collective Dispatch
    • 不了解正常就无法发现异常
    • 无法在3D中隐藏
  • Trellix
    • XWorm的演变感染链:从可预测到欺骗性
    • ToolShell释放:解码SharePoint攻击链
  • Trend Micro:安全博客是否支持氛围编码的网络犯罪?
  • Buddy Tancio, Aldrin Ceriola, Khristoffer Jocson, Nusrath Iqra, and Faith Higgins at Trend Micro:MDR分析针对macOS通过’破解’应用的AMOS窃取器活动
  • Tom Neaves at Trustwave SpiderLabs:SOC和SIEM中的恶意AI代理 – 通过日志文件进行间接提示注入
  • Ugur Koc and Bert-Jan Pals at Kusto Insights:Kusto Insights – 八月更新
  • Vasilis Orlof at Cyber Intelligence Insights:Stark连接
  • Strahinja Janjisevic at Vectra AI:新技术带来新风险:由Strahinja Janjisevic提供的MCP驱动群组C2
  • Bernardo Quintero at VirusTotal:利用AI代码分析揭露哥伦比亚恶意软件活动
  • Fernando Tavella at WeLiveSecurity:GhostRedirector毒化Windows服务器:后门与Potatoes并存
  • Wiz
    • s1ngularity的后果:Nx供应链攻击中的AI、TTP和影响
    • 从受损密钥到网络钓鱼活动:内部云电子邮件服务接管
  • Zero Salarium:使用不存在的可执行文件实现隐蔽持久性
  • Блог Solar 4RAYS:Solar 4RAYS FlagHunt:任务解析

即将举行的活动

  • AnyRun:新恶意软件策略:SOC案例与检测提示
  • Black Hills Information Security:BHIS – 谈论[信息安全]新闻 2025-09-08 #直播 #信息安全 #信息安全新闻
  • Gerald Auger at Simply Cyber:网络安全中的DFIR职业
  • Magnet Forensics:使用Magnet Review简化数字证据共享和审查
  • Simply Defensive:侦探如何成为Ginger黑客:SOC生活、求职与蓝队智慧 | S4E7

演示/播客

  • Behind the Binary by Google Cloud Security:EP14 Web3的黑暗面:揭露金融犯罪的新时代
  • Belkasoft:注册表秘密:恶意软件如何在Windows中隐藏 | Vedant Narayan
  • Cellebrite:提示星期二:数字司法奖提名
  • Clint Marsden at the TLP – Digital Forensics Podcast:第23集:AI语音代理安全:受攻击的语音AI:SIP欺骗、成本流失及反击方法
  • Cloud Security Podcast by Google:EP241 从黑盒到构建块:来自Google的更现代检测工程经验
  • Compass Security
    • Kerberos深度潜水第1部分 – 介绍
    • Kerberos深度潜水第2部分 – Kerberoasting
  • InfoSec_Bret:SA – SOC335-313 – CVE-2024-49138漏洞利用检测
  • Magnet Forensics:使用Magnet Automate在您的整个DF工具包中构建简化工作流
  • MSAB:#msabmonday – 排除不相关位置
  • MyDFIR
    • SOC分析师网络安全工具 – 网站分析
    • 成为SOC分析师的最快途径
    • 如何准备求职面试(网络安全)
    • SOC自动化项目更新 | 第1/4部分
    • 真实SOC分析师调查 | 账户泄露
  • Off By One Security:UEFI Bootkit和内核模式Rootkit开发
  • Paraben Corporation:在事件响应中使用Zandra AI
  • Parsing the Truth: One Byte at a Time:找到Epstein的缺失分钟
  • The Cyber Mentor:使用堆叠查找恶意行为

