数字取证与事件响应技术周报：云存储取证、恶意软件分析与威胁狩猎

FORENSIC ANALYSIS

Akash Patel
- 掌握云存储取证技术：Google Drive、OneDrive、Dropbox & Box 调查方法
- 每位取证调查员都应了解这些常见的反取证擦除工具
- 利用 Bulk Extractor 挖掘隐藏证据：记录恢复的力量
Andrew Malec
- LUKS、hashcat 与隐藏卷
Christian Peter
- “过去之事，现在之事，未来可能之事 —— ALEX 现已推出！”
Christopher Eng at Ogmini
- BelkaGPT – DFIR 中有效的人工智能
- 使用开源工具
- 试用 ALEX – Android 逻辑提取器
- SANS 假日黑客挑战赛 2025
- SANS 假日黑客挑战赛 2025 – 进展
- 检查移动热点 – Orbic Speed RC400L
Oleg Afonin at Elcomsoft
- 探索 iPadOS、tvOS 和 audioOS 17 及 18 设备：文件系统与钥匙串提取
Forensafe
- Android 应用使用历史
Iram Jack
- 取证镜像
- Autopsy
- 磁盘过滤
- ExfilNode
Mattia Epifani at Zena Forensics
- 超越已知：对三星安卓设备取证研究的呼吁
Tasos Chatziefstratiou
- IIS 用户访问日志记录
Dante Fazio at The Metadata Perspective
- 元数据至关重要：法庭上的原始相机照片与截图

