第39周 – 2025年 – 本周数字取证与安全事件响应摘要

赞助内容

Salesloft-Drift入侵内幕：对SaaS与身份安全的意义 在本期内容中，Permiso公司的首席技术官将探讨： – 攻击者如何利用被盗的OAuth令牌从GitHub移动到AWS再到Salesforce。 – 为何这种“全机器”攻击为SaaS供应链和NHI（非人类身份）敲响了警钟。 – 在您的环境中检测和遏制类似威胁的实用步骤。 观看视频播客（由Permiso赞助）

一如既往，感谢那些给予支持以作回馈的人们！

取证分析

• Christopher Eng (Ogmini)
  • Gmail应用 – IMAP账户附件残留数据
  • Android Pixel 7上数字照片的生命周期 – 第1部分
• Oleg Afonin (Elcomsoft)
  • Apple Face ID：安全影响与潜在漏洞
• Forensafe
  • 调查Android Google Chat
• Yann Malherbe (InfoGuard Labs)
  • 自动化VHDX调查
• Matthew Plascencia
  • 我已经那么老了吗？：iOS 26中的新取证残留数据
• Mattia Epifani (Zena Forensics)
  • 探索Android设备数据提取：您可以访问哪些数据以及如何操作
• Salvation DATA
  • Windows Shellbags详解：它们是什么以及如何在数字取证中提供帮助

