数字取证与事件响应每周资讯盘点:安全威胁、恶意软件分析与技术工具更新

本文汇总了2025年第49周数字取证与事件响应领域的动态,涵盖了勒索软件、供应链攻击、漏洞利用、恶意软件分析报告,以及相关取证工具与软件的更新信息。

赞助内容

Salesloft-Drift 入侵内幕:对SaaS与身份安全的意义 本次会议中,Permiso公司的CTO将涵盖:

  • 攻击者如何利用窃取的OAuth令牌从GitHub转移到AWS,再进入Salesforce。
  • 为何这次“全自动”攻击为SaaS供应链和NHI敲响了警钟。
  • 在您的环境中检测和遏制类似威胁的实用步骤。 观看视频播客(由Permiso赞助)。

取证分析

  • Brian Maloney: OneDrive 更新
  • Christopher Eng at Ogmin: 尝试 ALEX 2.0 – Rooted Device Support Leads to Pull Request
  • Forensafe: iOS 设备设置
  • Forensic Science International: Digital Investigation: 第55卷
  • Kenneth G Hartman at Lucid Truth Technologies: \Carpenter 判决与数字取证实践中基于IP的调查

威胁情报/狩猎

  • Adam at Hexacorn: mapi32.dll 的一个小秘密;cliconfg.dll 的一个小秘密;sqlsrv32.dll 的一个小秘密
  • Aikido: Shai Hulud 2.0:未知徘徊者告诉我们的攻击者最终目标;GitHub Actions内部的提示注入:供应链攻击的新前沿
  • Amnesty International Security Lab: 抓捕捕食者:泄露暴露 Intellexa 商业间谍软件的内部运作
  • Andrew Skatoff at ‘DFIR TNT’: React2Shell 漏洞利用:高价值检测与威胁狩猎策略
  • ASEC: 2025年勒索软件威胁态势:对韩国企业的影响;通过USB持续分发的CoinMiner恶意软件;UNC5174 组织的 Discord Bot 后门恶意软件;ViperSoftX 攻击者瞄准 Monero
  • CJ Moses at AWS Security: 中国相关网络威胁组织快速利用 React2Shell 漏洞 (CVE-2025-55182)
  • Brad Duncan at Malware Traffic Analysis: 2025-11-23: 针对我网络服务器的十天扫描、探测和网络流量;2025-11-19: 来自电子邮件附件的 XWorm 感染;2025-11-10: 针对我网络服务器的十天扫描、探测和网络流量
  • Brian Krebs at ‘Krebs on Security’: SMS钓鱼者转向积分、税收、虚假零售商;从无人机到文凭:俄罗斯最大的私立大学如何与价值2500万美元的论文工厂关联
  • Censys: 利用 Cobalt Strike 寻找(更多)Cobalt Strike
  • CERT-AGID: 正在进行中的利用政府标志窃取银行数据的网络钓鱼活动;2025年11月29日 – 12月5日恶意活动概要
  • Check Point: 12月1日 – 威胁情报报告
  • CISA/PRC: 国家支持的行为体在公共部门及信息技术系统中使用 BRICKSTORM 恶意软件
  • Fabian Bador at Cloudbrothers: 条件访问绕过
  • Omer Yoachimik and Jorge Pacheco at Cloudflare: Cloudflare 2025年第三季度DDoS威胁报告——包括顶级僵尸网络 Aisuru
  • David Burkett at Corelight: 如何应对 React(.js) 的 React2Shell 并捕获下一个(.js) 重大RCE | Corelight
  • CrowdStrike: 揭开 WARP PANDA 的面纱:一个新的复杂的中国相关对手
  • Cybersec Sentinel: Arkanix 窃密软件从 Discord 转向浏览器会话和企业登录
  • Cyble: 11月勒索软件和供应链攻击接近历史记录;V3G4 僵尸网络的演变:从 DDoS 到隐蔽挖矿
  • Cyfirma: 每周情报报告 – 2025年12月5日
  • Darktrace: Atomic Stealer:Darktrace 对日益增长的 macOS 威胁的调查;简化跨域调查
  • Disconinja: 每周威胁基础设施调查(第48周)
  • Dodge This Security: 为 LOLRMM 框架创建 Sysmon 配置
  • Daniel Schwalbe at DomainTools Investigations: 通讯第11期可能永远无法完成
  • Mandy Andress at Elastic: 应对沙虫蠕虫 2.0:Elastic 对 npm 供应链攻击的更新响应
  • Elastic Security Labs: 使用 Kibana Cases 自动化检测调优请求
  • Brian Sayer at F5 Labs: HashJack 攻击瞄准 AI 浏览器和智能体 AI 系统
  • FalconFeeds: 数字避风港:对管辖豁免与全球网络犯罪生态的地缘政治分析;选举季的CTI剧本:针对黑客行动主义、虚假信息和关键基础设施威胁的主动防御;网络溢出效应:针对性区域攻击如何扰乱全球数字基础设施
  • g0njxa: 接近窃密软件开发者:与 Phexia 的简短访谈
  • Google Cloud Threat Intelligence: 被制裁但仍进行间谍活动:Intellexa 持续的高产零日漏洞利用
  • Noah Stone at GreyNoise: 数月针对 Palo Alto GlobalProtect 的凭据攻击背后的隐藏模式
  • Group-IB: Hook for Gold:深入剖析将应用变成金矿的 GoldFactory 活动
