数字取证与事件响应（DFIR）及网络安全威胁情报速览：2025年第45周

本周要点：Salesloft-Drift 泄露事件剖析

在本期内容中，Permiso的首席技术官将深入探讨：

攻击者如何利用窃取的 OAuth 令牌，实现从 GitHub 到 AWS，再到 Salesforce 的横向移动。
为何此次“全自动化”攻击为 SaaS 供应链和非人类身份（NHI）安全敲响了警钟。
在您自身环境中检测与遏制类似威胁的实用步骤。 观看视频播客 | 由 Permiso 赞助

一如既往，感谢所有支持者们的回馈！

取证分析

Akash Patel：精通云存储取证：Google Drive、OneDrive、Dropbox 和 Box 的调查技术。
每位取证调查员都应了解这些常见的反取证擦除器。
使用 Bulk Extractor 挖掘隐藏证据：记录恢复的力量。
Andrew Malec：LUKS、hashcat 与隐藏卷。
Christian Peter：“过去、现在与未来可能发生之事——ALEX 现已发布！”
Christopher Eng @ Ogmini：BelkaGPT – DFIR 中有效的人工智能应用 | 使用开源工具。
试用 ALEX – Android 逻辑提取器。
SANS 假日黑客挑战 2025 – 进展。
检查移动热点 – Orbic Speed RC400L。
Oleg Afonin @ Elcomsoft：探索 iPadOS、tvOS 和 audioOS 17 及 18 设备：文件系统与钥匙串提取。
Forensafe：Android 应用使用历史。
Iram Jack：取证镜像 | Autopsy | 磁盘过滤 | ExfilNode。
Mattia Epifani @ Zena Forensics：超越已知：关于三星安卓设备取证研究的呼吁。
Tasos Chatziefstratiou：IIS 用户访问日志 (UAL)。
Dante Fazio @ The Metadata Perspective：元数据的重要性：法庭上的原始相机照片与截图对比。

