数字取证与事件响应周报：2025年第45周技术动态

赞助内容

Salesloft-Drift入侵事件内幕：对SaaS和身份安全的意义
在本环节中，Permiso的CTO将涵盖：

攻击者如何利用被盗OAuth令牌从GitHub→AWS→Salesforce横向移动
为何这种"全机器"攻击为SaaS供应链和NHI敲响警钟
在您的环境中检测和遏制类似威胁的实用步骤
[观看视频播客]
由Permiso赞助

取证分析

Akash Patel：掌握云存储取证技术：Google Drive、OneDrive、Dropbox和Box调查方法
每位取证调查员都应了解这些常见的反取证擦除器
使用Bulk Extractor挖掘隐藏证据：记录恢复的力量
Andrew Malec：LUKS、hashcat和隐藏卷
Christian Peter：“过去、现在和未来可能的事物——ALEX现已可用！”
Christopher Eng at Ogmini：BelkaGPT——DFIR中有效的人工智能
使用开源工具尝试ALEX——Android逻辑提取器
SANS假日黑客挑战赛2025
检查移动热点——Orbic Speed RC400L
Oleg Afonin at Elcomsoft：探索iPadOS、tvOS和audioOS 17和18设备：文件系统和钥匙串提取
Forensafe：Android应用使用历史
Iram Jack：取证镜像、Autopsy、磁盘过滤、ExfilNode
Mattia Epifani at Zena Forensics：超越已知：对三星Android取证工件的调查研究呼吁
Tasos Chatziefstratiou：IIS用户访问日志(UAL)
Dante Fazio at The Metadata Perspective：元数据的重要性：法庭上的相机原始照片与截图