  • HackTheBox: 检测基于 USB 的网络攻击:指南
  • Hudson Rock: 独家查看与史上最大盗窃案相关的北朝鲜APT机器内部;利用信息窃取器情报对威胁行为者去匿名化并暴露其基础设施
  • Huntress: Velociraptor 误用,第二部分:风暴之眼;2025年我们发现的五种可疑网络钓鱼邮件技术
  • Infoblox: DNS 揭露 SSO 攻击中使用的基础设施
  • Matthew Green at InfoGuard Labs: CLRaptor:使用 Velociraptor 狩猎反射程序集
  • Calvin So at Kandji: 调查沙虫:深入剖析 NPM 供应链蠕虫
  • Kevin Beaumont at DoublePulsar: 少量 Notepad++ 用户报告安全问题;网络安全行业对 React 漏洞反应过度,再次恐慌并引火烧身
  • Adam Goss at Kraven Security: 统一杀伤链:实际模拟现代攻击的18阶段框架
  • Idan Cohen at Mitiga: 分散的 Lapsus$ / Shiny Hunters 再次攻击 Salesforce
  • Moonlock: Moonlock 的 2025年 macOS 威胁报告
  • Natto Thoughts: Knownsec:漏洞之王漏掉了自己的三个漏洞
  • Jos Clephas at Nerium: 使用基于主机的遥测技术检测 React 应用中的 RCE 漏洞利用
  • Oleg Skulkin at ‘Know Your Adversary’: 334. 对手使用设备凭据部署隐藏工件;335. 对手滥用 Netlify 进行恶意软件投递;336. 对手继续使用网络钓鱼入侵 Linux 系统;337. 对手禁用即插即用设备;338. 对手更改 Windows 启动文件夹设置以实现持久化;339. 狩猎 MuddyWater 的 UDPGangster;340. 对手修改注册表以禁用两项核心 Windows 安全机制;341. 对手滥用 NSSM 进行服务执行
  • Aenosh Rajora at OSINT Team: 就地取材:将可信工具变成沉默的武器 | 网络法典
  • Picus Security: EDR冻结:使用户模式安全陷入昏迷的攻击;NotDoor 后门分析揭露 APT28 数据窃取;Riddle Spider Avaddon 勒索软件分析与技术概览;EtherHiding:Web3 基础设施如何实现隐蔽的恶意软件分发;React Flight 协议 RCE 漏洞:CVE-2025-55182 和 CVE-2025-66478 详解;LockBit 的回归:全球打击后该组织如何演变
  • Push Security: 分析针对 Google 账户的恶意广告攻击;揭露针对企业广告管理账户的 Calendly 主题网络钓鱼活动
  • Recorded Future: Intellexa 的全球企业网络;成熟度差距:威胁情报的下一个前沿;勒索软件如何影响业务运营、收入和品牌声誉;隐藏的连锁反应:律师事务所泄露如何摧毁的不只是数据
  • SANS Internet Storm Center: [访客日记] 狩猎 SharePoint 内存中的 ToolShell 负载 (12月2日, 周二);尝试绕过 CDN (12月3日, 周三);国家攻击还是被攻破的政府? [访客日记] (12月4日, 周四);AutoIT3 编译脚本投放 Shellcode (12月5日, 周五)
  • John Tuckner at Secure Annex: Glassworm 仍然流行
  • Securelist: 沙虫 2.0,现在带有数据擦除器功能
  • Security Alliance: 公告:虚假 Telegram 支持频道 (Drainers)
  • Sekoia: 法国非政府组织“记者无国界”在近期活动中成为 Calisto 的目标
  • Seqrite: Operation DupeHike:UNG0902 使用 DUPERUNNER 和 AdaptixC2 针对俄罗斯员工
  • SOCRadar: 暗网市场:B1ack’s Stash
  • Rajan Sanhotra at Sophos: 2025年制造业和生产领域的勒索软件态势
  • Ethan Smith at Spur: 什么是住宅代理?
  • Sysdig: 检测 React2Shell:影响 React 服务器组件和 Next.js 的最高严重性 RCE 漏洞
  • System Weakness: PowerShell 键盘记录恶意软件分析 LetsDefend CTF️;脚本背后:追踪一个聪明的忍者窃密软件;[蓝队实验室在线解题] Zeta End (Filefix, rclone, sliver 和 github 附件…);[蓝队实验室在线解题] Rotten Cloud (使用 Splunk 调查混合云基础设施);[蓝队实验室在线解题] The Walking Packets (使用 Arkime 调查网络入侵)
  • Terryn at chocolatecoat4n6: 学习 ADAPT | 分析事件响应中任何证据的框架
  • Nicholas Koken at Todyl: 真实世界中的 BEC:当数百万人期待同一封邮件时
  • Karl Sigler at Trustwave SpiderLabs: Sha1-Hulud:新的 npm GitHub 蠕虫的第二次降临
  • Ugur Koc and Bert-Jan Pals at Kusto Insights: Kusto Insights – 2025年11月更新
  • Matthew Meltzer, Steven Adair, and Tom Lancaster at Volexity: 危险的邀请:俄罗斯威胁行为者冒充欧洲安全事件进行针对性网络钓鱼攻击
  • Shay Berkovich and Rami McCarthy at Wiz: 沙虫 2.0 事后分析:趋势、受害者画像和影响
  • ZephrSec: 利用虚拟机管理程序攻击 – LOLPROX;LOLPROX – 透过防御者的视角

