数字取证与事件响应技术周报

第48周 – 2025年

赞助内容：深入了解Salesloft-Drift泄露事件

在此次会议中，Permiso的首席技术官将涵盖：

• 攻击者如何利用被盗的OAuth令牌从GitHub移动到AWS，再到Salesforce。
• 为何这种“全机器”攻击为SaaS供应链和非人类身份（NHI）敲响了警钟。
• 在您的环境中检测和遏制类似威胁的实用步骤。

取证分析

• Ahmed Moaz：ADS取证分析。
• Akash Patel：利用免费工具简化商业电子邮件泄密（BEC）案件与云端日志分析：Microsoft-Extractor-Suite及其他。
• Belkasoft：内存取证：工具、技术与最佳实践。
• Forensafe：Android应用程序操作。
• Nicholas Dubois（Hexordia）：气泡背后：Apple iMessage查找功能的隐私与安全性。
• Invictus事件响应：我们几乎被黑客入侵的故事。
• Magnet Forensics：当Windows休眠并留下证据时：深入hiberfil.sys。
• Matthew Plascencia：空中的数据。
• ThinkDFIR：关于USB注册表键中任意值的问题。
• Mark R（you sneakymonkey!）：云元数据 – AWS IAM凭证滥用。

威胁情报/狩猎

• Shai-Hulud 2.0：Shai-Hulud再次来袭，攻击了Zapier和Ensdomains。
• Shai-Hulud 2.0：内部探秘“第二次降临”，2025年最激进的NPM供应链攻击。
• Shai-Hulud 2.0 npm蠕虫：分析与须知。
• Shai-Hulud 2.0：超过14,000个密钥暴露。
• 332. Shai-Hulud 2.0如何实现权限提升。
• Shai-Hulud归来：NPM供应链攻击的“第二次降临”。
• 防御Sha1-Hulud：第二次降临。
• SHA1-Hulud，npm供应链事件。
• Shai-Hulud再次来袭（v2）。
• Shai-Hulud蠕虫回归，影响超过25,000个GitHub仓库。
• Shai-Hulud 2.0活动针对云和开发者生态系统。
• Shai-Hulud：当供应链事件演变为蠕虫（作者：Lucie Cardiet）。
• Shai-Hulud 2.0供应链攻击：25,000多个仓库暴露密钥。