THREAT INTELLIGENCE/HUNTING

❀✵Gootloader Details ✵❀
- Gootloader 卷土重来
Adam at Hexacorn
- cliconfg.exe 的一个鲜为人知的秘密
Charlie Eriksen at Aikido
- 隐形 Unicode 恶意软件再次攻击 OpenVSX
Christine Barry at Barracuda
- Nitrogen 勒索软件：从阶段性加载器到全面勒索
Victor Vrabie at Bitdefender
- Curly COMrades：通过隐藏的 Hyper-V 虚拟机进行规避与持久化
Brian Krebs at ‘Krebs on Security’
- 据称的 Jabber Zeus 编码者‘MrICQ’ 已在美国被拘押
- Cloudflare 从顶级域名列表中清除了 Aisuru 僵尸网络
Campaign and public sector information security
- 危险的 PDF 程序
CERT-AGID
- 针对意大利银行的网络钓鱼活动正在进行中
- 针对 AdE 的网络钓鱼：虚假的“加密货币税务申报”
- 11月1日至7日恶意活动摘要
- 通过 GLS 主题 ClickFix 活动在意大利传播的 Remcos RAT 分析
Check Point
- 11月3日 – 威胁情报报告
- 在速度上击败 XLoader：生成式 AI 作为逆向工程的效能倍增器
- 利用 Microsoft Teams：暴露的模拟与欺骗漏洞
Max Gannon at Cofense
- 国际威胁 – 区域性网络钓鱼活动中使用的感染 URL
David Burkett at Corelight
- 使用 PEAK 框架揭露 Salt Typhoon | Corelight
Crowdstrike
- CrowdStrike 2025 年欧洲威胁态势报告：勒索活动增加，国家背景活动加剧
Cyberbit
- Scattered Spider、LAPSUS$ 和 ShinyHunters 联合组成混乱的网络犯罪合并体
Cyfirma
- 每周情报报告 – 2025年11月07日
Darktrace
- 追踪一条龙：使用 Darktrace 调查 DragonForce 关联的勒索软件攻击
Tesnim Hamdouni, Ian Kretz, and Sebastian Obregoso at Datadog Security Labs
- MUT-4831：木马化的 npm 软件包分发 Vidar 信息窃取恶意软件
DebugPrivilege
- 您上次修补域控制器是什么时候？
- 从供应商到 ESC1
Burak Karaduman at Detect FYI
- 代理检测创建：从 Sigma 到 Splunk 规则
Disconinja
- 每周威胁基础设施调查
Erik Hjelmvik at Netresec
- 优化 IOC 保留时间
FalconFeeds
- 全球信用卡盗刷生态系统：现代金融欺诈与地下基础设施的威胁情报剖析
- 泄露迷雾：虚假泄露声明与模仿者如何混淆归因
- 恶意软件多语言：语言线索如何揭示威胁组织的起源与目标
- 隐形战争：APT 组织如何在不引起头条新闻的情况下运作
- 网络犯罪卡特尔崛起：我们是否正进入有组织数字犯罪的新时代？
- 规避的巅峰：分析窃密恶意软件即服务生态系统的去中心化、AI 与恶意演变
- 网络犯罪剧本：威胁行为者如何相互学习——TTP 趋同与 CTI Tracecraft 分析
- 当恶意软件成为营销：勒索软件组织如何利用公关进行恐吓
- 全球贸易面临的混合威胁：针对港口与海上航线的网络攻击激增
- 全球数字前线：政府网络安全事件分析，2024年10月–2025年9月
Flashpoint
- LockBit 5.0 分析：对 RaaS 巨头最新升级版的技术深度剖析
g0njxa
- 接近窃密软件开发者：与 AURA 的简短访谈
Google Cloud Threat Intelligence
- 为即将到来的威胁做准备：2026 年网络安全预测
- GTIG AI 威胁追踪器：威胁行为者使用 AI 工具的进展
GreyNoise
- PHP 加密货币挖矿活动：2025年10月/11月
Group-IB
- /proc 中的幽灵：操作与时间线破坏
HackTheBox
- BianLian 的静默入侵：1个漏洞如何击中新日铁的供应链
- Brickstorm 入侵：UNC5221 为期 12 个月的间谍活动剖析
- 逃离 Scattered Spider 的网：我们深度研究的 6 个要点
Hudson Rock
- 日经新闻遭入侵：信息窃取感染获得对 1.7万+ 员工 Slack 聊天记录的访问权限
Anna Pham at Huntress
- Gootloader | 威胁检测概览
Jeffrey Bellny at CatchingPhish
- 通过 Phish Sim 工具进行的网络钓鱼
Yuma Masubuchi at JPCERT/CC
- 关于威胁组织 APT-C-60 攻击的更新
Kevin Beaumont at DoublePulsar
- CyberSlop — 认识新的威胁行为者，MIT 与 Safe Security
Kostas
- DetectionStream：介绍 Sigma 培训平台
Kroll
- Kroll 对话：会见 DFIR 专家
LevelBlue
- SpiderLabs 勒索软件追踪器 2025年10月更新：Qlin 加大攻击力度
- 剖析与理解 APT 威胁组织活动
Natto Thoughts
- 一位研究者前来敲门，并给中国上了一堂关于如何管理漏洞和研究者的课
