数字取证与事件响应周报:聚焦SaaS供应链攻击、恶意软件分析与威胁狩猎

本周数字取证与事件响应领域动态密集,涵盖Salesloft-Drift泄露事件分析、NPM供应链攻击深度研究、新型恶意软件家族技术剖析、以及针对SaaS环境、身份安全和AI攻击的检测防御实践。

重点事件分析

Inside the Salesloft-Drift Breach: What It Means for SaaS & Identity Security Permiso公司CTO在此次视频播客中深入剖析了攻击者如何利用窃取的OAuth令牌,从GitHub移动到AWS,再进入Salesforce。这场“全机器”攻击为SaaS供应链和非人类身份(NHI)安全敲响了警钟。会议同时提供了在实际环境中检测和遏制类似威胁的实用步骤。

取证分析

  • Christopher Eng (Ogmini): 分析Gmail应用IMAP账户附件相关痕迹;探讨Android Pixel 7上数字照片的生命周期(第一部分)。
  • Oleg Afonin (Elcomsoft): 研究Apple Face ID的安全影响与潜在漏洞。
  • Forensafe: 调查Android Google Chat取证。
  • Yann Malherbe (InfoGuard Labs): VHDX调查取证自动化。
  • Matthew Plascencia: 探索iOS 26中的新取证痕迹。
  • Mattia Epifani (Zena Forensics): 探索Android设备数据提取:可获取的数据类型及方法。
  • Salvation DATA: 详解Windows Shellbags及其在数字取证中的作用。

威胁情报/狩猎

本周威胁情报内容极为丰富,涵盖多个重大主题:

  • 供应链攻击: AppOmni分析了近期SaaS泄露事件,将TTPs映射到SaaS供应链攻击。Pulsedive和Socket等报告详细分析了影响NPM生态系统的广泛供应链攻击,包括“Shai-Hulud”攻击和恶意npm包(如fezbox)窃取浏览器密码的案例。Wiz报告了滥用实例元数据服务(IMDS)的罕见行为。
  • 高级持续性威胁(APT)与犯罪团伙: Recorded Future报告了针对政府、国防和技术组织的RedNovember活动。DomainTools和Natto Thoughts深入分析了中国高级持续性威胁组织“Salt Typhoon”。Resecurity揭示了LAPSUS$、ShinyHunters和Scattered Spider犯罪联盟的全球行动。多项报告分析了朝鲜(DPRK) Lazarus Group、俄罗斯APT29(Cozy Bear)以及越南威胁组织Lone None的活动。
  • 勒索软件经济与趋势: Darknet分析了2025年勒索软件支付与事件数量上升背后的RaaS经济学变化。Palo Alto Networks探讨了“勒索软件速度危机”。报告还涵盖了Akira、Gunra、LockBit 5.0等勒索软件集团的最新动态。
  • 恶意软件与攻击技术: 报告详细分析了RomCom、Nimbus Manticore、XCSSET、Zloader、YiBackdoor、COLDRIVER、Lumma Stealer、PureRAT、DBatLoader、Olymp Loader等多种恶意软件的演化与新变种。技术分析包括DLL搜索顺序劫持、SVG钓鱼、LNK恶意软件感染链、LSASS转储、Windows沙箱滥用以及AI在攻击中的使用(如AI混淆的网络钓鱼、AI代理模式滥用)。
  • 检测与响应实践: 提供了丰富的检测指南、YARA规则、基线狩猎方法和事件响应经验总结(如CISA分享的事件响应经验教训)。探讨了在AI时代重新定义事件响应、使用Auth0日志检测注册欺诈、检测NPM供应链攻击、检测NTDS.dit转储与窃取等主题。

恶意软件分析

本部分提供了大量深入的恶意软件技术分析:

  • 分析案例: 包括针对英国公司的电信网络攻击活动、Amatera Stealer与PureMiner的SVG钓鱼攻击、感染Steam游戏的BlockBlasters恶意软件、Acreed信息窃取程序、BadIIS大规模SEO投毒活动、Kimsuky/APT43泄露文件的初步分析等。
  • 技术深度解析: ASEC分析了通过Windows快捷方式(LNK)绕过Mark of the Web(MoTW)的LNK踩踏技术。Dr. Josh Stroschein分享了使用NASM和C进行汇编和链接的实践。Zhassulan Zhussupov讲解了通过添加Windows Terminal配置文件实现持久化的恶意软件开发技术。
  • 新家族与工具: 分析了新的DDoS僵尸网络ShadowV2、新的恶意软件家族YiBackdoor(与IcedID和Latrodectus有关联)、新的恶意软件即服务Olymp Loader(使用汇编编写)等。

软件更新

多个数字取证与安全工具发布更新,包括:

  • Arkime v5.8.0
  • OneDriveExplorer v2025.09.24
  • winfor-salt v2025.10.11
  • Microsoft msticpy (含M365认证、Bokeh修复等功能)
  • OpenCTI 6.8.0
  • ExifTool 13.37
  • Artemis v0.16.0
  • HEART (健康事件与活动报告工具)
  • Volatility 3 2.26.2
  • Hayabusa v3.6.0 - Nezamezuki Release

其他资源

  • 即将举行的活动: 包括Black Hills Information Security、Cellebrite、Magnet Forensics和Belkasoft等机构举办的网络直播、产品发布和研讨会。
  • 演示/播客: 涵盖从AI聊天机器人攻击调查、Windows沙箱滥用、业务邮件泄露(BEC)、数字证据链管理到T-Pot蜜罐设置等广泛主题的技术分享。
  • 杂项: 讨论了DFIR中AI的应用、高绩效事件响应团队的构建、SIEM现状、数字证据处理最佳实践、OSINT与DFIR的结合以及云安全入门等综合性话题。

总结 本周内容凸显了网络安全领域的几个关键趋势:SaaS和云身份成为攻击新前沿;软件供应链(尤其是NPM)是高风险领域;勒索软件攻击持续演进且经济模式发生变化;AI既被用于增强攻击(如混淆、钓鱼),也被用于提升防御检测能力;数字取证技术不断更新以应对新的设备(如Apple Watch)和系统(如iOS 26)挑战。各类报告、工具更新和实践活动为安全专业人员提供了应对当前威胁格局的丰富资源。

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次