威胁情报/狩猎

Gootloader详情：Gootloader卷土重来
Adam at Hexacorn：cliconfg.exe的一个鲜为人知的秘密
Charlie Eriksen at Aikido：隐形Unicode恶意软件再次袭击OpenVSX
Christine Barry at Barracuda：Nitrogen勒索软件：从分阶段加载器到全面勒索
Victor Vrabie at Bitdefender：Curly COMrades：通过隐藏的Hyper-V虚拟机进行规避和持久化
Brian Krebs at ‘Krebs on Security’：据称的Jabber Zeus编码员’MrICQ’在美国羁押
Cloudflare将Aisuru僵尸网络从顶级域名列表中清除
针对公共部门信息安全的危险PDF程序
CERT-AGID：针对意大利银行的钓鱼活动进行中
针对AdE的钓鱼：虚假"加密货币税务申报"
11月1日至7日恶意活动周度摘要
意大利通过GLS主题ClickFix活动传播的Remcos RAT分析
Check Point：11月3日威胁情报报告
在速度上击败XLoader：生成式AI作为逆向工程的力倍增器
利用Microsoft Teams：暴露冒充和欺骗漏洞
Max Gannon at Cofense：国际威胁——区域钓鱼活动中使用的感染URL
David Burkett at Corelight：使用PEAK框架揭露Salt Typhoon
Crowdstrike：2025年欧洲威胁格局报告：勒索增加，国家支持活动加剧
Cyberbit：Scattered Spider、LAPSUS$和ShinyHunters联合形成网络犯罪混乱合并
Cyfirma：每周情报报告 - 2025年11月7日
Darktrace：追踪一条龙：使用Darktrace调查DragonForce关联的勒索软件攻击
Tesnim Hamdouni, Ian Kretz, and Sebastian Obregoso at Datadog Security Labs：MUT-4831：木马化npm包分发Vidar信息窃取恶意软件
DebugPrivilege：您上次修补域控制器是什么时候？从供应商到ESC1
Burak Karaduman at Detect FYI：代理检测创建：从Sigma到Splunk规则（或任何平台）
Disconinja：每周威胁基础设施调查（第44周）
Erik Hjelmvik at Netresec：优化IOC保留时间
FalconFeeds：全球信用卡盗刷生态系统：现代金融欺诈和地下基础设施威胁情报概况（2024-2025展望）
泄露迷雾：虚假泄露声明和模仿行为如何混淆归因
恶意软件多语言：语言线索如何揭示威胁组织的起源和目标
无形战争：APT组织如何在不引起关注的情况下运作
网络犯罪卡特尔崛起：我们是否进入有组织数字犯罪的新时代？
规避巅峰：分析窃取恶意软件即服务生态系统的去中心化、AI和恶意演化（2025年10月）
网络犯罪剧本：威胁行为者如何相互学习——TTP收敛和CTI追踪分析
当恶意软件成为营销：勒索组织如何使用PR进行恐吓
对全球贸易的混合威胁：港口和海上航线网络攻击激增
全球数字前线：政府网络事件分析，2024年10月-2025年9月
Flashpoint：LockBit 5.0分析：RaaS巨头最新升级技术深度剖析
g0njxa：接近窃取程序开发者：与AURA的简短访谈
Google Cloud Threat Intelligence：为未来威胁做准备：2026年网络安全预测
GTIG AI威胁追踪器：威胁行为者使用AI工具的进展
GreyNoise：PHP加密货币挖矿活动：2025年10月/11月
Group-IB：/proc中的幽灵：操作和时间线破坏
HackTheBox：BianLian的静默入侵：1个漏洞如何击中日本钢铁供应链
Brickstorm泄露：UNC5221为期12个月间谍活动剖析
逃离Scattered Spider的网络：我们深度剖析的6个要点
Hudson Rock：日经社被入侵：信息窃取感染授予对17,000+员工Slack聊天记录的访问权限
Anna Pham at Huntress：Gootloader | 威胁检测概述
Jeffrey Bellny at CatchingPhish：通过钓鱼模拟工具进行钓鱼
Yuma Masubuchi at JPCERT/CC：威胁组织APT-C-60攻击更新
Kevin Beaumont at DoublePulsar：CyberSlop——认识新的威胁行为者MIT和Safe Security
Kostas：DetectionStream：介绍Sigma培训平台
Kroll：Kroll对话：会见DFIR专家
LevelBlue：SpiderLabs勒索软件追踪器2025年10月更新：Qlin加倍攻击
剖析和理解APT威胁组织活动
Natto Thoughts：一位研究人员敲门，给中国上了一堂关于漏洞管理和研究人员的课
Oleg Skulkin at ‘Know Your Adversary’：
306. 对手修改注册表以启用远程调试
307. 狩猎Tar滥用
308. 对手滥用OpenAI Assistants API
309. 对手使用隐藏的Hyper-V虚拟机
310. 对手继续滥用不常见的RMM
311. 狩猎MSBuild滥用
312. 狩猎Certutil滥用
313. 真实对手如何滥用PowerShell进行发现
Picus Security：
剖析ValleyRAT：从加载器到RAT执行的目标活动
UNC6384的2025年PlugX活动解析
Gossamer Bear APT：Windows端点活动解析
Prophet Spider威胁行为者解析
多平台VanHelsing勒索软件(RaaS)分析
Proofpoint：
远程访问，真实货物：网络犯罪分子针对卡车运输和物流
交叉线路：伊朗间谍活动和归因案例研究
Dan Green at Push Security：最先进的ClickFix？
Qi An Xin Threat Intelligence Center：南星行动：针对国产手机的0day间谍活动
Recorded Future：
使用实时数据进行勒索软件检测
恶意基础设施在aurologic GmbH找到稳定性
Susannah Clark Matt at Red Canary：防御者钓鱼指南
Vladimir Pezo at ReversingLabs：PowerShell Gallery如何简化攻击
Rohan Karnkoti：中间代码：IR简介
SANS Internet Storm Center：
对端口8530/8531(TCP)的扫描。可能与WSUS漏洞CVE-2025-59287相关
XWiki SolrSearch利用尝试(CVE-2025-24893)与芝加哥帮派/说唱歌手链接
域名API更新
二进制面包屑：使用PowerShell将恶意软件样本与蜜罐日志关联[访客日记]
蜜罐：对(代码)仓库的请求
John Tuckner at Secure Annex：RansomVibing出现在VS Code扩展中
Security Alliance：从朝鲜IT工作者到IT招聘人员
Sekoia：针对Booking.com酒店和客户的"我付了两次"钓鱼活动
Subhajeet Singha at Seqrite：躲猫猫行动：Silent Lynx APT缓慢转向杜尚别
Shantaciak：构建逻辑
Sky Blueteam：分析sudo CVE-2025-32463的不安全chroot行为
SOCRadar：Bulwark：解包重新定义恶意软件规避的打包器
Ross McKerchar, Rafe Pilling, Sarah Kern, Angela Gunn, Jane Adams, Mindi McDowell, and Ryan Westman at Sophos：检测欺诈性朝鲜雇佣：CISO手册
Symantec Enterprise：中国关联行为者持续关注影响美国政策的组织
System Weakness：
窥视恶意软件工具箱：REMnux简介
勒索软件101：这些数字劫匪如何工作及为何备份是您的最佳盾牌
从警报到行动：SOC分析员使用Elastic进行分类指南
使用Elastic进行警报分类 - TryHackMe
黑客与否：恶意软件的不神圣三位一体
[SOC警报 => Lumma窃取程序 - 通过Click Fix钓鱼进行DLL侧加载]
从噪音到信号：SOC分析员在Splunk中进行警报分类指南
Ryan G. Cox at The Cybersec Café：DataDog中的检测即代码（第2部分）：我如何测试检测
The Raven File：CLOP勒索软件：网络剖析
THOR Collective Dispatch：
询问威胁狩猎者：2025年10月Logtoberfest版
超越指标狩猎 - 第2部分
Jack Wigley, Jason Trapp and Trevor Tucker at Triskele Labs：威胁行为者使用Python收割您的收件箱
Trustwave SpiderLabs：
分散的LAPSUS$猎人：联邦网络犯罪品牌剖析
猫出袋：通过MAD-CAT模拟’喵攻击’数据破坏活动
Ugur Koc and Bert-Jan Pals at Kusto Insights：Kusto Insights - 10月更新
Kenneth Kinion at Valdin：使用Validin查找相关的虚假"DMCA删除"域名
Alexandra Martin at VirusTotal：11月是搜索月：使用#MonthOfVTSearch探索、学习和分享
VMRay：如何将Defender和Sentinel警报转化为可操作的威胁情报
WeLiveSecurity：
分享即惊吓：您没看到的WhatsApp屏幕共享骗局
ESET APT活动报告2025年Q2-Q3
Блог Solar 4RAYS：俄罗斯的Erudite Mogwai钓鱼活动
Palo Alto Networks：
在了解敌人之前了解自己：以资产管理为代价的威胁情报
LANDFALL：针对三星设备的漏洞链中的新型商业级Android间谍软件