威胁情报/狩猎

❀✵Gootloader Details ✵❀：Gootloader 卷土重来。
Adam @ Hexacorn：cliconfg.exe 的一个鲜为人知的秘密。
Charlie Eriksen @ Aikido：隐形 Unicode 恶意软件再次攻击 OpenVSX。
Christine Barry @ Barracuda：Nitrogen 勒索软件：从阶段性加载器到全面勒索。
Victor Vrabie @ Bitdefender：Curly COMrades：通过隐藏的 Hyper-V 虚拟机实现规避与持久化。
Brian Krebs @ ‘Krebs on Security’：据称的 Jabber Zeus 编码者 ‘MrICQ’ 在美国被拘留。
Cloudflare 从顶级域名列表中清除了 Aisuru 僵尸网络。
Campaign and public sector information security：危险的 PDF 程序。
CERT-AGID：
- 针对意大利银行的钓鱼活动正在进行中。
- 针对 AdE 的钓鱼：虚假的“加密货币税务申报”。
- 11月1日至7日恶意活动摘要。
- 在意大利通过 GLS 主题的 ClickFix 活动传播的 Remcos RAT 分析。
Check Point：
- 11月3日 – 威胁情报报告。
- 速度制胜 XLoader：生成式 AI 作为逆向工程的倍增器。
- 利用 Microsoft Teams：揭露冒充与欺骗漏洞。
Max Gannon @ Cofense：国际威胁 – 区域钓鱼活动中使用的感染 URL。
David Burkett @ Corelight：使用 PEAK 框架揭露 Salt Typhoon。
Crowdstrike：CrowdStrike 2025 年欧洲威胁态势报告：勒索加剧，国家活动激增。
Cyberbit：Scattered Spider、LAPSUS$ 和 ShinyHunters 联合，混乱的网络犯罪合并。
Cyfirma：每周情报报告 – 2025年11月7日。
Darktrace：追踪恶龙：使用 Darktrace 调查 DragonForce 相关的勒索软件攻击。
Tesnim Hamdouni, Ian Kretz, and Sebastian Obregoso @ Datadog Security Labs：MUT-4831：被植入后门的 npm 包传播 Vidar 信息窃取恶意软件。
DebugPrivilege：
- 您上次为域控制器打补丁是什么时候？
- 从供应商到 ESC1。
Burak Karaduman @ Detect FYI：从 Sigma 到 Splunk 规则（或任何平台）的智能检测创建。
Disconinja：每周威胁基础设施调查（第44周）。
Erik Hjelmvik @ Netresec：优化 IOC 保留时间。
FalconFeeds：
- 全球信用卡盗刷生态系统：现代金融欺诈与地下基础设施威胁情报概览（2024-2025展望）。
- 泄露迷雾：虚假数据泄露声明和模仿者如何混淆归因。
- 恶意软件多语言：语言线索如何揭示威胁组织的起源与目标。
- 无形战争：APT 组织如何在不引起关注的情况下运作。
- 网络犯罪集团的崛起：我们是否正步入有组织数字犯罪的新时代？
- 规避技术的顶峰：分析窃密恶意软件即服务的去中心化、AI 与恶意演进（2025年10月）。
- 网络犯罪剧本：威胁行为者如何相互学习——TTP 融合与 CTI 溯源分析。
- 当恶意软件成为营销：勒索组织如何利用公关进行恐吓。
- 对全球贸易的混合威胁：针对港口与海运路线的网络攻击激增。
- 全球数字前线：政府网络事件分析，2024年10月–2025年9月。
Flashpoint：LockBit 5.0 分析：对勒索软件即服务巨头最新升级的技术深入探讨。
g0njxa：接触窃密软件开发者的尝试：与 AURA 的简短访谈。
Google Cloud Threat Intelligence：
- 为即将到来的威胁做准备：2026年网络安全预测。
- GTIG AI 威胁追踪器：威胁行为者使用 AI 工具的进展。
GreyNoise：PHP 加密挖矿活动：2025年10月/11月。
Group-IB：/proc 中的幽灵：操作与时间线破坏。
HackTheBox：
- BianLian 的静默入侵：1个漏洞如何击穿日本制铁的供应链。
- Brickstorm 泄露事件：UNC5221 为期12个月间谍活动的剖析。
- 逃离 Scattered Spider 的网络：我们深入研究的6个要点。
Hudson Rock：日经新闻被入侵：信息窃取者感染导致可访问超过1.7万名员工的 Slack 聊天记录。
Anna Pham @ Huntress：Gootloader | 威胁检测概览。
Jeffrey Bellny @ CatchingPhish：通过钓鱼模拟工具进行的钓鱼。
Yuma Masubuchi @ JPCERT/CC：威胁组织 APT-C-60 攻击活动更新。
Kevin Beaumont @ DoublePulsar：CyberSlop – 认识新的威胁行为者，MIT 与 Safe Security。
Kostas：DetectionStream：Sigma 培训平台介绍。
Kroll：Kroll 对话：认识 DFIR 专家。
LevelBlue：
- SpiderLabs 勒索软件追踪器 2025年10月更新：Qlin 加强攻击。
- 剖析与理解 APT 威胁组织的活动。
Natto Thoughts：一位研究员来敲门，给中国上了一课：如何管理漏洞（以及研究员）。
Oleg Skulkin @ ‘Know Your Adversary’：
- 第306期. 对手修改注册表以启用远程调试。