威胁情报/狩猎

• Amy Tierney (AppOmni)
  • 将战术、技术与程序（TTPs）映射到SaaS供应链攻击：近期SaaS入侵事件
• AttackIQ
  • RomCom的演变：从后门到网络战
  • 对CISA安全公告（AA25-266A）的回应：CISA分享事件响应参与的经验教训
• Maria Vasilevskaya (Auth0)
  • 检测注册欺诈：使用Auth0日志保护业务的3种方法
• Barracuda
  • Lazarus Group：一个带有旗帜的犯罪集团
  • SOC案例档案：Akira勒索软件将受害者的远程管理工具用于自身攻击
• Brad Duncan (Malware Traffic Analysis)
  • 2025-09-24：Lumma信息窃取程序感染及后续恶意软件（可能是Ghostsocks/Go后门）
• Brian Krebs (‘Krebs on Security’)
  • 联邦调查局将‘Scattered Spider’团伙与1.15亿美元赎金联系起来
• CERT-AGID
  • 2025年9月20日至26日恶意活动总结报告
• Check Point
  • 9月22日 – 威胁情报报告
  • Nimbus Manticore部署针对欧洲的新恶意软件
  • 越位玩法：威胁行为者如何为2026年FIFA热身
• CISA
  • CISA分享事件响应参与的经验教训
  • 影响npm生态系统的广泛供应链入侵
• Cisco Talos
  • 当您联系Cisco Talos事件响应时会发生什么？
  • RainyDay、Turian和新的PlugX变体如何滥用DLL搜索顺序劫持
• CloudSEK
  • 分发RondoDoX和Mirai有效载荷的僵尸网络加载器即服务基础设施
• Kahng An (Cofense)
  • 深入了解越南威胁行为者Lone None的版权删除仿冒活动
• Gary Warner (CyberCrime & Doing Time)
  • 微软DCU对RaccoonO365的打击
• Cyberdom
  • 令牌保护：优点、缺点与假设
• Cyble
  • Cyble蜜罐检测到近二十个漏洞的利用尝试
  • 2025年澳大利亚勒索软件形势：高价值目标吸引勒索软件团伙
• Cyfirma
  • 每周情报报告 – 2025年9月26日
• Damien Lewke
  • 氛围入侵：Anthropic如何使得威胁狩猎变得不可或缺
• Darknet
  • 2025年勒索软件支付 vs. 事件数量上升 – RaaS经济学正在发生什么变化？
• Disconinja
  • 每周威胁基础设施调查（第38周）
• DomainTools Investigations
  • 深入了解Salt Typhoon：中国的国家-企业高级持续性威胁
• Erik Hjelmvik (Netresec)
  • Gh0stKCP协议
• Expel
  • Gonzo威胁狩猎：LapDogs & ShortLeash
• gm0
  • 绅士勒索软件团伙剖析 – 第1部分：背景、动机、附属团伙与归属
• Google Cloud威胁情报团队 (Sarah Yoder, John Wolfram, Ashley Pearson, Doug Bienstock, Josh Madeley, Josh Murchie, Brad Slaybaugh, Matt Lin, Geoff Carstairs, Austin Larsen)
  • 又一场BRICKSTORM：渗透科技和法律领域的隐蔽后门
• Howard Poston (HackTheBox)
  • 警惕Cozy Bear：剖析APT29经过混淆的JavaScript水坑攻击活动
• Hunt IO
  • 狩猎C2面板：识别命令与控制仪表盘的初学者指南
• Huntress
  • 2025年数据泄露的平均成本是多少？ | Huntress
  • 一个越南威胁行为者从PXA信息窃取程序转向PureRAT的转变
• InfoSec Write-ups
  • 自动化勒索软件情报：利用ransomware.live供稿
  • Linux威胁检测 1
• Adam Goss (Kraven Security)
  • 从日志到线索：对Brutus Sherlock的实际网络调查
• Microsoft Security
  • AI vs. AI：检测经过AI混淆的网络钓鱼活动
  • 零售业面临风险：一个警报如何揭示了一个持续的网络威胁
  • XCSSET再次进化：分析XCSSET库存的最新更新
• Natto Thoughts
  • Salt Typhoon究竟是谁？解开归因难题
• Ben Lister (NetSPI)
  • 网络研讨会回顾：关于勒索软件您不希望知道但必须了解的一切
• NVISO Labs
  • 检测工程：实践Detection-as-Code – 部署 – 第6部分
  • 保护Microsoft Entra ID：来自一线的经验教训 – 第1部分
• Oleg Skulkin (‘Know Your Adversary’)
  • 264. 狩猎SnakeDisk
  • 265. 狩猎Akira用于渗漏的另一个合法工具
  • 266. 狩猎PteroGraphin
  • 268. 狩猎COLDRIVER
  • 267. 狩猎PteroEffigy
  • 269. 对手就是这样滥用Winlogon功能的
  • 270. 狩猎Shai-Hulud
• Outpost24
  • zerodayx1：黑客组织转向勒索软件行动
  • Olymp Loader：一个用汇编语言编写的新恶意软件即服务
• Dena De Angelo (Palo Alto Networks)
  • 勒索软件速度危机
• Aditya Vats (Permiso)
  • 重新思考AI安全：每次交互都与身份有关
• Promon
  • 应用威胁报告 2025年第二季度：金融应用中的传统恶意软件与新兴AI威胁
• Pulsedive
  • NPM入侵：Shai-Hulud供应链攻击的愤怒
• Raymond Roethof
  • Microsoft Defender for Identity推荐操作：移除具有DCSync权限的非管理员账户
• Recorded Future
  • RedNovember瞄准政府、国防和科技组织
• Red Canary
  • 节点问题：追踪近期的npm软件包入侵
  • 双重间谍：对手如何滥用商业AI产品中的“代理模式”
  • 在AI时代重新定义事件响应
  • 情报洞察：2025年9月
• Ian Briley (Red Siege Information Security)
  • 威胁检测简化：Splunk攻击范围基础知识
• Resecurity
  • 混乱三人组：LAPSUS$、ShinyHunters和Scattered Spider联盟开启全球网络犯罪狂欢
• SANS互联网风暴中心
  • 求助：这些奇怪的请求是什么？(Sun, Sep 21st)
  • [访客日记] 为了乐趣和利益而分散分析师的注意力 (Tue, Sep 23rd)
  • 针对旧版海康威视摄像机漏洞的利用尝试 (Wed, Sep 24th)
  • 隐藏在.well-known目录中的Webshell (Thu, Sep 25th)
  • 新工具：convert-ts-bash-history.py (Fri, Sep 26th)
• Securityinbits
  • 使用MinusOne反混淆PowerShell
  • 通过comsvcs.dll进行LSASS转储：Defender检测指南
• Silent Push
  • Silent Push分析针对2025年摩尔多瓦选举的新虚假宣传活动，该活动与莫斯科遗留影响力行动有关
  • Silent Push审视动态DNS提供商的阴暗面
• Alex Hegyi and Vince Zell (Stairwell)
  • 如何使用YARA检测NPM包管理器供应链攻击
• Sublime Security
  • App Store和TestFlight中用于网络钓鱼Meta广告账户的假Meta Ads Manager应用
  • 不仅仅是“看似合理的废话”：对我们安全编码代理ADÉ的严格评估
• System Weakness
  • 工具 vs. 检测 – 防御者如何发现您最爱的黑客工具
  • Linux威胁检测 1：SOC分析师与取证学习者的TryHackMe演练
• The Raven File
  • GUNRA RANSOMWARE：您所不知道的！
• THOR Collective Dispatch
  • 基线盛宴：您应该做的十项基线狩猎（以及如何操作）
  • Dispatch简报：2025年9月
• Trellix
  • 揭露隐藏威胁：发现DPRK IT工作者攻击活动
  • 当AD被入侵时：使用Trellix NDR检测NTDS.dit转储和渗漏
  • npm账户劫持和供应链攻击的兴起
• Fernando Tucci (Trend Micro)
  • 这就是您的LLM被入侵的方式
• Simon Biggs (Varonis)
  • 我的密钥在哪里？！勒索软件团伙窃取AWS密钥以推进攻击
• Wiz
  • IMDS被滥用：通过狩猎罕见行为来发现利用
  • 恶意软件调用AI的新兴用途

即将举行的活动

• Black Hills Information Security
  • Talkin’ Bout [infosec] News 2025-09-29 #直播 #信息安全 #信息安全新闻
• Cellebrite
  • 2025年秋季发布：透过亚太地区视角
• Magnet Forensics
  • Legal Unpacked E1：数字证据的搜查令：数据驱动的方法
• Yuri Gubanov (Belkasoft)
  • BelkaGPT & BelkaGPT Hub：真正适用于DFIR的AI