即将举行的活动

Black Hills Information Security：谈论[信息安全]新闻 2025-11-10
Cqure Academy：实时网络研讨会 检测和防御威胁的十大技术
Cybersecurity Mentors Podcast：Mandiant内部：Charles Carmakal在全球网络战前线
Huntress：实时入侵Microsoft 365
Huntress：Tradecraft周二 | 最阴暗的捕获：回顾（和前瞻）钓鱼策略
Magnet Forensics：AI解包 #6：您想知道的一切——并且不怕问
Spur：Spur Relay — 2025年第四季度：新代理威胁、SDK滥用和检测

演示/播客

Hexordia：数据中的真相 EP17：数字取证不断变化的角色：未来的数字侦探
Adversary Universe Podcast：勒索增加和国家支持活动加剧：CrowdStrike 2025欧洲威胁格局报告
Anuj Soni：正确设置恶意软件分析实验室
Behind the Binary by Google Cloud Security：EP18 10,000个DLL和太多数学 - 与FLARE团队总结FLARE-On 12
Cellebrite：周二提示：2025年CTF圆满结束
Chainalysis：FBI的雇佣谋杀加密货币调查：播客第173集
Cloud Security Podcast by Google：EP250 “收集一切"的终结？从集中化到数据访问？
Compass Security：Windows访问令牌 - 从认证到利用
Endace：数据包取证文件，第64集，与Steve Fink讨论构建有效和有弹性的SOC
Flare：身份攻击：剖析2025年微软数字防御报告
John Hammond：
Windows批处理恶意软件分析！
虚假DMCA恶意软件骗局
Logzio：使用Logz.io调查SIEM事件
Magnet Forensics：
法律解包 E2：超越应用图标：起草反映数据真实存储方式的移动设备搜查令
更智能的移动调查：当今取证服务提供商的工具
Microsoft Threat Intelligence Podcast：超越AI安全炒作：网络防御中真正重要的东西
MITRE：ATT&CKcon 6.0
Monolith Forensics：在Monolith中为用户分配案件
MSAB：#MSAB周一 – XAMN Pro导出选项
MyDFIR：
真实SOC分析员调查 | 电子邮件钓鱼 | MYDFIR SOC社区
从教师到网络安全：Nigel如何转向SOC职业
OALabs：IDA免费逆向工程 - 分步EXE分析
Paraben Corporation：
将Passware设备解锁导入E3
在E3中捕获和审查Steam数据
Zandra AI处理内存转储数据
Parsing the Truth: One Byte at a Time：数字取证25年的动荡
Permiso Security：
Permiso的AI安全能力概述 - 识别AI用户、构建者和代理
Permiso如何识别AI暴露
为任何身份识别AI用户、构建者和代理
Permiso如何为AI用户、构建者和代理身份创建徽章
Proofpoint：选举更多黑客：现实世界变革的技术技能
Richard Bejtlich at TaoSecurity：我正在主持一个新播客
Sandfly Security：Linux隐形rootkit狩猎视频演示
SANS：现代威胁如何重新定义防御规则
Security Onion：Security Onion会议2025录音现已可用！
SentinelOne：LABScon25回放 | 野外的LLM启用恶意软件
Studio d’Informatica Forense：在罗马为MSAB举办的网络取证和数字调查研讨会
Sumuri：
TALINO对话第18集
如何为2025年SUMURI回馈计划提名执法机构
THE Security Insights Show：THE Security Insights Show第279集：Security Copilot更新
The Weekly Purple Team：CVE-2025-59287：对关键WSUS RCE漏洞进行紫色团队演练
Uriel Kosayev：仅限严肃人士 - MAoS - 类固醇恶意软件分析

