2025年第42周 – 本周数字取证与事件响应动态

赞助内容

Salesloft-Drift 漏洞剖析：对SaaS与身份安全的意义：在本期节目中，Permiso公司的CTO将探讨： – 攻击者如何利用被盗的OAuth令牌从GitHub转移到AWS再到Salesforce。 – 为何这种“全自动”攻击为SaaS供应链和非人类身份（NHI）敲响了警钟。 – 在您的环境中检测和遏制类似威胁的实用步骤。 观看视频播客 由Permiso赞助

一如既往，感谢那些提供些许支持以回馈社区的朋友们！

取证分析

Adam @ Hexacorn：昔日取证
Akash Patel：
- 远程执行与Kansa——仍然是最被低估的事件响应工具之一
- 日志分析——无关知晓，关乎关联
- 追踪Kerberos与NTLM认证失败及调查
Lucy Carey-Shields @ Amped：使用Amped FIVE的法证视频工作流程 – 第二部分：视频证据分析
Erik Pistelli @ Cerbero：内存挑战3：隐形
Christopher Eng @ Ogmini：
- Gmail应用 – IMAP账户痕迹（消息日志）– 第2部分
- 取证ADB脚本 – adb-pull-stat.py
- BSides NYC 0x05 – 通过开源贡献学习，构建DFIR专业技能
Elcomsoft：
- 提取Apple统一日志
- 速查表：完美采集（32位）
- 有效的磁盘映像：端口、集线器和电源
- 所有USB线缆生而平等，但有些比别的更平等
Elliptic：
- 美国扣押的150亿美元源自伊朗/中国比特币矿工的“盗窃”
- Prince Group因“杀猪盘”操作遭150亿美元加密货币扣押及制裁
Forensafe：解决Magnet虚拟峰会2025 CTF（Windows）
Hussam Shbib @ Cyber Dose：成为更好的侦探 #6 解析Linux内存转储
Ian Whiffin @ DoubleBlak：Safari操作指南
Iram Jack：
- 补充性内存
- Linux内存分析
Matthew Plascencia：Windows取证的奇妙世界
Md. Abdullah Al Mamun：莫斯科黑客暴露的命令历史
OSINT Team：$UsnJrnl：探索NTFS USN日志以追踪文件系统活动
Kirill Magaskin @ Securelist：王权已死，新王万岁！Windows 10终结支持与Windows 11取证痕迹
Studio d’Informatica Forense：为Le Iene节目验证原始或伪造的电子邮件