Oleg Skulkin at ‘Know Your Adversary’
- 306. 攻击者修改注册表以启用远程调试
- 307. 狩猎 Tar 滥用
- 308. 攻击者滥用 OpenAI Assistants API
- 309. 攻击者使用隐藏的 Hyper-V 虚拟机
- 310. 攻击者持续滥用不常见的 RMM
- 311. 狩猎 MSBuild 滥用
- 312. 狩猎 Certutil 滥用
- 313. 真实攻击者如何滥用 PowerShell 进行发现
Picus Security
- 剖析 ValleyRAT：从加载器到 RAT 执行的有针对性的活动
- UNC6384 的 2025 PlugX 活动详解
- Gossamer Bear APT：Windows 端点活动详解
- Prophet Spider 威胁行为者详解
- 多平台 VanHelsing 勒索软件分析
Proofpoint
- 远程访问，真实货物：针对卡车运输与物流的网络犯罪分子
- 线路交错：伊朗间谍活动与归因的案例研究
Dan Green at Push Security
- 迄今为止最先进的 ClickFix？
Qi An Xin Threat Intelligence Center
- 南星行动：针对国产手机的 0day 间谍活动
Recorded Future
- 使用实时数据进行勒索软件检测 | Recorded Future
- 恶意基础设施在 aurologic GmbH 找到稳定性
Susannah Clark Matt at Red Canary
- 防御者网络钓鱼指南
Vladimir Pezo at ReversingLabs
- PowerShell Gallery 如何简化攻击
Rohan Karnkoti
- 中间代码：IR 简介
SANS Internet Storm Center
- 对端口 8530/8531 的扫描。可能与 WSUS 漏洞 CVE-2025-59287 相关
- XWiki SolrSearch 漏洞利用尝试与芝加哥黑帮/说唱歌手链接
- 域名 API 更新
- 二进制痕迹：使用 PowerShell 将恶意软件样本与蜜罐日志关联
- 蜜罐：对（代码）存储库的请求
John Tuckner at Secure Annex
- RansomVibing 出现在 VS Code 扩展中
Security Alliance
- 从朝鲜 IT 工作者到 IT 招聘人员
Sekoia
- 针对 Booking.com 酒店和客户的“我付了两次款”网络钓鱼活动
Subhajeet Singha at Seqrite
- Peek-a-Baku 行动：Silent Lynx APT 缓慢转向杜尚别
Shantaciak
- 构建逻辑
Sky Blueteam
- 分析 sudo CVE-2025-32463 的不安全 chroot 行为
SOCRadar
- Bulwark：剖析重新定义恶意软件规避的打包器
Ross McKerchar, Rafe Pilling, Sarah Kern, Angela Gunn, Jane Adams, Mindi McDowell, and Ryan Westman at Sophos
- 检测欺诈性朝鲜雇佣人员：CISO 行动手册
Symantec Enterprise
- 中国背景行为体持续关注影响美国政策的组织
System Weakness
- 窥探恶意软件的工具箱：REMnux 简介
- 勒索软件 101：这些数字劫匪如何运作以及为何备份是您的最佳盾牌
- 从警报到行动：SOC 分析师使用 Elastic 进行分诊的指南
- 使用 Elastic 进行警报分诊 – TryHackMe
- 黑客与否：恶意软件的不圣三位一体
- SOC 警报 => Lumma 窃密者 – 通过 Click Fix 网络钓鱼进行 DLL 侧加载
- 从噪音到信号：SOC 分析师在 Splunk 中进行警报分诊的指南
Ryan G. Cox at The Cybersec Café
- DataDog 中的代码化检测（第二部分）：我如何测试检测规则
The Raven File
- CLOP 勒索软件：网络剖析
THOR Collective Dispatch
- Ask-a-Thrunt3r：2025年10月 Logtoberfest 版
- 超越指标狩猎 – 第二部分
Jack Wigley, Jason Trapp and Trevor Tucker at Triskele Labs
- 威胁行为者使用 Python 窃取您的收件箱
Trustwave SpiderLabs
- Scattered LAPSUS$ Hunters：一个联合网络犯罪品牌剖析
- 猫已出袋：通过 MAD-CAT 模拟‘喵攻击’数据破坏活动
Ugur Koc and Bert-Jan Pals at Kusto Insights
- Kusto Insights – 十月更新
Kenneth Kinion at Valdin
- 使用 Valdin 查找相关的虚假“DMCA 下架”域名
Alexandra Martin at VirusTotal
- 十一月是搜索月：使用 #MonthOfVTSearch 探索、学习与分享
VMRay
- 如何将 Defender & Sentinel 警报转化为可操作的威胁情报
WeLiveSecurity
- 分享即惊吓：您没看到的 WhatsApp 屏幕共享诈骗
- ESET APT 活动报告 2025年第二季度–第三季度
Блог Solar 4RAYS
- 俄罗斯的 Erudite Mogwai 网络钓鱼活动
Palo Alto Networks
- 知己知彼：以资产管理为代价的威胁情报
- LANDFALL：针对三星设备漏洞链中的新型商用级安卓间谍软件