恶意软件

ASEC：不偏不倚的长矛：Cephalus勒索软件分析
Kacper Ratajczak at CERT Polska：NGate恶意软件活动分析（NFC中继）
Cybereason：Tycoon 2FA钓鱼工具包分析
Dr. Web：Cavalry Werewolf黑客组织攻击俄罗斯国家机构
Microsoft Security：
SesameOp：新型后门使用OpenAI Assistants API进行命令和控制
Whisper Leak：针对远程语言模型的新型侧信道攻击
Ovi Liber：新Kimsuky恶意软件"EndClient RAT”：第一份技术报告和IOC
Pulsedive：剖析感染链：Kimsuky JavaScript投放器技术分析
Shikha Sangwan at Securonix：CHAMELEON#NET：利用反射加载和自定义解密进行隐秘操作的多阶段.NET恶意软件深度剖析
Shubho57：Ares RAT分析（elf文件）
Kush Pandya at Socket：9个恶意NuGet包分发延时破坏性载荷
Ben Martin at Sucuri：Slot Gacor：在线赌场垃圾邮件的崛起
Quentin Roland at Synacktiv：未见站点：枚举和攻击Active Directory站点
Bernardo.Quintero at VirusTotal：大规模逆向工程：针对Apple二进制的AI驱动恶意软件检测
István Márton at Wordfence：400,000个WordPress站点受Post SMTP WordPress插件中账户接管漏洞影响
Zhassulan Zhussupov：恶意软件开发技巧54：通过合法Angelcam API窃取数据。简单C示例。
Will Seaton, Viral Gandhi, Himanshu Sharma, and Yesenia Barajas at Zscaler：行业攻击激增，移动恶意软件传播：ThreatLabz 2025移动、物联网和OT报告
Шифровальщики-вымогатели The Digest “Crypto-Ransomware”：Monkey

杂项

Ahmed K. Ali：使用CH341A编程器提取和闪存硬盘PCB固件
Belkasoft：使用Belkasoft X生成DFIR报告
Brett Shavers：撕掉DF/IR的创可贴
Cellebrite：AI优势：自信地管理调查
Decrypting a Defense：城市开始放弃Flock，NYPD摄像头诉讼，CSAM和私人搜索原则，证人社交媒体OSINT介绍等
Josibel Mendoza at DFIR Dominican：DFIR工作更新 - 2025年11月3日
DomainTools Investigations：防火墙内部分第2部分：技术基础设施
Forensic Focus：
导航数字调查的下一个时代：思想领导力视角
GMDSOFT MD系列Q3发布说明亮点
网络心理学家Carol Brooks，Platinum 3P
数字取证综述，2025年11月5日
DFI在国家层面的福祉：为何生活经验必须塑造政策
取证焦点文摘，2025年11月7日
HackTheBox：
新HTB学院：为学习者构建，由您的反馈驱动
停止警报过载：如何像真正受到攻击一样训练
Howard Oakley at ‘The Eclectic Light Company’：统一日志内部第7部分：Claude诊断日志
Kevin Pagano at Stark 4N6：取证StartMe更新（2025年11月）
Oxygen Forensics：在远程数据收集中解锁切实ROI
Security Onion：Security Onion文档印刷书籍现已更新至Security Onion 2.4.190！
Cameron Paddy at Triskele Labs：独立网络调查的需求
Vxdb：地下Minecraft账户市场

软件更新

Airbus Cybersecurity：IRIS-Web v2.4.24
Brian Maloney：OneDrive更新
Didier Stevens：更新：cs-parse-traffic.py版本0.0.6
Digital Sleuth：winfor-salt v2025.13.3
Doug Metz at Baker Street Forensics：CyberPipe v5.3：增强的PowerShell兼容性和可靠性
Elcomsoft：iOS Forensic Toolkit 8.81增加对iOS 17和18的checkm8提取支持
Microsoft：msticpy – Defender数据提供程序更新以适应API更改
MISP：MISP v2.5.24 – 安全性和稳定性更新
MobilEdit：新发布：MOBILedit Forensic 9.7 — Exynos绕过、多用户Android分析等！
Phil Harvey：ExifTool 13.41
Xways：
查看器组件
X-Ways Forensics 21.5 SR-10
X-Ways Forensics 21.6 SR-2
X-Ways Forensics 21.7 Preview 2

以上就是本周的全部内容！如果您认为我遗漏了什么，或者希望我特别报道某些内容，请通过联系页面或社交媒体渠道与我联系！
参加我的课程！
使用折扣码thisweekin4n6在Cyber5w的任何课程享受15%折扣。
使用代码PM15或点击此链接在您的下一个Hexordia课程享受15%折扣。