其他威胁情报文章

• Hitesh Duseja（Altered Security）：Pass-The-Cert永存：在Entra ID连接设备间复活经典横向移动手法。
• Arctic Wolf：俄罗斯RomCom利用SocGholish向支持乌克兰的美国公司投递Mythic代理。
• Andrea Chiarelli（Auth0）：解密OAuth安全性：State vs. Nonce vs. PKCE。
• Bitdefender：
  • 韩国泄露事件 – 分析针对韩国金融服务的混合地缘政治活动及Qilin RaaS。
  • 勒索软件经济在中端市场蓬勃发展。
• Blu Raven Academy：利用简单方法检测Cobalt Strike HTTP(S)信标。
• Brian Krebs（Krebs on Security）：
  • 您的Android电视流媒体盒子是僵尸网络的一部分吗？
  • 认识“Scattered Lapsus$ Hunters”的管理员Rey。
• CERT-AGID：
  • 为进行钓鱼模拟活动的管理部门提供的建议。
  • 11月22日至28日恶意活动汇总。
  • 代理式人工智能与网络安全：CERT-AgID分析在线发布。
• Check Point：
  • 11月24日威胁情报报告。
  • GhostAd：隐藏的Google Play广告软件消耗设备资源并干扰数百万用户。
• Roshan（Confiant）：幻影商店：零售冒名活动在黑色星期五前通过视频广告和模块化手段扩散。
• Cybersec Sentinel：
  • 通过Matrix Push C2进行的浏览器通知劫持。
  • Xillen Stealer v5：高级凭证窃取与加载器平台。
• Cyfirma：每周情报报告 – 2025年11月28日。
• Andrea Draghetti（D3Lab）：首次在意大利检测到针对Klarna的钓鱼活动。
• Daniel Koifman：介绍LUMEN：您的EVTX伴侣。
• Dark Atlas：短信钓鱼团伙针对埃及金融和邮政服务部门。
• Darktrace：
  • CastleLoader & CastleRAT：TAG150模块化恶意软件投递系统背后。
  • 从亚马逊到路易威登：Darktrace如何检测黑色星期五钓鱼攻击。
• Disconinja：每周威胁基础设施调查（第47周）。
• Malcolm Heath（F5 Labs）：追踪RondoDox：利用多个IoT漏洞的恶意软件。
• FalconFeeds：威胁情报简报：Scattered LAPSUS$ Hunters。
• g0njxa：接近窃密软件开发者：与XFILES（DeerStealer）的简短访谈。
• Amirbek Kurbanov 和 Volen Kayo（Group-IB）：Bloody Wolf：对司法系统的直接威胁。
• Intrinsec：
  • 隐藏威胁 – GPO横向移动。
  • 针对俄罗斯航空航天工业的攻击活动。
• Isaac Dunham：Microsoft Sentinel中的基于风险的告警。
• Itsec：追踪UNC5337：对持久性网络威胁行为者的调查研究。
• Kroll：付出代价：增强零售行业对Scattered Spider和Cl0p的抵御能力。
• Micah Babinski：检测恶意的ArcGIS服务器对象扩展。
• Idan Cohen（Mitiga）：Scattered Lapsus$ Shiny Hunters再次攻击Salesforce。
• Nariman Gharib：40号部门曝光：连接网络行动与暗杀的伊朗革命卫队单位内幕。
• Nextron Systems：
  • Thor vs. Silver Fox – 揭露并挫败复杂的ValleyRat活动。
  • 在市场中发现的冒充“Material Icon Theme”的恶意VS Code扩展。
  • 对恶意VS Code扩展中发现的Rust植入程序的分析。
• Kristof Baute（NVISO Labs）：检测工程：实践检测即代码 – 调优 – 第8部分。
• Oleg Skulkin（Know Your Adversary）：
  • 327. 对手利用Shell图标叠加处理器进行持久化。
  • 328. 对手利用PowerCat进行反向Shell。
  • 329. 对手利用Blender 3D文件投递窃密软件。
  • 330. 对手利用Windows事件日志进行发现。
  • 331. 对手持续滥用Microsoft管理控制台。
  • 333. 对手利用多个LOLBIN进行入口工具传输。
• Picus Security：
  • Fog勒索软件2025：TTP深度分析。
  • APT41网络攻击：历史、行动与完整TTP分析。
  • Olymp Loader：2025年新兴的恶意软件即服务威胁。
• Recorded Future：Salesforce-Gainsight安全事件：须知内容。
• Red Canary：您错过的办公室时间：2025年11月。
• SANS互联网风暴中心：
  • YARA-X 1.10.0版本发布：修复警告。
  • URL映射与基于URL的访问控制之间的冲突。
• Thomas Roccia（SecurityBreak）：GenAI x Sec Advent（2025版）。
• sentinel.blog：
  • 将UniFi网络监控集成到Microsoft Sentinel中。
  • 在Microsoft Sentinel中扩展UniFi监控：工作簿与分析规则。
• Simone Kraus：Ivanti后利用横向移动 – 分析与检测。
• Snyk：Snyk日志嗅探器：为安全领导者提供的AI驱动的审计日志洞察。
• SOCRadar：
  • 暗网档案：Berserk Bear。
  • Morte加载器内幕：加载器即服务如何构建现代僵尸网络。
  • 暗网档案：ByteToBreach。
• System Weakness：数字取证与事件响应 – Velociraptor [MCP入侵与滥用案例]。
• Sydney Marrone（THOR Collective Dispatch）：Dispatch简报：2025年11月。
• Jacob Baines（VulnCheck）：区域性漏洞利用行动背后的神秘OAST主机。
• Sapir Federovsky（Wiz）：本月观察到的3种OAuth TTP – 以及如何利用Entra ID日志检测它们。
• Palo Alto Networks：
  • 人工智能的双重用途困境：恶意LLM。
  • 黄金尺度：不受欢迎的礼物季节。