- 第307期. 追查 Tar 滥用。
- 第308期. 对手滥用 OpenAI Assistants API。
- 第309期. 对手使用隐藏的 Hyper-V 虚拟机。
- 第310期. 对手持续滥用不常见的 RMM。
- 第311期. 追查 MSBuild 滥用。
- 第312期. 追查 Certutil 滥用。
- 第313期. 真实对手如何滥用 PowerShell 进行发现。
Picus Security：
- 剖析 ValleyRAT：从加载器到 RAT 执行的目标性活动。
- UNC6384 的 2025 年 PlugX 活动详解。
- Gossamer Bear APT：Windows 端点活动详解。
- Prophet Spider 威胁行为者详解。
- 多平台 VanHelsing 勒索软件 (RaaS) 分析。
Proofpoint：
- 远程访问，真实货物：针对卡车运输与物流的网络犯罪分子。
- 错综复杂：伊朗间谍活动与归因案例研究。
Dan Green @ Push Security：迄今为止最先进的 ClickFix？
Qi An Xin Threat Intelligence Center：南十字星行动：针对国产手机的 0day 间谍活动。
Recorded Future：
- 使用实时数据进行勒索软件检测。
- 恶意基础设施在 aurologic GmbH 找到稳定性。
Susannah Clark Matt @ Red Canary：防御者钓鱼指南。
Vladimir Pezo @ ReversingLabs：PowerShell Gallery 如何简化攻击。
Rohan Karnkoti：中间代码：IR 简介。
SANS Internet Storm Center：
- 针对端口 8530/8531 (TCP) 的扫描。可能与 WSUS 漏洞 CVE-2025-59287 有关。
- XWiki SolrSearch 漏洞利用尝试 (CVE-2025-24893) 与芝加哥帮派/说唱歌手链接。
- Domainname API 更新。
- 二进制线索：使用 PowerShell 关联恶意软件样本与蜜罐日志 [访客日记]。
- 蜜罐：针对（代码）仓库的请求。
John Tuckner @ Secure Annex：RansomVibing 出现在 VS Code 扩展中。
Security Alliance：从朝鲜 IT 工作者到 IT 招聘人员。
Sekoia：针对 Booking.com 酒店和客户的“我付了两次款”钓鱼活动。
Subhajeet Singha @ Seqrite：躲猫猫行动：Silent Lynx APT 迟缓转向杜尚别。
Shantaciak：构建逻辑。
Sky Blueteam：分析 sudo CVE-2025-32463 的不安全 chroot 行为。
SOCRadar：Bulwark：解包重新定义恶意软件规避的打包器。
Ross McKerchar, Rafe Pilling, Sarah Kern, Angela Gunn, Jane Adams, Mindi McDowell, and Ryan Westman @ Sophos：检测欺诈性的朝鲜雇佣者：CISO 行动手册。
Symantec Enterprise：与中国相关的行为者持续关注影响美国政策的组织。
System Weakness：
- 窥探恶意软件工具箱：REMnux 简介。
- 勒索软件101：这些数字劫匪如何运作以及为何备份是您的最佳盾牌。
- 从告警到行动：SOC 分析师的 Elastic 告警分诊指南。
- 使用 Elastic 进行告警分诊 – TryHackMe。
- 入侵与否：恶意软件的不祥之兆。
- [ SOC 告警 => Lumma 窃密者 – 通过点击修复钓鱼进行 DLL 侧加载 ] by LetsDefend / EventID…
- 从噪音到信号：SOC 分析师在 Splunk 中的告警分诊指南。
Ryan G. Cox @ The Cybersec Café：DataDog 中的检测即代码（第二部分）：我如何测试检测规则。
The Raven File：CLOP 勒索软件：网络剖析。
THOR Collective Dispatch：
- 月度答疑：2025年10月 Logtoberfest 版。
- 超越指标狩猎 – 第2部分。
Jack Wigley, Jason Trapp and Trevor Tucker @ Triskele Labs：威胁行为者使用 Python 窃取您的收件箱。
Trustwave SpiderLabs：
- Scattered LAPSUS$ Hunters：一个联合网络犯罪品牌剖析。
- 猫出袋了：通过 MAD-CAT 模拟的‘喵喵攻击’数据破坏活动。
Ugur Koc and Bert-Jan Pals @ Kusto Insights：Kusto Insights – 2025年10月更新。
Kenneth Kinion @ Valdin：使用 Validin 查找相关的虚假“DMCA 下架”域名。
Alexandra Martin @ VirusTotal：十一月是搜索月：通过 #MonthOfVTSearch 探索、学习与分享。
VMRay：如何将 Defender & Sentinel 告警转化为可操作的威胁情报。
WeLiveSecurity：
- 共享即恐吓：您没察觉到的 WhatsApp 屏幕共享诈骗。
- ESET APT 活动报告 2025年第二季度–第三季度。
Блог Solar 4RAYS：俄罗斯的 Erudite Mogwai 钓鱼活动。
Palo Alto Networks：
- 知彼先知己：以资产管理为代价的威胁情报。
- LANDFALL：针对三星设备的漏洞链中的新型商用级 Android 间谍软件。

