数字取证与事件响应周报：2025年第44周威胁情报与技术动态

赞助内容

Salesloft-Drift入侵内幕：对SaaS与身份安全的意义
在本期内容中，Permiso的CTO将涵盖：

攻击者如何利用被盗的OAuth令牌从GitHub移动到AWS再到SalesForce。
为何这种“全机器”攻击为SaaS供应链和NHI敲响了警钟。
在您的环境中检测和遏制类似威胁的实用步骤。
观看视频播客
由Permiso赞助

一如既往，感谢那些为支持付出的人们！

取证分析

Erik Pistelli在Cerbero：内存挑战5：DumpMe；内存挑战6：Injector
Christopher Eng在Ogmini：BelkaCTF 7 – AAR变形记；BelkaCTF 7 – AAR雷达；家庭实验室 – Windows应答文件（unattend.xml/autounattend.xml）；Windows记事本 – Windows 25H2 – 版本11.2507.26.0；Zeltser挑战 – 第十个月成果
ForensafeAndroid日历
Adam Hachem在Hexordia：使用开源取证工具：从代码和Python脚本编译
Justin De Luna在’The DFIR Spot’：利用QELP进行快速ESXi分析

威胁情报/狩猎

0xMatheuZ：规避Elastic安全：Linux Rootkit检测绕过
360威胁情报中心：APT-C-60（False Hunter）近期活动分析与技术演进
Faan Rossouw在Active Countermeasures：每日恶意软件 – 通过Google Workspace API进行命令与控制
Akash Patel：追踪横向移动 – 命名管道、调度器、服务、注册表和DCOM（事件ID）；追踪横向移动：PowerShell远程、WMIC、显式凭据、NTLM中继攻击…
Sublime更智能：自动日历事件删除现已推出
Any.Run：2025年10月重大网络攻击：通过Google Careers和ClickUp进行钓鱼、Figma滥用、LockBit 5.0和TyKit
ASEC：Trigona威胁行为者最新攻击案例分析；隐藏在GUI中的The Beast勒索软件；使用脆弱随机数生成功能的Gunra勒索软件分析（以ELF格式分发给Linux环境）；2025年9月APT组织趋势；伪装为使用Ren’Py开发的游戏的Rhadamanthys恶意软件分发；利用ActiveMQ漏洞安装Sharpire（Kinsing）的案例
澳大利亚网络安全中心：不要从陌生人那里拿BADCANDY – 您的设备如何被植入及应对措施
Maria Vasilevskaya在Auth0：凭据填充和MFA利用预防的日志检测
Bart Blaze：Earth Estries活跃且持续
Brian Krebs在’Krebs on Security’：Aisuru僵尸网络从DDoS转向住宅代理
CERT-AGID：针对Autostrade per l’Italia的短信钓鱼活动；10月25日至31日恶意活动周总结
Chainalysis：MSMT关于朝鲜网络行动报告的五个关键要点
Check Point：10月27日 – 威胁情报报告；Hezi Rash：新兴库尔德黑客组织瞄准全球网站
Takahiro Takeda、Jordy Dunk、James Nutland和Michael Szeliga在Cisco的Talos：通过多个案例揭露Qilin攻击方法
Corelight：没有PoC？没问题：在细节稀缺时狩猎F5漏洞；宣布Corelight威胁情报与CrowdStrike合作
CTF导航：APT追踪第一集：“神秘大象”APT组织攻击战术分析
Cybereason：从脚本到系统：全面审视Tangerine Turkey行动
Cyble：APT-C-60升级SpyGlace行动，针对日本使用进化恶意软件和高级规避TTP；针对关键基础设施的黑客行动激增：Cyble报告；武器化军事文件向国防部门提供高级SSH-Tor后门
Cyfirma：每周情报报告 – 2025年10月31日
Darktrace：Darktrace对CVE-2025-59287后利用活动的分析
Kennedy Toomey在Datadog安全实验室：近期npm供应链泄露的教训
DebugPrivilege：失控的机器
Sergio Albea在Detect FYI：通过KQL查询对内部设备进行威胁狩猎
Disconinja：每周威胁基础设施调查（第43周）
DomainTools调查：防火墙内部分析第一部分：转储
Elastic：通过AI驱动的威胁狩猎提升公共部门网络防御 | Elastic博客
Elastic安全实验室：TOR出口节点监控概述
Aaron Walton在Expel：认证OysterLoader：通过代码签名证书追踪Rhysida勒索团伙活动
Eye Research：对抗影子AI：善意的提示注入；野外WSUS反序列化漏洞利用（CVE-2025-59287）