威胁情报/狩猎

Abdul Mhanni：成为机器，一个虚拟账户的完全控制指南
Faan Rossouw @ Active Countermeasures：威胁狩猎与“假定已失陷”的哲学
Adam @ Hexacorn：
- help.exe的一个鲜为人知的秘密
- nslookup.exe的一个鲜为人知的秘密，第二部分
- wsreset.exe的一个鲜为人知的秘密
ASEC：
- Larva-25010 – 对APT Down威胁组织PC的分析
- 对使用选择性加密算法的Qilin勒索软件的分析
- 2025年第三季度针对Linux SSH服务器的恶意软件统计报告
- 2025年第三季度针对Windows数据库服务器的恶意软件统计报告
AttackIQ：针对Oracle安全警报咨询的响应：Oracle电子商务套件预认证RCE (CVE-2025-61882)
Deerendra Prasad @ Barracuda：威胁聚焦：剖析针对Microsoft 365的新型隐蔽钓鱼工具包
Jade Brown @ Bitdefender：Bitdefender威胁简报 | 2025年10月
Brian Krebs @ ‘Krebs on Security’：
- 2025年10月“Windows 10终结”版补丁星期二
- 电子邮件炸弹利用Zendesk宽松的认证
BushidoToken：从Capita遭受BlackBasta勒索软件攻击中汲取的教训
CERT Ukraine：“对抗俄罗斯破坏小组”：UAC-0239利用OrcaC2框架和FILEMESS窃密程序进行网络攻击 (CERT-UA#17691)
CERT-AGID：
- 针对意大利外国公民的居留许可核查钓鱼攻击
- 针对PagoPA的钓鱼攻击滥用Google开放重定向
- 10月11日至17日恶意活动周总结
Check Point：
- 10月13日 – 威胁情报报告
- Microsoft在2025年第三季度主导钓鱼伪装
CISA：ED 26-01：缓解F5设备中的漏洞
Vanja Svajcer和Michael Kelley @ Cisco’s Talos：BeaverTail和OtterCookie通过新的Javascript模块进化
CloudSEK：透视IRGC关联的APT35行动：第3集 – 恶意软件库与工具集
Cofense：
- 武器化的信任：Microsoft标志作为技术支持诈骗的入口
- “隐私”与“奖品”：来自恶意浏览器扩展的“奖励”
Ash Leslie, Doug Brown, 和 Mitch Datka @ CrowdStrike：Falcon防御Git漏洞CVE-2025-48384
Curated Intelligence：精选情报日记：为CTI研究ASN
Cyfirma：每周情报报告 – 2025年10月10日
Dark Atlas：威胁行为者对ScreenConnect的可疑滥用
Detect FYI：
- 重写剧本 – 以检测驱动的事件响应方法
- 使用KQL查询识别通过RDP会话进行的文件窃取（亡灵节特别版）
- 狩猎WMI事件订阅持久化
- 用于检测工程的关键资产分析
Disconinja：每周威胁基础设施调查（第41周）
DomainTools Investigations：安全零食：窃取仓库 – NPM钓鱼
Dreadnode：LOLMIL：就地取材的模型与推理库
Magdalena Karwat @ EclecticIQ：扩展STIX：自定义对象如何赋能您的智能工作
Paul Asadoorian @ Eclypsium：炸弹外壳：隐藏在Framework设备中的已签名后门
Sai Molige @ Forescout：一年后，Interlock勒索软件持续升级
Pei Han Liao @ Fortinet：追踪恶意软件与攻击扩张：一个黑客组织在亚洲的旅程
Google Cloud Threat Intelligence：
- 朝鲜采用EtherHiding：隐藏在区块链上的国家级恶意软件
- 新组织登场：UNC5142利用EtherHiding分发恶意软件
GreyNoise：GreyNoise近期围绕F5的观察
Group-IB：
- 对抗支付欺诈的新武器：为反欺诈团队提供的独特威胁情报
- 东西方紧张关系：NDR供应商是否监控了错误的流量？
Hunt IO：Odyssey窃密程序和AMOS活动通过虚假工具瞄准macOS开发者
Harlan Carvey 和 Lindsey O’Donnell-Welch @ Huntress：破除勒索软件部署的迷思
Jeffrey Bellny @ CatchingPhish：
- 通过ChatGPT Agent Mode进行数据窃取
- 混淆医院的故事
Kasada：2025年第三季度威胁情报报告
Adam Goss @ Kraven Security：所以你想成为CTI分析师？终极职业指南
Cris Tomboc @ LevelBlue：SocGholish：将应用程序更新变成恼人的感染
Amy Hogan-Burney @ Microsoft Security：勒索和敲诈驱动着超过一半的网络攻击
Oleg Skulkin @ ‘Know Your Adversary’：
- 286. 这就是Astaroth如何滥用GitHub
- 287. 对手滥用Dpaste存储恶意文件
- 288. ClickFix, FileFix… 那又如何？
- 289. 狩猎伪装行为