即将举行的活动

Black Hills Information Security：Talkin’ Bout [infosec] News 2025-11-10。
Cqure Academy：直播网络研讨会 检测与防御威胁的十大技术。
Cybersecurity Mentors Podcast：Inside Mandiant：Charles Carmakal 谈全球网络战前线 | CMP 第5季第5集。
Huntress：现场入侵 Microsoft 365 with Kyle Hanslovan。
Huntress：技巧星期二 | 最黑暗的捕获：回顾（与展望）钓鱼策略。
Magnet Forensics：AI 拆解 #6：您想知道的一切——以及无所畏惧地提问。
Spur：The Spur Relay — 2025年第四季度：新代理威胁、SDK 滥用与检测。

演示文稿/播客

Hexordia：数据真相：EP17：数字取证角色的演变：未来的数字侦探。
Adversary Universe Podcast：勒索加剧与国家活动激增：CrowdStrike 2025 年欧洲威胁态势报告。
Anuj Soni：正确搭建您的恶意软件分析实验室。
Behind the Binary by Google Cloud Security：EP18 一万个 DLL 与太多数学——与 FLARE 团队一起总结 FLARE-On 12。
Cellebrite：技巧星期二：2025 CTF 圆满结束。
Chainalysis：FBI 的买凶杀人加密货币调查：播客第173集。
Cloud Security Podcast by Google：EP250 “收集一切”的终结？从集中化转向数据访问？
Compass Security：Windows 访问令牌 – 从身份验证到利用。
Endace：数据包取证档案，第64集，与 Steve Fink 探讨构建有效且弹性的 SOC。
Flare：身份攻击：剖析 2025 年微软数字防御报告。
John Hammond：
- Windows 批处理恶意软件分析！
- 虚假 DMCA 恶意软件骗局。
Logzio：使用 Logz.io 调查 SIEM 事件。
Magnet Forensics：
- 法律拆解 E2：超越应用图标：起草反映数据真实存储方式的移动设备搜查令。
- 更智能的移动调查：当今取证服务提供商工具。
Microsoft Threat Intelligence Podcast：超越 AI for Security 炒作：网络防御中真正重要的是什么。
MITRE：ATT&CKcon 6.0。
Monolith Forensics：在 Monolith 中为用户分配案件。
MSAB：#MSABMonday – XAMN Pro 导出选项。
MyDFIR：
- 真实的 SOC 分析师调查 | 电子邮件钓鱼 | MYDFIR SOC 社区。
- 从教师到网络安全：Nigel 如何转向 SOC 职业。
OALabs：IDA Free 逆向工程 – 分步 EXE 分析。
Paraben Corporation：
- 将 Passware 设备解锁导入 E3。
- 在 E3 中捕获和审查 Steam 数据。
- Zandra AI 处理内存转储数据。
Parsing the Truth: One Byte at a Time：数字取证 25 年的动荡。
Permiso Security：
- Permiso 的 AI 安全能力概述 – 识别 AI 用户、构建者和代理。
- Permiso 如何识别 AI 暴露。
- 为任何身份识别 AI 用户、构建者和代理。
- Permiso 如何为作为 AI 用户、构建者和代理的身份创建徽章。
Proofpoint：选举更多黑客：现实世界变革的技术技能。
Richard Bejtlich @ TaoSecurity：我正在主持一个新的播客。
Sandfly Security：Linux 隐形 Rootkit 狩猎视频演示。
SANS：现代威胁如何重新定义防御规则 with Paul Chichester。
Security Onion：Security Onion Conference 2025 录像现已可用！
SentinelOne：LABScon25 回放 | 现网中的 LLM 赋能恶意软件。
Studio d’Informatica Forense：罗马 MSAB 的网络取证与数字调查研讨会。
Sumuri：
- TALINO 谈话第18集。
- 如何为 2025 年 SUMURI Gives Back 提名执法机构。
THE Security Insights Show：THE Security Insights Show 第279集：Security Copilot 更新。
The Weekly Purple Team：CVE-2025-59287：针对严重 WSUS RCE 漏洞的紫队演练。
Uriel Kosayev：只适合认真的人 – MAoS – 加强版恶意软件分析。