Flashpoint：数据勒索TTP的演进：从利用代码到利用人
Fortinet：被盗凭据和有效账户滥用仍然是经济动机入侵的核心；大规模云滥用
Gen：解密：Midnight勒索软件；VibeScams：AI网站构建器如何塑造互联网；Gen 2025年第三季度威胁报告；DPRK剧本：Kimsuky的HttpTroy和Lazarus的新BLINDINGCAN变种
Genians：Qilin勒索软件分析
Bhavesh Dhake、Will Silverstone、Matthew Hitchcock和Aaron Fletcher在Google云威胁情报：王国之钥：特权账户监控防御者指南
Group-IB：财富幻觉：投资骗局平台的工程现实内部；在传播前检测NPM供应链泄露
Paolo Coba和Lee Kirkpatrick在GuidePoint安全：寻找主密钥：如何在M365中狩猎恶意客户端密钥
Hudson Rock：Logins.zip利用Chromium零日：隐秘信息窃取构建器承诺在12秒内实现99%凭据窃取；俄罗斯当局捣毁Meduza信息窃取开发者：年轻黑客在重大网络犯罪打击中被拘留
Hunt IO：针对亚洲金融和政府组织的多语言ZIP钓鱼活动
Intrinsec：Global Group：勒索软件重塑品牌故事
Keisuke Shikano在JPCERT/CC：TSUBAME报告溢出（2025年4月至6月）
David在ØSecurity：关于时间戳篡改的一点知识
Amy L. Robertson在MITRE ATT&CK：ATT&CK v18：检测策略，更多对手洞察
Oleg Skulkin在’Know Your Adversary’：300. 同名，错误路径；301. Qilin滥用Cyberduck进行外泄；302. 狩猎CVE-2025-59287利用；303. 狩猎通过可移动介质复制；304. 对手滥用Microsoft Windows资源泄漏诊断工具进行内存转储；305. BRONZE BUTLER滥用云存储服务进行外泄
OSINT团队：威胁猎人如何思考：心态、工具和方法论；无文件加载器解析：攻击者如何在内存中运行代码；MonsterV2恶意软件即服务（MaaS）和TA585威胁组织的高级ClickFix行动…
Dan Green在Push安全：Push安全识别的新LinkedIn钓鱼活动
奇安信X实验室：确凿证据揭露：RPX中继在PolarEdge核心暴露
SANS互联网风暴中心：Kaitai Struct WebIDE，（10月26日，周日）；DNS上的字节，（10月27日，周一）；主题行中包含不可见字符的钓鱼，（10月28日，周二）；如何在Linux系统上收集仅内存文件系统，（10月29日，周三）；X-Request-Purpose：识别“研究”和漏洞赏金相关扫描？，（10月30日，周四）
Sojun Ryu和Omar Amin在Securelist：浪费的加密货币：BlueNoroff的资金和就业幽灵幻影
Sathwik Ram Prakki在Seqrite：Operation SkyCloak：Tor行动针对俄罗斯和白俄罗斯军方
Silent Push：Silent Push揭露AdaptixC2与俄罗斯犯罪世界的联系，追踪利用开源工具进行恶意负载的威胁行为者
Socket：10个npm仿冒包部署多阶段凭据窃取器；安全社区抨击MIT链接报告声称AI驱动80%勒索软件
Sophos：虚假钓鱼：根本性还是愚蠢？；BRONZE BUTLER利用日本资产管理软件漏洞
Stephan Berger：今天学到了：binfmt_misc
Symantec企业：乌克兰组织仍 heavily targeted by Russian attacks
System Weakness：CSI: Linux – 在Ironshade房间中狩猎持久性；检测工程培训：检测浏览器凭据窃取攻击；钓鱼剖析：我们如何从“尼日利亚王子”到现代骗局
Sydney Marrone在THOR Collective Dispatch：Dispatch汇报：2025年10月
Trend Micro：勒索软件聚焦：DragonForce
Oddvar Moe在TrustedSec：黑客可访问性：当DLL劫持遇到Windows助手
Varonis：认识Atroposia：隐秘功能丰富的RAT；沉默的攻击者：利用VPC端点暴露AWS账户的S3存储桶而无痕迹
Vasilis Orlof在网络情报洞察：Intel Drops #4
Vxdb：伪装为免费视频游戏作弊工具的信息窃取器
Iván Cabrera在White Knight Labs：逆向易受攻击的Killer驱动程序的方法论
Ben Powell（高级网络内容作者）在ZScaler：理解威胁狩猎生命周期
Palo Alto Networks：Microsoft WSUS远程代码执行（CVE-2025-59287）在野外被积极利用（10月28日更新）；疑似国家资助威胁行为者在供应链攻击中使用新的Airstalk恶意软件；当AI代理失控：A2A系统中的代理会话走私攻击

