数字取证与事件响应周报:2025年第44周威胁态势与工具更新深度解析

本文是2025年第44周的数字取证与事件响应领域新闻摘要,涵盖软件漏洞利用分析、新型恶意软件家族的技术剖析、APT组织的战术演变以及多款主流取证与安全工具的版本更新,为安全专业人员提供全面的技术动态参考。

赞助内容

深入剖析Salesloft-Drift数据泄露:对SaaS与身份安全的影响 在本期视频播客中,Permiso公司的CTO将探讨:

  • 攻击者如何利用被盗的OAuth令牌,从GitHub转移到AWS再到Salesforce。
  • 为何这种“全自动化”攻击为SaaS供应链和NHI(非人类身份)敲响了警钟。
  • 在您自身环境中检测和遏制类似威胁的实用步骤。 观看视频播客(由Permiso赞助)

一如既往,感谢那些给予支持的回馈者们!

取证分析

  • Erik Pistelli @ Cerbero
    • 内存挑战 5: DumpMe
    • 内存挑战 6: Injector
  • Christopher Eng @ Ogmini
    • BelkaCTF 7 – AAR Metamorphosis
    • BelkaCTF 7 – AAR Radars
    • 家庭实验室 – Windows应答文件 (unattend.xml/autounattend.xml)
    • Windows记事本 – Windows 25H2 – 版本 11.2507.26.0
    • Zeltser挑战 – 第十个月成果
  • Forensafe
    • Android日历
  • Adam Hachem @ Hexordia
    • 使用开源取证工具:从代码和Python脚本编译
  • Justin De Luna @ ‘The DFIR Spot’
    • 利用QELP进行快速ESXi分析