即将举行的活动

• Magnet Forensics：
  • 网络安全解密 S2:E5 // 双时间线故事。
  • 当证据时间至关重要时 – 介绍Magnet One移动案件流。

演示/播客

• Black Hills Information Security：谈论网络安全新闻 2025-11-24。
• Hunter Wade（Black Hills Information Security）：滥用委托与Impacket（第3部分）：基于资源的约束委派。
• Cellebrite：提示星期二：单个应用程序。
• Erik Pistelli（Cerbero）：内存挑战9：BankingTroubles。
• Gerald Auger（Simply Cyber）：我如何在无工作的情况下获得SOC分析师经验。
• InfoSec_Bret：IR – SOC344 – 通过EDR-Freeze进行EDR篡改尝试。
• John Hammond：
  • Wazuh为一切提供可见性。
  • 键盘记录器恶意软件分析。
  • 2025年网络犯罪状况第2部分。
  • NPM恶意软件现有多重目标。
• Magnet Forensics：
  • 云端还是本地？两者兼得 – 发现新的Nexus混合代理。
  • 移动解密 S3:E11 // 分析应用程序的生命周期。
• Monolith Forensics：案件文件系统概述。
• MSAB：#MSABMonday – XAMN Pro深度探索。
• MyDFIR：
  • 适合初学者的SOC分析师训练方式。
  • 18个月内从零IT经验到SOC分析师。
  • Paul赢得他的第一次CTF，然后征服了他的面试评估。
  • MYDFIR SOC社区 | 黑色星期五特惠。
• Off By One Security：模拟APT：构建与部署引导工具包和Rootkit。
• Parsing the Truth: One Byte at a Time：蘑菇谋杀案第2部分。
• Sandfly Security：
  • Sandfly行动 – 无代理地添加Linux主机进行保护。
  • 安装Sandfly以无代理地保护您的Linux系统。
• SANS云安全：超越基础：云防御者需要知道什么。
• SentinelOne：LABScon25重播 | 模拟遇见现实：中国的网络靶场如何助推网络行动。
• THE Security Insights Show：THE Security Insights Show 第280集：感恩节特洛伊木马。
• Three Buddy Problem：Shai-Hulud 2.0，俄罗斯GRU入侵，以及微软的监管捕获。

恶意软件

• 0day in {REA_TEAM}：[快速分析] 冒充税务机构传播恶意软件的钓鱼活动。
• Adam（Hexacorn）：进入沙盒31：Web Shell。
• Any.Run：2025年11月主要网络攻击：XWorm、JSGuLdr加载器、Phoenix后门、移动威胁等。
• Cyble：RelayNFC：针对巴西的新型NFC中继恶意软件。
• Dexpose：Valkyrie窃密软件内幕：功能、规避技术与操作者档案。
• Fortinet：ShadowV2将阴影投到IoT设备上 | FortiGuard实验室。
• hasherezade’s 1001 nights：Flare-On 12 – 任务8。
• Ben Folland 和 Anna Pham（Huntress）：ClickFix别出心裁：隐藏在图片中的恶意软件。
• Jamf：FlexibleFerret恶意软件持续攻击。
• Shmuel Uzan（Morphisec）：Morphisec挫败俄罗斯关联的StealC v2活动，该活动通过恶意.blend文件针对Blender用户。
• Patrick Wardle（Objective-See）：在macOS上恢复反射式代码加载（第二部分）。
• Securelist：
  • 旧技术，新漏洞：2025年NTLM滥用与持续利用。
  • Tomiris造成浩劫：APT组织的新工具与技术。
• Ayush Anand（Securityinbits）：如何为Elasticsearch SIEM设置Sigma规则。
• Shubho57：APT28变种分析。
• Socket：
  • 恶意Chrome扩展在Solana交换中注入隐藏的SOL费用。
  • 支撑朝鲜“传染性面试”npm攻击的GitHub基础设施内幕。
• Jason Reaves（Walmart）：利用ChatGPT解码Astaroth字符串。
• Suraj Mundalik（ZScaler）：Zscaler威胁狩猎发现并重建复杂的水天鹅APT组织攻击。
• بانک اطلاعات تهدیدات بدافزاری پادویش：Hacktool.Win32.Nimplant。