UPCOMING EVENTS

Black Hills Information Security
- Talkin’ Bout [infosec] News 2025-11-10
Cqure Academy
- 现场网络研讨会 检测与防御威胁的十大技巧
Cybersecurity Mentors Podcast
- 深入 Mandiant：Charles Carmakal 谈全球网络战争前线
Huntress
- 与 Kyle Hanslovan 一起现场入侵 Microsoft 365
- Tradecraft Tuesday | 最可疑的捕获：回顾与展望网络钓鱼策略
Magnet Forensics
- AI 解压 #6：您想知道的一切——以及您不怕问的
Spur
- Spur 中继 — 2025年第四季度：新代理威胁、SDK 滥用与检测

PRESENTATIONS/PODCASTS

Hexordia
- 数据中的真相：EP17：数字取证角色的演变：未来的数字侦探
Adversary Universe Podcast
- 勒索加剧与国家背景活动激化：CrowdStrike 2025 年欧洲威胁态势报告
Anuj Soni
- 正确设置您的恶意软件分析实验室
Behind the Binary by Google Cloud Security
- EP18 10,000 个 DLL 与太多数学 – 与 FLARE 团队总结 FLARE-On 12
Cellebrite
- 周二小贴士：2025 CTF 圆满结束
Chainalysis
- FBI 的雇凶谋杀加密货币调查：播客 Ep. 173
Cloud Security Podcast by Google
- EP250 “收集一切”的终结？从集中化转向数据访问？
Compass Security
- Windows 访问令牌 – 从身份验证到利用
Endace
- 数据包取证文件，Ep 64，与 Steve Fink 讨论构建有效且有韧性的 SOC
Flare
- 身份攻击：剖析 2025 年微软数字防御报告
John Hammond
- Windows 批处理恶意软件分析！
- 虚假 DMCA 恶意软件骗局
Logzio
- 使用 Logz.io 调查 SIEM 事件
Magnet Forensics
- 法律解压 E2：超越应用图标：起草反映数据真实存储方式的移动设备搜查令
- 更智能的移动调查：面向当今取证服务提供商的工具
Microsoft Threat Intelligence Podcast
- 超越 AI 安全炒作：网络安全防御中真正重要的是什么
MITRE
- ATT&CKcon 6.0
Monolith Forensics
- 在 Monolith 中为用户分配案件
MSAB
- #MSABMonday – XAMN Pro 导出选项
MyDFIR
- 真实的 SOC 分析师调查 | 电子邮件网络钓鱼 | MYDFIR SOC 社区
- 从教师到网络安全：Nigel 如何转向 SOC 职业生涯
OALabs
- IDA Free 逆向工程 – 分步 EXE 分析
Paraben Corporation
- 将 Passware 设备解锁导入 E3
- 在 E3 中捕获与查看 Steam 数据
- Zandra AI 处理内存转储中的数据
Parsing the Truth: One Byte at a Time
- 数字取证领域 25 年的动荡
Permiso Security
- Permiso 的 AI 安全能力概述 – 识别 AI 用户、构建者与代理
- Permiso 如何识别 AI 暴露面
- 为任何身份识别 AI 用户、构建者与代理
- Permiso 如何为 AI 用户、构建者与代理的身份创建徽章
Proofpoint
- 选举更多黑客：现实世界变革的技术技能
Richard Bejtlich at TaoSecurity
- 我正在主持一个新播客
Sandfly Security
- Linux 隐形 Rootkit 狩猎视频演示
SANS
- 现代威胁如何重新定义防御规则
Security Onion
- Security Onion 会议 2025 录音现已上线！
SentinelOne
- LABScon25 回放 | 野外出现的 LLM 驱动恶意软件
Studio d’Informatica Forense
- 罗马 MSAB 网络取证与数字调查研讨会
Sumuri
- TALINO Talk 第 18 集
- 如何为 2025 年 SUMURI Gives Back 提名执法机构
THE Security Insights Show
- THE Security Insights Show 第 279 集：Security Copilot 更新
The Weekly Purple Team
- CVE-2025-59287：对关键 WSUS RCE 漏洞进行紫队演练
Uriel Kosayev
- 仅供严肃人士 – MAoS – 打了兴奋剂的恶意软件分析