- 290. 这就是对手如何使用PowerShell进行互斥体检测
- 291. 对手持续滥用Microsoft控制台调试器
- 292. 狩猎PhantomVAI Loader的行为
OSINT Team：映射网络对手：MITRE ATT&CK如何帮助您在攻击发生前预见到它们
Marcelo Ruano @ Outpost24：信用卡盗刷生态：传统金融网络犯罪的衰落
Palo Alto Networks：
- PhantomVAI Loader传递一系列信息窃取程序
- 攻击剖析：全球设备制造商的“BlackSuit闪电战”
- 威胁简报：国家级行为者窃取F5源代码和未公开漏洞
Picus Security：
- 分散的LAPSUS$猎人：2025年最危险的网络犯罪超级组织
- Lazarus组织 (APT38) 详解：时间线、TTPs与主要攻击
Proofpoint：当怪物咬人时：追踪TA585及其武器库
Qi’anxin X Lab：StealthServer：来自南亚APT组织的跨平台后门
Recorded Future：如何缓解供应链攻击
Jesse Griggs @ Red Canary：引人注目：对手如何滥用AI CLI工具
Resecurity：Qilin勒索软件与幽灵防弹主机集团
Rexor：Vc0CTI 黑暗斗篷
SANS Internet Storm Center：
- 注意：对ESAFENET CDG V5的扫描，(10月13日，周一)
- Python信息窃取程序中的剪贴板图片窃取，(10月15日，周三)
- TikTok视频推广恶意软件安装，(10月17日，周五)
- 新的DShield支持Slack，(10月16日，周四)
Securelist：
- 神秘大象：日益增长的威胁
- 特立独行者：滥用WhatsApp进行大规模分发的新型银行木马
- 后期利用框架现在也通过npm分发
Seqrite：
- 针对哥伦比亚用户的司法通知钓鱼 – .SVG附件部署信息窃取恶意软件
- Operation Silk Lure：被武器化的计划任务用于DLL侧载（投放ValleyRAT）
- Operation MotorBeacon：威胁组织使用.NET植入程序瞄准俄罗斯汽车行业
Shantaciak：
- 蓝队停止反应并开始设计之处
- 激发好奇心：检测工程生命周期
Kirill Boychenko @ Socket：131个针对WhatsApp的垃圾邮件扩展程序涌入Chrome网上应用店
Sophos：威胁情报执行报告 – 2025年第5卷
Soumyadeep Basu @ Soumyadeep Basu：检测AWS X-Ray C2滥用
Michael Haag @ Splunk：丢失的有效载荷：MSIX复活
Squiblydoo：DeceptionPro：领先于网络犯罪
Sublime Security：
- 假冒Google Careers的凭证钓鱼骗局，变体无穷
- 假冒知名公司的招聘骗局进行Facebook凭证钓鱼
Gabriel Barbosa @ Sucuri：联系表单垃圾邮件攻击：一项无辜功能导致的大问题
SuspectFile：
- 未曾存在的联盟：对ReliaQuest的2025年第三季度勒索软件报告的批判性分析
- Allardyce Bower Consulting数据泄露：网络安全保险未激活，原因尚不清楚
- 为何Allardyce Bower Consulting的勒索软件保险未按预期生效
Symantec Enterprise：Jewelbug：中国APT组织扩大对俄罗斯的影响范围
Synacktiv：LinkPro：eBPF rootkit分析
System Weakness：
- LetsDefend – SOC模拟器 – 事件ID：44 / 英文版
- CyberTalents数字取证：“Just Smile”题解
- CyberTalents数字取证：“Hack a nice day”题解
- CyberTalents数字取证：“XMEN-Files”题解
THOR Collective Dispatch：
- 实战Sliver BOFs：将Sliver Armory BOFs引入紫队演练
- 协调风险管理与威胁知情防御实践（第一部分）
Maulik Maheta @ Trellix：Active Directory中的无声威胁：AS-REP烘烤如何不留痕迹地窃取密码及Trellix NDR的快速检测
Junestherry Dela Cruz @ Trend Micro：地下世界的转变：Water Kurita（Lumma窃密程序）人肉搜索的影响
Stephen Kowski @ Varonis：收件箱渗透：您忽略的文件类型
Vasilis Orlof @ Cyber Intelligence Insights：
- 映射最新的Lumma基础设施
- 情报投放 #3
Vectra AI：
- Qilin的2025年剧本及其暴露的安全缺口 – Lucie Cardiet
- 从Conti到Black Basta再到DevMan：无休止的勒索软件品牌重塑 – Lucie Cardiet
Rami McCarthy @ Wiz：化解VSCode扩展市场中的关键供应链风险
Darshit Ashara, Pratik Kadam, 和 Michael Wylie @ ZScaler：搜索、点击、窃取：假冒Ivanti VPN客户端站点的隐藏威胁