威胁情报/狩猎

  • 0xMatheuZ
    • 规避Elastic Security:Linux Rootkit检测绕过
  • 360威胁情报中心
    • APT-C-60(False Hunter)近期活动分析及技术演进
  • Faan Rossouw @ Active Countermeasures
    • 每日恶意软件 – 通过Google Workspace API进行命令与控制
  • Akash Patel
    • 追踪横向移动 – 命名管道、计划任务、服务、注册表和DCOM(事件ID)
    • 追踪横向移动:PowerShell远程处理、WMIC、显式凭据、NTLM中继攻击…
  • Sublime Security
    • Sublime变得更智能:自动日历事件删除功能现已上线
  • Any.Run
    • 2025年10月主要网络攻击:通过Google Careers & ClickUp进行的钓鱼攻击、Figma滥用、LockBit 5.0以及TyKit
  • ASEC
    • Trigona威胁组织最新攻击案例分析
    • 隐藏在GUI中的The Beast勒索软件
    • 使用易受攻击的随机数生成函数的Gunra勒索软件分析(针对Linux环境以ELF格式分发)
    • 2025年9月APT组织趋势
    • 伪装成使用Ren‘Py开发的游戏的Rhadamanthys恶意软件分发
    • 利用ActiveMQ漏洞安装Sharpire(Kinsing)的案例
  • 澳大利亚网络安全中心
    • 不要从陌生人那里接受BADCANDY – 您的设备如何被植入以及应对措施
  • Maria Vasilevskaya @ Auth0
    • 凭证填充和MFA漏洞利用防御的日志检测
  • Bart Blaze
    • Earth Estries依旧活跃
  • Brian Krebs @ ‘Krebs on Security’
    • Aisuru僵尸网络从DDoS转向住宅代理
  • CERT-AGID
    • 针对Autostrade per l’Italia的短信钓鱼活动正在进行中
    • 10月25日至31日一周恶意活动概要
  • Chainalysis
    • MSMT关于朝鲜网络行动报告的五点关键启示
  • Check Point
    • 10月27日 – 威胁情报报告
    • Hezi Rash:新兴库尔德黑客行动主义组织瞄准全球站点
  • Takahiro Takeda, Jordyn Dunk, James Nutland, Michael Szeliga @ Cisco Talos
    • 通过多个案例揭示Qilin的攻击方法
  • Corelight
    • 没有PoC?没问题:在细节匮乏时追猎F5漏洞利用 | Corelight
    • 宣布与CrowdStrike合作推出Corelight威胁情报 | Corelight
  • CTF导航
    • APT追踪第一集:“神秘大象”APT组织攻击战术分析
  • Cybereason
    • 从脚本到系统:全面审视Tangerine Turkey行动
  • Cyble
    • APT-C-60升级针对日本的SpyGlace行动,采用进化后的恶意软件和高级规避TTP
    • 黑客行动主义对关键基础设施的攻击激增:Cyble报告
    • 武器化军事文件向国防部门投递高级SSH-Tor后门
  • Cyfirma
    • 每周情报报告 – 2025年10月31日
  • Darktrace
    • Darktrace对CVE-2025-59287漏洞利用后活动的分析
  • Kennedy Toomey @ Datadog Security Labs
    • 近期npm供应链攻击事件的启示
  • DebugPrivilege
    • 失控的机器
  • Sergio Albea @ Detect FYI
    • 通过KQL查询对内部设备进行威胁狩猎
  • Disconinja
    • 每周威胁基础设施调查(第43周)
  • DomainTools Investigations
    • 深入防火墙之内 第一部分:数据转储
  • Elastic
    • 利用AI驱动的威胁狩猎提升公共部门网络防御 | Elastic博客
  • Elastic Security Labs
    • TOR出口节点监控概览
  • Aaron Walton @ Expel
    • 认证的OysterLoader:通过代码签名证书追踪Rhysida勒索软件团伙活动
  • Eye Research
    • 对抗影子AI:用于善意的提示注入
    • 野外出现的WSUS反序列化漏洞利用(CVE‑2025‑59287)
  • Flashpoint
    • 数据勒索TTP的演变:从利用代码到利用人
  • Fortinet
    • 被盗凭证和有效账户滥用仍然是经济动机入侵的核心环节
    • 大规模云服务滥用
  • Gen
    • 解密:Midnight勒索软件
    • VibeScams:AI网站构建器如何塑造互联网
    • Gen 2025年第三季度威胁报告
    • 朝鲜的策略手册:Kimsuky的HttpTroy和Lazarus的新BLINDINGCAN变体
  • Genians
    • Qilin勒索软件分析
  • Bhavesh Dhake, Will Silverstone, Matthew Hitchcock, Aaron Fletcher @ Google Cloud威胁情报
    • 王国的钥匙:特权账户监控防御者指南
  • Group-IB
    • 财富幻象:投资骗局平台背后的工程化现实内幕
    • 在扩散前检测NPM供应链攻击
  • Paolo Coba, Lee Kirkpatrick @ GuidePoint Security
    • 寻找主密钥:如何在M365中追猎恶意的客户端密钥
  • Hudson Rock
    • Logins.zip利用Chromium零日漏洞:隐秘的信息窃取程序构建器承诺在12秒内窃取99%的凭证
    • 俄罗斯当局捣毁Meduza信息窃取程序开发者:年轻黑客在重大网络犯罪打击行动中被拘留
  • Hunt IO
    • 针对亚洲金融和政府组织的多语言ZIP钓鱼活动
  • Intrinsec
    • Global Group:勒索软件更名故事
  • Keisuke Shikano @ JPCERT/CC
    • TSUBAME报告溢出(2025年4月-6月)
  • David @ ØSecurity
    • 关于时间戳篡改
  • Amy L. Robertson @ MITRE ATT&CK
    • ATT&CK v18:检测策略,更多对手洞察
  • Oleg Skulkin @ ‘Know Your Adversary’
      1. 同名,错误路径
      1. Qilin滥用Cyberduck进行数据外泄
      1. 追猎CVE-2025-59287漏洞利用
      1. 追猎通过可移动介质进行的复制
      1. 对手滥用Microsoft Windows资源泄漏诊断工具转储内存
      1. BRONZE BUTLER滥用云存储服务进行数据外泄
  • OSINT Team
    • 威胁猎人如何思考:心态、工具和方法论
    • 无文件加载器解析:攻击者如何在内存中运行代码
    • MonsterV2 恶意软件即服务(MaaS)及TA585威胁组织的高级ClickFix行动…
  • Dan Green @ Push Security
    • Push Security识别出的新LinkedIn钓鱼活动
  • 奇安信X实验室
    • 发现确凿证据:RPX中继暴露PolarEdge核心
  • SANS互联网风暴中心
    • Kaitai Struct WebIDE,(10月26日,周日)
    • 通过DNS传输字节,(10月27日,周一)
    • 主题行中包含不可见字符的钓鱼邮件,(10月28日,周二)
    • 如何在Linux系统上收集仅存在于内存中的文件系统,(10月29日,周三)
    • X-Request-Purpose:识别“研究”和漏洞赏金相关的扫描?,(10月30日,周四)
  • Sojun Ryu, Omar Amin @ Securelist
    • 被浪费的加密货币:BlueNoroff的资金和工作幽灵幻象
  • Sathwik Ram Prakki @ Seqrite
    • Operation SkyCloak:针对俄罗斯和白俄罗斯军队的Tor攻击行动
  • Silent Push
    • Silent Push揭露AdaptixC2与俄罗斯犯罪世界的联系,追踪利用开源工具投递恶意负载的威胁行为者
  • Socket
    • 10个npm域名仿冒包部署多阶段凭证窃取器
    • 安全社区抨击声称AI驱动80%勒索软件的MIT关联报告
  • Sophos
    • 虚假钓鱼:根本性问题还是愚蠢行为?
    • BRONZE BUTLER利用日本资产管理软件漏洞
  • Stephan Berger
    • 今日学习:binfmt_misc
  • Symantec Enterprise
    • 乌克兰组织仍受到俄罗斯攻击的严重针对
  • System Weakness
    • 罪案现场调查:Linux – 在Ironshade房间中搜寻持久化迹象 ️‍
    • 检测工程培训:检测浏览器凭证窃取攻击
    • 剖析网络钓鱼:我们如何从“尼日利亚王子”发展到现代骗局
  • Sydney Marrone @ THOR Collective Dispatch
    • 简报汇报:2025年10月
  • Trend Micro
    • 勒索软件聚焦:DragonForce
  • Oddvar Moe @ TrustedSec
    • 黑客可达性:当DLL劫遇到Windows帮助程序
  • Varonis
    • 认识Atroposia:功能丰富的隐秘RAT
    • 沉默的攻击者:利用VPC端点无痕暴露AWS账户的S3存储桶
  • Vasilis Orlof @ Cyber Intelligence Insights
    • 情报快报 #4
  • Vxdb
    • 伪装成免费游戏外挂的信息窃取程序
  • Iván Cabrera @ White Knight Labs
    • 逆向分析易受攻击的Killer驱动程序的方法论
  • Ben Powell(高级网络内容撰稿人)@ ZScaler
    • 理解威胁狩猎生命周期
  • Palo Alto Networks
    • 微软WSUS远程代码执行漏洞(CVE-2025-59287)在野外被积极利用(10月28日更新)
    • 疑似国家支持威胁行为者在供应链攻击中使用新的Airstalk恶意软件
    • 当AI代理失控时:A2A系统中的代理会话走私攻击