MALWARE

ASEC
- 一杆精准的长矛：Cephalus 勒索软件分析
Kacper Ratajczak at CERT Polska
- NGate 恶意软件活动分析
Cybereason
- Tycoon 2FA 网络钓鱼工具包分析
Dr. Web
- Cavalry Werewolf 黑客组织攻击俄罗斯国家机构
Microsoft Security
- SesameOp：新型后门使用 OpenAI Assistants API 进行命令与控制
- Whisper Leak：针对远程语言模型的新型侧信道攻击
Ovi Liber
- 新 Kimsuky 恶意软件“EndClient RAT”：首份技术报告与 IOC
Pulsedive
- 剖析感染链：Kimsuky JavaScript 下载器的技术分析
Shikha Sangwan at Securonix
- CHAMELEON#NET：对利用反射加载与自定义解密进行隐秘操作的多阶段 .NET 恶意软件的深度剖析
Shubho57
- Ares RAT 分析
Kush Pandya at Socket
- 9 个恶意 NuGet 软件包分发延时破坏性载荷
Ben Martin at Sucuri
- Slot Gacor：在线赌场垃圾邮件的兴起
Quentin Roland at Synacktiv
- 看不见的站点：枚举与攻击 Active Directory 站点
Bernardo.Quintero at VirusTotal
- 大规模逆向：面向苹果二进制的 AI 驱动恶意软件检测
István Márton at Wordfence
- 400,000 个 WordPress 网站受 Post SMTP WordPress 插件中账户接管漏洞影响
Zhassulan Zhussupov
- 恶意软件开发技巧 54：通过合法的 Angelcam API 窃取数据。简单的 C 示例。
Will Seaton, Viral Gandhi, Himanshu Sharma, and Yesenia Barajas at Zscaler
- 行业攻击激增，移动恶意软件蔓延：ThreatLabz 2025 年移动、物联网与 OT 报告
Шифровальщики-вымогатели The Digest “Crypto-Ransomware”
- Monkey

MISCELLANEOUS

Ahmed K. Ali
- 使用 CH341A 编程器提取与刷写硬盘 PCB 固件
Belkasoft
- 使用 Belkasoft X 生成 DFIR 报告
Brett Shavers
- 撕下 DF/IR 的创可贴
Cellebrite
- AI 优势：自信地管理调查
Decrypting a Defense
- 城市开始淘汰 Flock，NYPD 摄像头诉讼，CSAM 与私人搜查原则，针对证人社交媒体的 OSINT 简介等
Josibel Mendoza at DFIR Dominican
- DFIR 职位更新 – 2025年11月03日
DomainTools Investigations
- 深入防火墙内部（第二部分）：技术基础设施
Forensic Focus
- 导航数字调查的下一个时代：思想领导力视角
- GMDSOFT MD-Series 第三季度发布说明亮点
- Carol Brooks，网络心理学家，Platinum 3P
- 数字取证综述，2025年11月05日
- 国家层面的 DFI 福祉：为何生活经验必须塑造政策
- Forensic Focus 摘要，2025年11月07日
HackTheBox
- 新版 HTB 学院：为学习者打造，由您的反馈驱动
- 停止警报过载：如何像真正遭受攻击一样进行训练
Howard Oakley at ‘The Eclectic Light Company’
- 深入统一日志 7：Claude 诊断日志
Kevin Pagano at Stark 4N6
- 取证 StartMe 更新（2025年11月）
Oxygen Forensics
- 在远程数据收集中实现可观的 ROI
Security Onion
- Security Onion 文档印刷版现已更新至 Security Onion 2.4.190！
Cameron Paddy at Triskele Labs
- 独立网络调查的必要性
Vxdb
- 地下 Minecraft 账户市场

SOFTWARE UPDATES

Airbus Cybersecurity
- IRIS-Web v2.4.24
Brian Maloney
- OneDrive 更新
Didier Stevens
- 更新：cs-parse-traffic.py 版本 0.0.6
Digital Sleuth
- winfor-salt v2025.13.3
Doug Metz at Baker Street Forensics
- CyberPipe v5.3：增强的 PowerShell 兼容性与可靠性
Elcomsoft
- iOS 取证工具包 8.81 新增对 iOS 17 和 18 的 checkm8 提取支持
Microsoft
- msticpy – 针对 API 更改的 Defender 数据提供程序更新
MISP
- MISP v2.5.24 – 安全与稳定性更新
MobilEdit
- 新版本：MOBILedit Forensic 9.7 — Exynos 绕过、多用户安卓分析等！
Phil Harvey
- ExifTool 13.41
Xways
- 查看器组件
- X-Ways Forensics 21.5 SR-10
- X-Ways Forensics 21.6 SR-2
- X-Ways Forensics 21.7 Preview 2

以上就是本周的全部内容！如果您认为我遗漏了什么，或者希望我专门报道某些内容，请通过联系页面或社交媒体渠道联系我！ 使用优惠码 PM15 或点击此链接，在 Hexordia 的下次课程中享受 15% 折扣 与我一起上课！ 使用折扣码 thisweekin4n6，在 Cyber5w 的任何课程中享受 15% 折扣。