恶意软件

ASEC：百发百中的矛：Cephalus 勒索软件分析。
Kacper Ratajczak @ CERT Polska：NGate 恶意软件活动（NFC 中继）分析。
Cybereason：Tycoon 2FA 钓鱼工具包分析。
Dr. Web：Cavalry Werewolf 黑客组织攻击俄罗斯国家机构。
Microsoft Security：
- SesameOp：使用 OpenAI Assistants API 进行命令与控制的新型后门。
- Whisper Leak：针对远程语言模型的新型旁道攻击。
Ovi Liber：新型 Kimsuky 恶意软件“EndClient RAT”：首次技术报告与 IOC。
Pulsedive：剖析感染链：Kimsuky JavaScript 释放器的技术分析。
Shikha Sangwan @ Securonix：CHAMELEON#NET：利用反射加载和自定义解密实现隐蔽操作的多阶段 .NET 恶意软件深度剖析。
Shubho57：Ares RAT (elf 文件) 分析。
Kush Pandya @ Socket：9 个恶意 NuGet 包传递延时破坏性载荷。
Ben Martin @ Sucuri：Slot Gacor：在线赌场垃圾邮件的兴起。
Quentin Roland @ Synacktiv：看不见的站点：枚举与攻击 Active Directory 站点。
Bernardo.Quintero @ VirusTotal：大规模逆向：针对 Apple 二进制文件的 AI 驱动的恶意软件检测。
István Márton @ Wordfence：Post SMTP WordPress 插件中的账户接管漏洞影响 400,000 个 WordPress 网站。
Zhassulan Zhussupov：恶意软件开发技巧 54：通过合法的 Angelcam API 窃取数据。简单的 C 语言示例。
Will Seaton, Viral Gandhi, Himanshu Sharma, and Yesenia Barajas @ Zscaler：行业攻击激增，移动恶意软件蔓延：ThreatLabz 2025 年移动、物联网与 OT 报告。
Шифровальщики-вымогатели The Digest “Crypto-Ransomware”：Monkey。

杂项

Ahmed K. Ali：使用 CH341A 编程器提取和刷写硬盘 PCB 固件。
Belkasoft：使用 Belkasoft X 生成 DFIR 报告。
Brett Shavers：撕下 DF/IR 的创可贴。
Cellebrite：AI 优势：自信地管理调查。
Decrypting a Defense：城市开始弃用 Flock，NYPD 摄像头诉讼，CSAM 与私人搜查原则，证人社交媒体 OSINT 入门等。
Josibel Mendoza @ DFIR Dominican：DFIR 职位更新 – 2025年11月3日。
DomainTools Investigations：长城之内第二部分：技术基础设施。
Forensic Focus：
- 导航数字调查的下一个时代：思想领导力视角。
- GMDSOFT MD-Series 第三季度发布说明亮点。
- Carol Brooks，网络心理学家，Platinum 3P。
- 数字取证综述，2025年11月05日。
- 国家层面的 DFI 福祉：为何亲身经历必须塑造政策。
- Forensic Focus 文摘，2025年11月07日。
HackTheBox：
- 全新的 HTB Academy：为学习者打造，由您的反馈驱动。
- 停止告警过载：如何像真正遭受攻击一样进行训练。
Howard Oakley @ ‘The Eclectic Light Company’：统一日志内部第7部分：Claude 诊断日志。
Kevin Pagano @ Stark 4N6：取证 StartMe 更新（2025年11月）。
Oxygen Forensics：解锁远程数据收集的实际投资回报率。
Security Onion：Security Onion 文档印刷书籍现已更新至 Security Onion 2.4.190！
Cameron Paddy @ Triskele Labs：独立网络调查的必要性。
Vxdb：地下 Minecraft 账户市场。

软件更新

Airbus Cybersecurity：IRIS-Web v2.4.24。
Brian Maloney：OneDrive 更新。
Didier Stevens：更新：cs-parse-traffic.py 版本 0.0.6。
Digital Sleuth：winfor-salt v2025.13.3。
Doug Metz @ Baker Street Forensics：CyberPipe v5.3：增强的 PowerShell 兼容性与可靠性。
Elcomsoft：iOS Forensic Toolkit 8.81 新增对 iOS 17 和 18 的 checkm8 提取支持。
Microsoft：msticpy – 针对 API 更改的 Defender 数据提供程序更新。
MISP：MISP v2.5.24 – 安全与稳定性更新。
MobilEdit：新版本：MOBILedit Forensic 9.7 — Exynos 绕过、多用户 Android 分析等更多功能！
Phil Harvey：ExifTool 13.41。
Xways：
- Viewer Component。
- X-Ways Forensics 21.5 SR-10。
- X-Ways Forensics 21.6 SR-2。
- X-Ways Forensics 21.7 Preview 2。

本周内容就是这些！如果您认为我遗漏了什么，或者希望我专门报道某些内容，请通过联系页面或社交渠道联系我！ 使用折扣码 thisweekin4n6 在 Cyber5w 的任何课程享受 85 折。使用代码 PM15 或点击此链接在 Hexordia 的下次课程享受 85 折。与我一起上课！