恶意软件

  • ASEC:Dire Wolf勒索软件:结合数据加密和泄露勒索的威胁
  • Dr Josh Stroschein
    • 安装WSL的快速指南:在Windows上运行Linux只需几分钟!
    • 如何在WinDbg中使用r命令在EFLAGS/RFLAGS中设置标志
    • 新一集Behind the Binary:进入Web3的黑暗面!
  • Itz Sanskarr at InfoSec Write-ups:逆向工程WannaCry勒索软件:深度潜水
  • Marc Messer and Dave Truman at Kroll:FANCY BEAR GONEPOSTAL – 间谍工具提供对Microsoft Outlook的后门访问
  • Lab52:分析NotDoor:深入APT28不断扩展的武器库
  • MALCAT:准备好泳衣,我们潜入黑帽SEO计划
  • Shubho57:分析Word文档导致Ducktail(虚假求职申请)
  • Kush Pandya at Socket:恶意npm包冒充Flashbots SDK,针对以太坊钱包凭据
  • Zhassulan Zhussupov:macOS黑客第11部分:ARM(M1)的绑定Shell。简单汇编(M1)和C(运行Shellcode)示例
  • Шифровальщики-вымогатели:摘要“加密勒索软件”
  • H2O:Water
  • BlackNevas

杂项

  • Jack Hyland at Black Hills Information Security:MailFail
  • Brett Shavers at DFIR.Training:DFIR培训博客:我为什么这样做
  • Phil Roth at CrowdStrike:EMBER2024:推进网络安全ML模型对抗规避性恶意软件的培训
  • Josibel Mendoza at DFIR Dominican:DFIR职位更新 – 2025年9月1日
  • Dr. Tristan Jenkinson at ‘The eDiscovery Channel’:Bellingcat挑战 – 2025年8月(隐藏危险)
  • Forensic Focus
    • Exterro通过引入Exterro Intelligence for Legal Review and Investigations改变AI游戏规则
    • Tetiana Hrybok, Atola Technology质量保证负责人
    • 数字取证职位汇总,2025年9月1日
    • 连接世界情报同时保护背后人员
    • 数字取证汇总,2025年9月3日
    • 零售业受困:勒索软件如何改写英国数字取证规则
    • Forensic Focus摘要,2025年9月5日
  • Will Francillette at French365Connection:Entra:检索Entra Connect版本信息
  • InfoSec Write-ups
    • 勒索软件桌面练习与手册
    • [第2部分]在Ubuntu 22.04上安装和配置CAPEv2
  • Kevin Pagano at Stark 4N6:取证StartMe更新(2025年9月1日)
  • Lesley Carhart
    • Stories Ink采访了我,我喜欢Stories。
    • 开放在线指导指南
  • Magnet Forensics
    • 如何通过数字取证支持早期案件评估
    • 如何执行可辩护、全面的法律保留与数字取证
    • 员工离职:利用数字取证进行完整、可辩护的收集
  • Oxygen Forensics:36个仅可通过Oxygen Forensics访问的云应用和服务
  • Patrick Siewert at ‘The Philosophy of DFIR’:第3部分,共3部分:发展数字取证业务
  • Ryan G. Cox at The Cybersec Café:DataDog中的检测即代码:我为小团队构建MVP的方法

软件更新

  • Airbus Cybersecurity:IRIS-Web v2.4.23
  • Alexis Brignoni:iLEAPP v2.3.0
  • Amped:Amped Replay更新38515:新Redact选项卡、改进的运动检测等!
  • Cyber Triage:Cyber Triage 3.15:导入Defender遥测+更多SOC功能
  • Didier Stevens:更新:pdf-parser.py版本0.7.13
  • Digital Sleuth:winfor-salt v2025.10.7
  • Manabu Niseki:Mihari v8.2.0
  • OpenCTI:6.7.17
  • Phil Harvey:ExifTool 13.35(生产版本)
  • Rapid7:Velociraptor v0.75.1
  • Xways
    • 杂项
    • X-Ways用户论坛:X-Ways Forensics 21.5 SR-6
    • X-Ways用户论坛:X-Ways Forensics 21.6 Beta 2
  • Yogesh Khatri:mac_apt 29250905

这就是本周的全部内容!如果您认为我遗漏了什么,或希望我特别报道某些内容,请通过联系页面或社交媒体渠道与我联系! 使用折扣码thisweekin4n6在Cyber5w任何课程享受15%优惠。使用代码PM15或点击此链接在Hexordia下一堂课享受15%优惠。与我一起上课!

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次