即将举行的活动

Black Hills信息安全：谈论[信息安全]新闻 2025-11-03 #信息安全 #新闻
Brett Shavers：对抗市政厅：来自自诉原告的DF/IR教训。一项判决，节省两年时间，五十万个理由值得。
Cellebrite：Cellebrite + Corellium：数字取证遇见移动安全
网络安全导师播客：从澳大利亚国立大学泄露中吸取的教训 w/Suthagar Seevaratnam P2 | CMP S5 E4
Simply Defensive：平衡教育和现实世界网络安全与SOC分析师学生 | Simply Defensive S5 E4
Magnet Forensics：Legal Unpacked E2：超越应用图标：起草反映数据真实存储方式的移动设备授权；更智能的移动调查：今日取证服务提供商的工具
SANS：SANS Difference Makers Awards 2025
Silent Push：研讨会 – 检测加强集成的预emptive网络防御：SIEM版；网络研讨会 – 解锁域搜索和基于PADNS的预emptive检测力量 – Silent Push
Sygnia：在泄露中生存：从过去泄露中吸取的教训

演示/播客

AhmedS Kasmani：Cobalt Strike加载器内部：从加载器到Shellcode执行
Alexis Brignoni：数字取证现在播客 S3 – 1
Google云安全播客：EP249 数据优先：什么真正让您的SOC“AI就绪”？
网络社交中心：A.I. vs. 人类直觉
InfoSec_Bret：挑战 – 隐藏后门
John Dwyer：恶意软件分析演练 – JavaScript信息窃取器
Kevin Pagano在Stark 4N6：数据真相播客特辑 – CTF
Magnet Forensics：Mobile Unpacked S3:E10 // 剖析密码：确定设备解锁方法
Monolith Forensics：在Monolith中向案例添加联系人
MSAB：#MSABMonday – XAMN Pro上下文
MyDFIR：SOC警报分类解释：大多数初学者做错了什么
Off By One安全：ReVault！被您的安全SoC入侵 with Philippe Laulheret；通过静态分析和文档排名扩展基于LLM的漏洞研究
Parsing the Truth: One Byte at a Time：与Larry更多关于Pam的事情
Permiso安全：Permiso演示网络研讨会 | 2025年10月30日
Richard Davis在13Cubed：分析Linux内存的简单方法
SANS云安全：2025 SANS CloudSecNext峰会
Security BSides Dublin：Security BSides Dublin 2025
The Cyber Mentor：直播：HTB Sherlocks！ | 网络安全 | 蓝队；PowerShell入门：狩猎网络活动
Three Buddy Problem：OpenAI的Dave Aitel谈论Aardvark，使用LLM进行漏洞狩猎的经济学

