数字取证与事件响应周报:2025年第44周安全威胁与技术分析

本周周报涵盖数字取证与事件响应领域的最新动态,包括Salesloft-Drift泄露事件分析、内存取证挑战、威胁狩猎技术、恶意软件分析案例、漏洞利用活动以及多款取证工具更新等内容。

赞助内容

Salesloft-Drift泄露内幕:对SaaS与身份安全的意义
在本环节中,Permiso的首席技术官将涵盖:

  • 攻击者如何利用被盗的OAuth令牌从GitHub移动到AWS再到SalesForce。
  • 为何这种"全机器"攻击为SaaS供应链和NHI敲响警钟。
  • 在您的环境中检测和遏制类似威胁的实用步骤。
    观看视频播客
    由Permiso赞助

一如既往,感谢那些给予支持的人!

取证分析

  • Erik Pistelli at Cerbero
    内存挑战5:DumpMe
    内存挑战6:Injector

  • Christopher Eng at Ogmini
    BelkaCTF 7 – AAR Metamorphosis
    BelkaCTF 7 – AAR Radars
    家庭实验室 – Windows应答文件(unattend.xml/autounattend.xml)
    Windows记事本 – Windows 25H2 – 版本11.2507.26.0
    Zeltser挑战 – 第十个月成就

  • Forensafe
    Android日历

  • Adam Hachem at Hexordia
    使用开源取证工具:从代码和Python脚本编译

  • Justin De Luna at ‘The DFIR Spot’
    利用QELP进行快速ESXi分析

威胁情报/狩猎

  • 0xMatheuZ
    规避Elastic Security:Linux Rootkit检测绕过

  • 360威胁情报中心
    APT-C-60(False Hunter)的最新活动分析和技术演进

  • Faan Rossouw at Active Countermeasures
    每日恶意软件 – 通过Google Workspace API进行命令与控制

  • Akash Patel
    追踪横向移动 – 命名管道、调度程序、服务、注册表和DCOM(事件ID)
    追踪横向移动:PowerShell远程处理、WMIC、显式凭据、NTLM中继攻击…
    Sublime变得更智能:自动日历事件删除功能现已推出

  • Any.Run
    2025年10月重大网络攻击:通过Google Careers和ClickUp进行钓鱼、Figma滥用、LockBit 5.0和TyKit

  • ASEC
    Trigona威胁行为者最新攻击案例分析
    隐藏在GUI中的The Beast勒索软件
    使用易受攻击的随机数生成函数的Gunra勒索软件分析(以ELF格式分发给Linux环境)
    2025年9月APT组织趋势
    伪装成使用Ren’Py开发的游戏的Rhadamanthys恶意软件分发
    利用ActiveMQ漏洞安装Sharpire(Kinsing)的案例

  • 澳大利亚网络安全中心
    不要从陌生人那里拿BADCANDY – 您的设备可能被植入以及应对措施

  • Maria Vasilevskaya at Auth0
    凭据填充和MFA漏洞预防的日志检测

  • Bart Blaze
    Earth Estries活跃且持续

  • Brian Krebs at ‘Krebs on Security’
    Aisuru僵尸网络从DDoS转向住宅代理

  • CERT-AGID
    针对Autostrade per l’Italia的短信钓鱼活动
    10月25日至31日恶意活动周总结

  • Chainalysis
    MSMT关于朝鲜网络行动报告的五个关键要点

  • Check Point
    10月27日 – 威胁情报报告
    Hezi Rash:新兴库尔德黑客行动主义组织瞄准全球网站

  • Takahiro Takeda, Jordyn Dunk, James Nutland, and Michael Szeliga at Cisco’s Talos
    通过多个案例揭示Qilin攻击方法

  • Corelight
    没有PoC?没问题:在细节稀疏时狩猎F5漏洞利用 | Corelight
    宣布Corelight与CrowdStrike的威胁情报 | Corelight

  • CTF导航
    APT追踪第一集:“神秘大象"APT组织攻击战术分析

  • Cybereason
    从脚本到系统:全面审视Tangerine Turkey行动

  • Cyble
    APT-C-60升级针对日本的SpyGlace活动,采用进化恶意软件和高级规避TTP
    黑客行动主义对关键基础设施的攻击激增:Cyble报告
    武器化军事文件向国防部门提供高级SSH-Tor后门