即将举行的活动

  • Black Hills Information Security: 谈论 [信息安全] 新闻 2025-12-08 #infosec #news
  • Magnet Forensics: Magnet 虚拟峰会 2026 注册已开放!AI 解读 #7:Magnet Forensics AI 方法的人文一面
  • Silent Push: 研讨会:拆解节日欺诈 – 狩猎和调查诈骗网站

演示/播客

  • Hexordia: Truth in Data EP19:弥合差距:招募和留住下一代 DFIR 人才
  • Adversary Universe Podcast: 与 CrowdStrike 的 Tillmann Werner 一起解冻网络安全的冷案
  • Black Hills Information Security: 谈论 [信息安全] 新闻 2025-12-01 #infosec #news
  • Cellebrite: Cellebrite + Corellium:与 CEO Tom Hogan 和 CTO Chris Wade 的座谈
  • Erik Pistelli at Cerbero: 内存挑战 10:Mellitus
  • Cyberwox: 网络安全 SOC 分析师使用 Splunk 调查 BlackSun 勒索软件 (TryHackMe Eclipse)
  • InfoSec_Bret: IR – SOC300 – 检测到从右到左覆盖
  • John Hammond: 初级蓝队培训!所以恶意软件现在隐形了是吧 lol
  • Karsten Hahn at Malware Analysis For Hedgehogs: 恶意软件分析 – 通过钩子技术击败 ConfuserEx 反分析
  • LASCON: LASCON 2025
  • Magnet Forensics: 网络揭秘 S2:E5 // 双重时间线的故事;当证据时间至关重要时 – 介绍 Magnet One Mobile Case Stream
  • Microsoft Threat Intelligence Podcast: 电网,一个数字前沿:E-ISAC 论保护电网安全
  • Monolith Forensics: 在 Monolith 中创建任务
  • MSAB: #MSABMonday – XAMN Pro 案例标签
  • MyDFIR: SOC 分析师如何学习 Splunk;从 IT 支持到 SOC 分析师培训 | Apryl 的历程
  • Off By One Security: 无法阻止的 ROP:在 Windows 上利用 ROP 绕过系统 DLL
  • Parsing the Truth: One Byte at a Time: 蘑菇谋杀案 第三部分
  • Richard Davis at 13Cubed: 13Cubed 问答 – 回答您的问题!
  • The Cyber Mentor: 为何基线化有助于事件响应
  • THE Security Insights Show: THE Security Insights Show 第281集:Jingle Hack ’25:书架上的小精灵(监视您的 Wi-Fi)
  • The Weekly Purple Team: 2025年你能让 Cobalt Strike 绕过 EDR/XDR 吗?
  • Three Buddy Problem: APT组织猛攻 React2Shell;BRICKSTORM 后门;.gov 监控