即将举办的活动

  • Black Hills Information Security
    • 谈论[信息安全]新闻 2025-11-03 #infosec #news
  • Brett Shavers
    • 对抗市政厅:来自自我辩护原告的DF/IR经验。一个判决,节省两年时间,五十万个理由说明其价值。
  • Cellebrite
    • Cellebrite + Corellium:数字取证遇见移动安全
  • 网络安全导师播客
    • 澳大利亚国立大学数据泄露的经验教训 w/Suthagar Seevaratnam P2 | CMP S5 E4
  • Simply Defensive
    • 平衡教育与现实世界网络安全:与SOC分析师学生的对话 | Simply Defensive S5 E4
  • Magnet Forensics
    • Legal Unpacked E2:超越应用图标:起草反映数据真实存储方式的移动设备搜查令
    • 更智能的移动设备调查:面向当今取证服务提供商的工具
  • SANS
    • SANS 2025年度变革者奖
  • Silent Push
    • 研讨会 – 检测强化集成以实现先发制人的网络防御:SIEM版
    • 网络研讨会 – 解锁域名搜索和基于PADNS的先发制人检测的力量 – Silent Push
  • Sygnia
    • 在数据泄露中幸存:从过往泄露事件中吸取的教训

演讲/播客

  • AhmedS Kasmani
    • Cobalt Strike加载器内部原理:从加载器到Shellcode执行
  • Alexis Brignoni
    • 数字取证现在播客 S3 – 1
  • Google云安全播客
    • EP249 数据优先:什么真正使您的SOC“AI就绪”?
  • 网络社交中心
    • A.I. 对决人类直觉
  • InfoSec_Bret
    • 挑战 – 隐藏的后门
  • John Dwyer
    • 恶意软件分析演练 – JavaScript信息窃取器
  • Kevin Pagano @ Stark 4N6
    • 数据真相播客专题 – CTFs
  • Magnet Forensics
    • Mobile Unpacked S3:E10 // 拆解密码:确定设备解锁方法
  • Monolith Forensics
    • 在Monolith中为案件添加联系人
  • MSAB
    • #MSABMonday – XAMN Pro 上下文
  • MyDFIR
    • SOC警报分类解释:大多数初学者会犯的错误
  • Off By One Security
    • ReVault!被您的安全SoC攻陷,与Philippe Laulheret对话
    • 通过静态分析和文档排名扩展基于LLM的漏洞研究
  • Parsing the Truth: One Byte at a Time
    • 与Larry深入探讨关于Pam的事
  • Permiso Security
    • Permiso演示网络研讨会 | 2025年10月30日
  • Richard Davis @ 13Cubed
    • Linux内存分析的简易方法
  • SANS云安全
    • 2025年SANS CloudSecNext峰会
  • Security BSides Dublin
    • Security BSides Dublin 2025
  • The Cyber Mentor
    • 直播:HTB Sherlock挑战! | 网络安全 | 蓝队
    • PowerShell入门:狩猎网络活动
  • Three Buddy Problem
    • OpenAI的Dave Aitel谈论Aardvark,以及使用LLM进行漏洞挖掘的经济学