  • Cyfirma
    每周情报报告 – 2025年10月31日

  • Darktrace
    Darktrace对CVE-2025-59287后期利用活动的分析

  • Kennedy Toomey at Datadog Security Labs
    近期npm供应链泄露的教训

  • DebugPrivilege
    失控的机器

  • Sergio Albea at Detect FYI
    通过KQL查询对内部设备进行威胁狩猎

  • Disconinja
    每周威胁基础设施调查(第43周)

  • DomainTools调查
    防火墙内部第一部分:转储

  • Elastic
    通过AI驱动的威胁狩猎提升公共部门网络防御 | Elastic博客

  • Elastic Security Labs
    TOR出口节点监控概述

  • Aaron Walton at Expel
    认证OysterLoader:通过代码签名证书追踪Rhysida勒索软件团伙活动

  • Eye Research
    对抗影子AI:为善的提示注入
    野外WSUS反序列化漏洞利用(CVE-2025-59287)

  • Flashpoint
    数据勒索TTP的演变:从利用代码到利用人

  • Fortinet
    被盗凭据和有效账户滥用仍然是经济动机入侵的组成部分
    大规模云滥用

  • Gen
    解密:Midnight勒索软件
    VibeScams:AI网站构建器如何塑造互联网
    Gen 2025年第三季度威胁报告
    朝鲜剧本:Kimsuky的HttpTroy和Lazarus的新BLINDINGCAN变种

  • Genians
    Qilin勒索软件分析

  • Bhavesh Dhake, Will Silverstone, Matthew Hitchcock, and Aaron Fletcher at Google Cloud Threat Intelligence
    王国之钥:特权账户监控防御者指南

  • Group-IB
    财富幻觉:投资骗局平台的工程现实内幕
    在传播前检测NPM供应链泄露

  • Paolo Coba and Lee Kirkpatrick at GuidePoint Security
    寻找主密钥:如何在M365中狩猎恶意客户端密钥

  • Hudson Rock
    Logins.zip利用Chromium零日:隐秘信息窃取构建器承诺在12秒内实现99%的凭据窃取
    俄罗斯当局捣毁Meduza信息窃取开发者:年轻黑客在重大网络犯罪打击中被拘留

  • Hunt IO
    针对亚洲金融和政府组织的多语言ZIP钓鱼活动

  • Intrinsec
    Global Group:勒索软件重塑品牌故事

  • Keisuke Shikano at JPCERT/CC
    TSUBAME报告溢出(2025年4月-6月)

  • David at ØSecurity
    关于时间戳篡改

  • Amy L. Robertson at MITRE ATT&CK
    ATT&CK v18:检测策略,更多对手洞察

  • Oleg Skulkin at ‘Know Your Adversary’
    300. 同名,错误路径
    301. Qilin滥用Cyberduck进行外泄
    302. 狩猎CVE-2025-59287漏洞利用
    303. 狩猎通过可移动介质复制
    304. 对手滥用Microsoft Windows资源泄漏诊断工具进行内存转储
    305. BRONZE BUTLER滥用云存储服务进行外泄

  • OSINT团队
    威胁猎人如何思考:心态、工具和方法论
    无文件加载器详解:攻击者如何在内存中运行代码
    MonsterV2恶意软件即服务(MaaS)和TA585威胁组织的高级ClickFix活动…

  • Dan Green at Push Security
    Push Security识别的新LinkedIn钓鱼活动

  • Qi’anxin X Lab
    确凿证据发现:RPX中继在PolarEdge核心暴露

  • SANS互联网风暴中心
    Kaitai Struct WebIDE,(10月26日,星期日)
    DNS上的字节,(10月27日,星期一)
    主题行中带有不可见字符的钓鱼邮件,(10月28日,星期二)
    如何在Linux系统上收集仅内存文件系统,(10月29日,星期三)
    X-Request-Purpose:识别"研究"和漏洞赏金相关扫描?,(10月30日,星期四)

  • Sojun Ryu and Omar Amin at Securelist
    浪费的加密货币:BlueNoroff的资金和工作幽灵幻影

  • Sathwik Ram Prakki at Seqrite
    行动SkyCloak:针对俄罗斯和白俄罗斯军队的Tor活动

  • Silent Push
    Silent Push发现AdaptixC2与俄罗斯犯罪世界的联系,追踪利用开源工具进行恶意载荷的威胁行为者

  • Socket
    10个npm仿冒包部署多阶段凭据收集器
    安全社区抨击麻省理工关联报告声称AI驱动80%的勒索软件

  • Sophos
    虚假钓鱼:根本性还是愚蠢?
    BRONZE BUTLER利用日本资产管理软件漏洞

  • Stephan Berger
    今天学到了:binfmt_misc

  • Symantec Enterprise
    乌克兰组织仍然是俄罗斯攻击的重灾区

  • System Weakness
    CSI: Linux – 在Ironshade房间中狩猎持久性 ️‍
    检测工程培训:检测浏览器凭据盗窃攻击
    钓鱼剖析:我们如何从"尼日利亚王子"到现代骗局