即将到来的活动

Black Hills Information Security：谈论【信息安全】新闻 2025-10-20 #直播 #信息安全 #新闻
Dragos：CAPTURE THE FLAG 2025
Magnet Forensics：克服工作场所调查中的移动取证挑战
Simply Cyber：从服务台到SOC：KevTech如何在没有认证的情况下进入网络安全领域 | 防御有道 S5 E3
Spur：从平壤到您的SaaS：在Zoom & Slack中发现朝鲜战术

演讲/播客

Adversary Universe Podcast：勒索软件简史
Black Hills Information Security：谈论【信息安全】新闻 2025-10-13 #直播 #信息安全 #信息安全新闻
Brett Shavers：除法官席外的每一个座位
Cellebrite：
- 周二技巧：Cellebrite 2025年秋季版本发布
- 特别周二技巧：注册Cellebrite CTF
- Cellebrite CTF 2025注册现已开放
Amy Ciminnisi @ Cisco’s Talos：Laura Faria：前线上的同理心
Cloud Security Podcast by Google：EP247 不断演变的CISO：从安全警察到云与AI冠军
Cyber from the Frontlines：E18 AI威胁方程：从模型到恶意软件
InfoSec_Bret：SA – SOC235 事件ID：197 (Atlassian Confluence 访问控制破坏0-day CVE-2023-22515)
John Hammond：
- 基于脚本的恶意软件分析！
- 窃取密码
Magnet Forensics：
- 云端还是本地？为何不二者兼得——探索新的Nexus混合代理
- 使用Magnet Graykey Fastrak和Magnet Automate告别移动设备积压和瓶颈
Monolith Forensics：Monolith中的证据详情
MSAB：
- #MSABMonday – XRY 11.2.0中的哈希树构建器更新（选择功能）
- 法证修复第23集
MyDFIR：将您的实验室转化为真实的SOC经验（助您脱颖而出）
Parsing the Truth: One Byte at a Time：关于Pam Hupp和Russ Faria重审的事（第二部分）
Three Buddy Problem：JAGS LABScon 2025主题演讲：迈向网络安全生态的步骤

恶意软件

Any.Run：新恶意软件战术：面向SOC和MSSP的案例与检测技巧
Erik Pistelli @ Cerbero：MSI格式包
Cyble：GhostBat RAT：审视以RTO为主题的Android恶意软件的复苏
Jeroen Beckers @ NVISO Labs：修补Android ARM64库初始化程序以便于Frida插桩和调试
Sekoia：解冻PolarEdge的后门
Shubho57：恶意APK文件分析
Alan Sguigna @ White Knight Labs：Microsoft WinDbg时间旅行调试 vs Intel处理器追踪
Zhassulan Zhussupov：macOS黑客攻击第12部分：针对ARM (M1)的反向Shell。简单汇编 (M1) 示例
بانک اطلاعات تهدیدات بدافزاری پادویش：ShrinkLocker