恶意软件

Arctic Wolf：UNC6384利用ZDI-CAN-25373漏洞向匈牙利和比利时外交实体部署PlugX
Bobby Rauch：剖析Google Drive钓鱼骗局 – 全面安全还是全面骗局？
Abdallah Elnoty在eln0ty：SpyNote C2模拟器
ReversingLabs：评估用于macOS恶意软件狩猎的YARA规则在Spectra Analyze中；追踪不断演变的基于Discord的RAT家族
John Tuckner在Secure Annex：那是哪只宝可梦？是Monero！
John Tuckner在Secure Annex：SleepyDuck恶意软件通过Open VSX入侵Cursor
Security Onion：恐怖恶意软件分析！
Shubho57：Latrodectus变种（msi安装程序）分析
The Reverser’s Draft：PEB Walk剖析
ThreatFabric：新Android恶意软件Herodotus模仿人类行为以规避检测
Jeffrey Francis Bonaobra、Joe Soares和Emmanuel Panopio在Trend Micro：通过WhatsApp传播的Active Water Saci行动具有多向量持久性和复杂C&C
Wordfence：100,000个WordPress站点受Anti-Malware Security and Brute-Force Firewall WordPress插件中任意文件读取漏洞影响；恶意WordPress插件在虚假PNG文件中隐藏多层信用卡窃取器；攻击者积极利用WP Freeio插件中的关键漏洞
YUCA：Malops挑战9：Katz窃取器撰写

杂项

Cellebrite：演员、主持人、艺术家和反人口贩运倡导者Terry Crews将主持Cellebrite C2C用户峰会2026；找到您的调查路径；分享即关怀：转变数字调查工作流程范式；解锁AI在数字调查中的战略优势；端点检查器：为您的组织提供现代、灵活和用户友好的解决方案
CyberBoo：Microsoft Defender for Endpoint第3部分：警报管理和调查基础；Microsoft Defender for Endpoint第4部分：事件管理和攻击故事分析
Josibel Mendoza在DFIR Dominican：DFIR工作更新 – 2025年10月27日
Forensic Focus：数字取证工作汇总，2025年10月27日；2025年9月Oxygen Tech Bytes；数字取证汇总，2025年10月29日；MSAB白皮书 – 在移动设备中调查RAM；GMDSOFT技术通讯第15卷。分析位置欺骗应用留下的反取证痕迹
HackTheBox：Scattered Spider：构建更好恢复力的90天恢复计划
Iram Jack：冷系统取证入门
Lykos Defence：白皮书：从混乱到能力
Magnet Forensics：Magnet Witness 1.10中简化的启动和导出；从扣押到判决：用清晰、可采纳的数字证据加强起诉；当实验室永不眠；用可验证的云安全保护敏感媒体证据；新！Magnet认证准备
Patrick Siewert在’The Philosophy of DFIR’：推销科学：DF/IR服务的市场营销
Raymond Roethof：Microsoft Defender for Identity推荐操作：GPO可由非特权账户修改

软件更新

Arkime v5.8.2
Arsenal Recon：Arsenal Image Mounter v3.12.331新功能快速导览
Didier Stevens：更新：dnsresolver.py 版本0.0.4
Digital Detective：NetAnalysis® v4.1 – 解密Firefox v144
Digital Sleuth：winfor-salt v2025.12.1
Maxim Suhanov：dfir_ntfs文件系统解析器 1.1.20
OpenCTI 6.8.10
Sigmar 2025-11-01
Vound：Intella 3.0.1 发布说明
Xways：X-Ways Forensics 21.7 预览；X-Ways Forensics 21.6 SR-1；X-Ways Forensics 21.5 SR-10；查看器组件
YARA：YARA v4.5.5

这就是本周的全部内容！如果您认为我遗漏了什么，或希望我特别报道某些内容，请通过联系页面或社交媒体渠道与我联系！
使用代码PM15或点击此链接，在您的下一堂Hexordia课程中享受15%折扣
与我一起上课！使用折扣码thisweekin4n6在Cyber5w的任何课程中享受15%折扣。