  • Sydney Marrone at THOR Collective Dispatch
    调度简报:2025年10月

  • Trend Micro
    勒索软件聚焦:DragonForce

  • Oddvar Moe at TrustedSec
    黑客可访问性:当DLL劫遇到Windows助手

  • Varonis
    认识Atroposia:隐秘功能丰富的RAT
    沉默的攻击者:利用VPC端点暴露AWS账户的S3存储桶而无迹可寻

  • Vasilis Orlof at Cyber Intelligence Insights
    情报投放 #4

  • Vxdb
    伪装成免费视频游戏作弊工具的信息窃取器

  • Iván Cabrera at White Knight Labs
    逆向易受攻击的Killer驱动程序方法论

  • Ben Powell (高级网络内容作家) at ZScaler
    理解威胁狩猎生命周期

  • Palo Alto Networks
    微软WSUS远程代码执行(CVE-2025-59287)在野外被积极利用(10月28日更新)
    疑似国家资助威胁行为者在供应链攻击中使用新的Airstalk恶意软件
    当AI代理失控:A2A系统中的代理会话走私攻击

即将举行的活动

  • Black Hills信息安全
    谈论[信息安全]新闻 2025-11-03 #信息安全 #新闻

  • Brett Shavers
    对抗市政厅:来自自诉原告的DF/IR教训。一项判决,节省两年时间,五十万个理由值得。

  • Cellebrite
    Cellebrite + Corellium:数字取证遇见移动安全

  • 网络安全导师播客
    从澳大利亚国立大学泄露中吸取的教训 w/Suthagar Seevaratnam P2 | CMP S5 E4

  • Simply Defensive
    平衡教育和现实世界网络安全与SOC分析师学生 | Simply Defensive S5 E4

  • Magnet Forensics
    法律解包 E2:超越应用图标:起草反映数据真实存储方式的移动设备授权
    更智能的移动调查:今日取证服务提供商的工具

  • SANS
    SANS Difference Makers Awards 2025

  • Silent Push
    研讨会 – 检测加强集成的先发制人网络防御:SIEM版
    网络研讨会 – 解锁域名搜索和基于PADNS的先发制人检测的力量 – Silent Push

  • Sygnia
    在泄露中生存:从过去泄露中吸取的教训

演示/播客

  • AhmedS Kasmani
    Cobalt Strike加载器内部:从加载器到Shellcode执行

  • Alexis Brignoni
    数字取证现在播客 S3 – 1

  • Google云安全播客
    EP249 数据优先:什么真正使您的SOC"AI就绪”?

  • 网络社交中心
    A.I. vs. 人类直觉

  • InfoSec_Bret
    挑战 – 隐藏后门

  • John Dwyer
    恶意软件分析演练 – JavaScript信息窃取器

  • Kevin Pagano at Stark 4N6
    数据真相播客特辑 – CTF

  • Magnet Forensics
    移动解包 S3:E10 // 剖析密码:确定设备解锁方法

  • Monolith Forensics
    在案例中添加联系人

  • MSAB
    #MSABMonday – XAMN Pro上下文

  • MyDFIR
    SOC警报分类解释:大多数初学者出错的地方

  • Off By One Security
    ReVault!被您的安全SoC入侵 with Philippe Laulheret
    通过静态分析和文档排名扩展基于LLM的漏洞研究

  • Parsing the Truth: One Byte at a Time
    更多关于Pam的事情与Larry

  • Permiso Security
    Permiso演示网络研讨会 | 2025年10月30日

  • Richard Davis at 13Cubed
    分析Linux内存的简单方法

  • SANS云安全
    2025 SANS CloudSecNext峰会

  • Security BSides Dublin
    Security BSides Dublin 2025

  • The Cyber Mentor
    直播:HTB Sherlocks! | 网络安全 | 蓝队
    PowerShell入门:狩猎网络活动。

  • Three Buddy Problem
    OpenAI的Dave Aitel谈论Aardvark,使用LLM进行漏洞狩猎的经济学

恶意软件

  • Arctic Wolf
    UNC6384利用ZDI-CAN-25373漏洞向匈牙利和比利时外交实体部署PlugX

  • Bobby Rauch
    剖析Google Drive钓鱼骗局 – 全面安全还是全面骗局?