其他

Anton Chuvakin：SIEM、初创公司与IT惯性的迷思（现实？）：一位转型分析师对2025年SIEM魔力象限的反思
Brett Shavers：当调查迷失在机器中时
Brett Shavers @ DFIR.Training：如果您的案件失败，可能不是工具的错
Josibel Mendoza @ DFIR Dominican：DFIR职位更新 – 2025/10/13
Michael Karsyan @ Event Log Explorer blog：Windows事件日志API错误毁坏了大多数事件日志软件
F-Response：了解您的F-Response版本…
Forensic Focus：
- Oxygen Forensics 发布 Oxygen Remote Explorer v1.9.1
- FMLA诉讼中拒绝第三方手机取证镜像
- 数字取证职位汇总，2025年10月13日
- Matthew Plascencia，数字取证调查员，Exhibit A Cyber
- Passware Kit 2025v4 发布：解锁Transcend便携式SSD
- 数字取证周报，2025年10月15日
- Amped Software推出新的三部分博客系列：基于真实案例的Amped FIVE法证视频工作流程
- Oxygen Forensics培训 – 盒子里的提取 (XiB)
- Detego Global与Raven建立战略合作伙伴关系，通过技术打击儿童剥削
Hornet Security：英国勒索软件支付禁令对您企业的意义
Howard Oakley @ ‘The Eclectic Light Company’：
- 深入统一日志 5：导航
- 深入统一日志 6：艰难时期
Mahmoud Soheem：
- DFiR Galaxy Workstation入门
- DFiR Galaxy Workstation：DFIR调查的瑞士军刀
- DFiR Galaxy Workstation中可用的工具
MISP：MISP性能调优
Oxygen Forensics：
- 为您的数字调查添加最佳可能的翻译
- 如何从ChatGPT提取和解析数据
Ryan G. Cox @ The Cybersec Café：安全事件后如何改善您的安全态势

软件更新

Amped：Amped FIVE 更新 38827：新的过滤器预设、项目快照，以及对Convert DVR、Annotate、Compression Analysis、Advanced File Info等的改进
Belkasoft：Belkasoft X v.2.9的新功能
Cellebrite：2025年秋季版本：进入数字调查和移动网络安全的新前沿
Doug Metz @ Baker Street Forensics：使用CyberPipe 5.2简化数字证据收集
Elcomsoft：iOS Forensic Toolkit 8.80增强逻辑获取，增加对Apple统一日志的支持
F-Response：F-Response 8.7.1.36 现已可用
Logisek：ThreatHunting – Windows事件日志威胁狩猎工具包
Manabu Niseki：Mihari v8.2.1
MISP：MISP 2.5.23发布，增强基准测试，修复多个错误并更新文档
North Loop Consulting：KeyProgrammerParser v4.1
OpenCTI：6.8.6
Passware：Passware Kit 2025 v4 现已可用
Xways：
- X-Ways用户论坛：X-Ways Forensics 21.2 SR-13
- X-Ways用户论坛：X-Ways Forensics 21.3 SR-12
- X-Ways用户论坛：X-Ways Forensics 21.4 SR-8
- X-Ways用户论坛：X-Ways Forensics 21.5 SR-9
- X-Ways用户论坛：X-Ways Forensics 21.6 Beta 7

以上就是本周的全部内容！如果您认为我遗漏了什么，或者希望我特别关注某个内容，请通过联系页面或社交媒体渠道与我联系！

使用代码 PM15 或点击此链接，享受您下一节Hexordia课程的 15% 折扣跟我上一节课！使用折扣码 thisweekin4n6，在Cyber5w的任何课程中享受 15% 的折扣。

分享： 点击分享到 X (在新窗口中打开) X 点击分享到 Facebook (在新窗口中打开) Facebook 点击分享到 LinkedIn (在新窗口中打开) LinkedIn 点击分享到 Pocket (在新窗口中打开) Pocket 更多点击通过电子邮件发送给朋友 (在新窗口中打开) 电子邮件点击打印 (在新窗口中打开) 打印

数字取证与事件响应 (DFIR) 及威胁情报每周动态精选 (2025年第42周)

本周汇总聚焦数字取证与事件响应(DFIR)领域最新技术内容，涵盖内存取证、日志分析、攻击技术剖析、恶意软件逆向、调查工具更新及多个APT组织活动分析，为安全专业人员提供实用的技术洞察与资源。