恶意软件

  • Any.Run: 威胁覆盖摘要:新的恶意软件报告和 5K+ 检测规则;Salty2FA & Tycoon2FA 混合体:针对企业的新网络钓鱼威胁
  • Barracuda: 威胁聚焦:介绍 GhostFrame,一个新的超级隐蔽的网络钓鱼工具包
  • CISA: BRICKSTORM 后门
  • Deep Instinct: DIANNA 解释 4:Nimbus Manticore—怪物般的恶意软件
  • Dr Josh Stroschein: 缓冲区溢出基础:使用 pattern_create 和 pattern_offset 查找 EIP
  • Fortinet: 针对 Symbiote 和 BPFdoor 恶意软件的新 eBPF 过滤器;UDPGangster 活动瞄准多个国家
  • Banu Ramakrishnan at G Data Software: Arkanix 窃密软件:新发现的短期牟利恶意软件
  • Hunt IO: 恶意 VSCode 扩展通过 Anivia 加载器和 OctoRAT 发起多阶段攻击链
  • Akshay Gaikwad, Shikha Sangwan, and Aaron Beardslee at Securonix: JS#SMUGGLER:多阶段 – 隐藏的 iframe、混淆的 JavaScript、静默重定向器与 NetSupport RAT 投放
  • Shantaciak: 终极每日静态恶意软件分析实践指南
  • Shubho57: 恶意可执行文件分析
  • Socket: 恶意 Rust 包 evm-units 为静默执行提供跨平台载荷;npm 目睹自动生成的“elf-stats”包每两分钟发布一次激增;恶意 Go 包冒充 Google 的 UUID 库并外泄数据;模仿‘Finch’的恶意 Crate 通过隐藏依赖项外泄凭据
  • Sophos: 磨快刀子:GOLD BLADE 的战略演变;深入剖析 Shanya,一个推动现代攻击的打包器即服务
  • Teoderick Contreras at Splunk: 幕后:Castle RAT 客户端恶意软件的技术和战术
  • Sarah Pearl Camiling, Junestherry Dela Cruz, Jacob Santos, Sophia Nilette Robles, Maristel Policarpio, and Raymart Yambot at Trend Micro: ValleyRAT 活动针对求职者,滥用 Foxit PDF Reader 进行 DLL 侧加载
  • Jason Reaves at Walmart: 解码 Brickstorms 的混乱字符串
  • WeLiveSecurity: MuddyWater:河岸边的蛇
  • ZScaler: 沙虫 V2 对 NPM 供应链构成风险;Matanbuchus 3.0 技术分析

杂项

  • Magnet Forensics: Magnet 虚拟峰会 2026 夺旗赛
  • Melissa Lauro at Black Hills Information Security: BHIS SOC 内部:与 Hayden Covington 的对话
  • Cellebrite: Cellebrite 完成对 Corellium 的收购,揭晓行业最先进的 AI 驱动数字调查组合
  • Decrypting a Defense: 信号集团渗透、监控降临日历、纽约市 FOIL 法案通过、旅行时的人脸识别等更多内容
  • Josibel Mendoza at DFIR Dominican: DFIR 职位更新 – 2025/12/01
  • Doug Metz at Baker Street Forensics: 2025 年回顾:开源 DFIR 工具和恶意软件分析项目
  • Forensic Focus: Daren Greener, Managing Director, SYTECH;苦于 CSAM 调查?有更聪明的方法;数字取证综述,2025年12月3日;Oxygen Forensic® Detective v18.1 的新功能;Detego Global 使用 Ballistic Imager 打破取证镜像速度记录;Passware Kit Mobile 2026 v1 解密 Samsung S10 及其他 Exynos 9820/9825 设备;Magnet 虚拟峰会 2026 注册已开放!即将举行的网络研讨会 – 发现深度伪造并停止手动描述 CSAM
  • Kevin Pagano at Stark 4N6: 取证 StartMe 更新(2025年12月)
  • N00b_H@ck3r: INE 的认证威胁狩猎专家 (eCTHP) 认证考试回顾 – 通过 (2025年11月)
  • Patrick Siewert at ‘The Philosophy of DFIR’: 系统中的重大缺陷

软件更新

  • Adam at Hexacorn: DeXRAY v2.36
  • Akhil Dara: Google Drive Forensics Suite
  • Amped: Amped DVRConv 和 Engine 更新 39376
  • Arkime: v5.8.3
  • Binary Ninja: 5.2 Release 2
  • Erik Pistelli at Cerbero: 内存分析包 0.7.6
  • Digital Sleuth: winfor-salt v2025.14.12;WIN-FOR v11.1.0
  • Erik Hjelmvik at Netresec: NetworkMiner 3.1 发布
  • Joshua Hickman at ‘The Binary Hick’: Endtroducing…Lost Apples
  • Manabu Niseki: Mihari v8.3.0
  • OpenCTI: 6.8.15
  • Passware: Passware Kit Mobile 2026 v1 现已可用
  • Phil Harvey: ExifTool 13.43
  • SigmaHQ: pySigma v1.0.2
  • Xways: X-Ways Forensics 21.7 Preview 4

本周内容到此为止!如果您认为我遗漏了什么,或希望我专门报道某些内容,请通过联系页面或社交渠道与我联系!

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次