  • Abdallah Elnoty at eln0ty
    SpyNote C2模拟器

  • ReversingLabs
    评估用于macOS恶意软件狩猎的YARA规则在Spectra Analyze中
    追踪不断演变的基于Discord的RAT家族

  • John Tuckner at Secure Annex
    那是哪个宝可梦?是Monero!

  • John Tuckner at Secure Annex
    SleepyDuck恶意软件通过Open VSX入侵Cursor

  • Security Onion
    恐怖恶意软件分析!

  • Shubho57
    Latrodectus变种分析(msi安装程序)

  • The Reverser’s Draft
    PEB Walk剖析

  • ThreatFabric
    新Android恶意软件Herodotus模仿人类行为以规避检测

  • Jeffrey Francis Bonaobra, Joe Soares, and Emmanuel Panopio at Trend Micro
    活跃的Water Saci活动通过WhatsApp传播,具有多向量持久性和复杂C&C

  • Wordfence
    100,000个WordPress站点受反恶意软件安全和暴力防火墙WordPress插件中的任意文件读取漏洞影响
    流氓WordPress插件在虚假PNG文件中隐藏多层信用卡窃取器
    攻击者积极利用WP Freeio插件中的关键漏洞

  • YUCA
    Malops挑战9:Katz窃取器记录

杂项

  • Cellebrite
    演员、主持人、艺术家和反人口贩卖倡导者Terry Crews将主持Cellebrite C2C用户峰会2026
    找到您的调查路径
    分享即关怀:转变数字调查工作流程范式
    解锁AI在数字调查中的战略优势
    端点检查器:为您的组织提供现代、灵活和用户友好的解决方案

  • CyberBoo
    Microsoft Defender for Endpoint第3部分:警报管理和调查基础
    Microsoft Defender for Endpoint第4部分:事件管理和攻击故事分析

  • Josibel Mendoza at DFIR Dominican
    DFIR工作更新 – 2025年10月27日

  • Forensic Focus
    数字取证工作汇总,2025年10月27日
    2025年9月Oxygen Tech Bytes
    数字取证汇总,2025年10月29日
    MSAB白皮书 – 在移动设备中调查RAM
    GMDSOFT技术通讯第15卷。分析位置欺骗应用留下的反取证痕迹

  • HackTheBox
    Scattered Spider:构建更好韧性的90天恢复计划

  • Iram Jack
    冷系统取证入门

  • Lykos Defence
    白皮书:从混乱到能力

  • Magnet Forensics
    Magnet Witness 1.10中简化的启动和导出
    从扣押到判决:用清晰、可采纳的数字证据加强起诉
    当实验室永不眠时
    用可验证的云安全保护敏感媒体证据
    新!Magnet认证准备

  • Patrick Siewert at ‘The Philosophy of DFIR’
    推销科学:DF/IR服务的市场营销

  • Raymond Roethof
    Microsoft Defender for Identity推荐操作:GPO可由非特权账户修改

软件更新

  • Arkime v5.8.2
  • Arsenal Recon
    Arsenal Image Mounter v3.12.331新功能快速浏览
  • Didier Stevens
    更新:dnsresolver.py版本0.0.4
  • Digital Detective
    NetAnalysis® v4.1 – 解密Firefox v144
  • Digital Sleuth
    winfor-salt v2025.12.1
  • Maxim Suhanov
    dfir_ntfs文件系统解析器1.1.20
  • OpenCTI 6.8.10
  • Sigmar 2025-11-01
  • Vound
    Intella 3.0.1发布说明
  • Xways
    X-Ways Forensics 21.7预览
    X-Ways Forensics 21.6 SR-1
    X-Ways Forensics 21.5 SR-10
    查看器组件
  • YARA
    YARA v4.5.5

这就是本周的全部内容!如果您认为我遗漏了什么,或者希望我特别报道某些内容,请通过联系页面或社交媒体渠道与我联系!
参加我的课程!使用折扣码thisweekin4n6在Cyber5w的任何课程享受15%折扣。
使用代码PM15或点击此链接在您的下一个Hexordia课程享受15%折扣。

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次