恶意软件

  • Arctic Wolf
    • UNC6384武器化ZDI-CAN-25373漏洞,向匈牙利和比利时外交实体部署PlugX
  • Bobby Rauch
    • 剖析Google Drive网络钓鱼骗局 – 全面安全还是全面骗局?
  • Abdallah Elnoty @ eln0ty
    • SpyNote C2模拟器
  • ReversingLabs
    • 评估用于在Spectra Analyze中狩猎macOS恶意软件的YARA规则
    • 追踪一个不断演变的基于Discord的RAT家族
  • John Tuckner @ Secure Annex
    • 那是哪个宝可梦?是Monero!
  • John Tuckner @ Secure Annex
    • SleepyDuck恶意软件通过Open VSX入侵Cursor编辑器
  • Security Onion
    • 恐怖的恶意软件分析!
  • Shubho57
    • 分析Latrodectus变体(msi安装程序)
  • The Reverser’s Draft
    • PEB遍历剖析
  • ThreatFabric
    • 新Android恶意软件Herodotus模仿人类行为以规避检测
  • Jeffrey Francis Bonaobra, Joe Soares, Emmanuel Panopio @ Trend Micro
    • Active Water Saci行动通过WhatsApp传播,具备多向量持久化和复杂的C&C机制
  • Wordfence
    • 10万个WordPress站点受Anti-Malware Security and Brute-Force Firewall插件任意文件读取漏洞影响
    • 恶意WordPress插件在虚假PNG文件中隐藏多层信用卡盗刷器
    • 攻击者正积极利用WP Freeio插件中的关键漏洞

杂项

  • Cellebrite
    • 演员、主持人、艺术家及反人口贩卖倡导者Terry Crews将担任2026年Cellebrite C2C用户峰会主旨发言人
    • 寻找您的调查路径
    • 分享即关怀:转变数字调查工作流程范式
    • 解锁AI在数字调查中的战略优势
    • Endpoint Inspector:为您组织提供的现代化、灵活且用户友好的解决方案
  • CyberBoo
    • Microsoft Defender for Endpoint 第3部分:警报管理与调查基础
    • Microsoft Defender for Endpoint 第4部分:事件管理与攻击故事分析
  • Josibel Mendoza @ DFIR Dominican
    • DFIR职位更新 – 2025/10/27
  • Forensic Focus
    • 数字取证职位汇总,2025年10月27日
    • Oxygen Tech Bytes – 2025年9月
    • 数字取证汇总,2025年10月29日
    • MSAB白皮书 – 调查移动设备中的RAM
    • GMDSOFT技术通讯 Vol 15. 分析位置伪造应用留下的反取证痕迹
  • HackTheBox
    • Scattered Spider:构建更强韧性的90天恢复计划
  • Iram Jack
    • 冷系统取证入门
  • Lykos Defence
    • 白皮书:从混沌到能力
  • Magnet Forensics
    • Magnet Witness 1.10中的简化启动与导出
    • 从扣押到判决:用清晰、可采纳的数字证据加强起诉
    • 当实验室永不眠
    • 使用可验证的云安全保护敏感媒体证据
    • 新!Magnet认证准备
  • Patrick Siewert @ ‘The Philosophy of DFIR’
    • 推销科学:DF/IR服务的市场营销
  • Raymond Roethof
    • Microsoft Defender for Identity 推荐操作:非特权账户可能修改GPO

软件更新

  • Arkime v5.8.2
  • Arsenal Recon Arsenal Image Mounter v3.12.331新功能快速导览
  • Didier Stevens 更新:dnsresolver.py 版本 0.0.4
  • Digital Detective NetAnalysis® v4.1 – 解密Firefox v144
  • Digital Sleuth winfor-salt v2025.12.1
  • Maxim Suhanov dfir_ntfs 文件系统解析器 1.1.20
  • OpenCTI 6.8.10
  • Sigmar 2025-11-01
  • Vound Intella 3.0.1 发布说明
  • Xways
    • X-Ways Forensics 21.7 预览版
    • X-Ways Forensics 21.6 SR-1
    • X-Ways Forensics 21.5 SR-10
    • 查看器组件
  • YARA YARA v4.5.5

本周内容就是这些!如果您认为我遗漏了什么,或者希望我特别关注某些内容,请通过联系页面或社交媒体渠道联系我!

跟我上课! 使用折扣码 thisweekin4n6 可在 Cyber5w 的任何课程中获得 15% 折扣。 使用代码 PM15 或点击此链接在您的下一门 Hexordia 课程中获得 15% 折扣。

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次