杂项

• Adam（Hexacorn）：
  • ShellAbout函数的一个愚蠢的rundll-ish特性…
  • 更多隐藏的幻影DLL。
• Belkasoft：Belkasoft客户调查2025。
• Steven Alexander（Cybersecurity Oversight）：对手持续加速。
• Josibel Mendoza（DFIR Dominican）：DFIR工作更新 – 2025年11月24日。
• Elan（DFIR Diva）：
  • 免费与实惠的培训新闻：2025年黑色星期五版。
  • 我使用Alias by SockPuppet的经验。
• Oleg Afonin（Elcomsoft）：
  • 利用用户配置文件进行更智能的密码攻击。
  • GPU加速十八年。
• Michael Karsyan（Event Log Explorer blog）：改进PowerShell中的事件日志过滤。
• Forensic Focus：
  • FTK Imager Pro内幕：厂商中立取证、更智能的AI与Exterro的取证愿景。
  • 数字取证工作汇总，2025年11月24日。
  • Detego Global为数字取证与事件响应团队推出专用案件管理平台。
  • 即将举行的网络研讨会 – S21 VisionX发布。
  • Techno安全与数字取证会议西海岸总结。
  • Oxygen审查中心：审查数字证据更快、更智能的方式。
  • 数字取证汇总，2025年11月26日。
  • 暴力破解之旅：从GPU主导到CPU主力再回归。
  • Oxygen Forensic KeyScout有何酷炫之处？
  • 完全访问、免费培训、大幅优惠：Semantics 21揭示黑色星期五套餐。
  • Forensic Focus文摘，2025年11月28日。
  • Atola在TaskForce 2025.11中引入ZFS和LDAP支持。
• GreyNoise：您的IP地址可能是别人的问题（以及如何发现）。
• Howard Oakley（The Eclectic Light Company）：统一日志内部第8部分：查找错误。
• Doug Metz（Magnet Forensics）：连接网络安全与取证：为何DFIR应融入现代SOC。
• Siddhant Mishra：让您的SOC走出混乱区。
• Studio d’Informatica Forense：
  • 为Le Iene进行USB闪存盘与Word元数据取证分析。
  • 与Le Iene一起追踪黑客跟踪者Noemi的踪迹。

软件更新

• Sergiy Pasyuta（Atola）：TaskForce 2025.11更新：ZFS支持 + LDAP身份验证。
• Ahmed K. Ali：Seshat EVTX分析器。
• Amped：Amped Replay更新39248：进入辅助视频编辑领域！
• Cwrw：CommandHunter。
• Digital Sleuth：winfor-salt v2025.14.7。
• hasherezade：tiny_tracer 3.2。
• IsoBuster：IsoBuster 5.7发布。
• MISP：MISP v2.5.27 – 附带新功能与各种修复发布。
• OpenCTI：6.8.14。
• Passmark Software：OSForensics V11.1 build 1013，2025年11月25日。
• radare2：6.0.7。
• Sigmar：2025-12-01。
• SigmaHQ：pySigma v1.0.1。
• Tsurugi Linux：2025年11月24日（版本 25.11）。
• XingTuLab：Recopilot 0.2。