演讲/播客

• Belkasoft
  • 时间谎言：利用伪造时间戳检测恶意软件 | Vedant Narayan
• Black Hat
  • Tinker Tailor LLM Spy：调查和响应针对GenAI聊天机器人的攻击
  • Think Inside the Box：Windows沙盒在针对性攻击中的野外滥用
  • Operation BlackEcho：使用假金融和疫苗应用进行的语音钓鱼攻击
• Cellebrite
  • 星期二技巧：添加证据
• Google云安全播客
  • EP244 SOAPA的未来：Jon Oltsik谈平台整合与最佳单点解决方案在智能体AI时代的对比
• Cyber from the Frontlines
  • E17 利用情感进行浪漫诈骗
• Huntress
  • 什么是商业邮件入侵（BEC）以及黑客如何利用它？
• InfoSec_Bret
  • SA – SOC246 事件ID：208 – 检测到强制身份验证
• John Hammond
  • ServiceUI.exe
  • 暗网泄露网站
• Magnet Forensics
  • 介绍新的Magnet Nexus混合收集代理
  • Mobile Unpacked S3:E9 // 这就是我所说的iOS：26
• Matthew Plascencia
  • Wireshark显示过滤器 | Wireshark 4
• Microsoft威胁情报播客
  • 利用AI阻止域名冒充
• Monolith Forensics
  • Monolith中的证据链操作
• MSAB
  • #MSABMonday 子集GUID
• MyDFIR
  • 如何设置和安装T-Pot蜜罐（更新版）
  • 网络安全SOC分析师实验室 – 邮件分析（PhishStrike）
• Off By One Security
  • 使用SHAREM Shellcode分析框架处理Shellcode
  • Windows栈溢出利用入门
• Parsing the Truth: One Byte at a Time
  • Elsbeth对抗AI
• Proofpoint
  • 辣酱和辣评：一个“Only Malware in the Building”特别节目
• The Weekly Purple Team
  • 利用WSASS绕过PPL并转储凭据
• Three Buddy Problem
  • LABScon现场：Aurora Johnson和Trevor Hilligoss谈中国的“网络厕所”
  • LABScon现场：Lindsay Freeman追踪瓦格纳集团的战争罪行
  • LABScon现场：Visi Stark分享创建APT1报告的记忆
  • Cisco防火墙零日漏洞和野外bootkit

恶意软件

• Any.Run
  • 打击电信网络攻击：调查针对英国公司的活动
• ASEC
  • 通过Windows快捷方式（LNK）绕过Mark of the Web（MoTW）：LNK Stomping技术
• Darktrace
  • ShadowV2：一个新兴的按需DDoS僵尸网络
• Dr Josh Stroschein
  • PRINTF在哪里？使用遗留库文件与NASM链接
  • 在Windows中链接C和NASM的目标文件
  • 汇编短片 – 创建FOR循环
• Paul Asadoorian (Eclypsium)
  • HybridPetya勒索软件表明为什么固件安全不能是马后炮
• Esentire
  • 风暴之眼：分析DarkCloud的最新功能
• Yurren Wan (Fortinet)
  • SVG钓鱼攻击乌克兰，使用Amatera信息窃取程序和PureMiner
• G Data Software
  • BlockBlasters：被感染的Steam游戏下载伪装成补丁的恶意软件
• Intrinsec
  • 分析Acreed，一个正在兴起的信息窃取程序
• Priyadharshini (K7 Labs)
  • 从LNK到RAT：深入探究LNK恶意软件感染链
• Kyle Cucci (SecurityLiterate)
  • 沙盒中的大象：分析DBatLoader的沙盒规避技术
• Pieter Arntz (Malwarebytes)
  • 新的基于SVG的网络钓鱼活动是一场灾难的配方
• Ghanashyam Satpathy and Xinjun Zhang (Netskope)
  • 超越签名：使用支持ML的沙盒检测Lumma信息窃取程序
• OSINT Team
  • 恶意软件分析：HTB Sherlocks 实验报告 - Loggy
  • Python开发者注意：这些看似无害的PyPI软件包会通过致命的RAT秘密劫持您的系统！
  • 恶意软件分析 – 入门和工具
  • 假冒政府服务应用中Android恶意软件的传播
  • 第61天 - 威胁情报和OSINT入门基础
• Palo Alto Networks
  • Operation Rewrite：中文威胁行为者大规模部署BadIIS进行SEO投毒活动
  • Bookworm到Stately Taurus：使用Unit 42归因框架
• Shubho57
  • 分析一个恶意网络IP导致Nanocore RAT的JavaScript文件
• Siddhant Mishra
  • Kimsuky / APT43泄露文件的初步文件列表分析
• Liran Tal (Snyk)
  • npm上的恶意MCP服务器postmark-mcp窃取电子邮件
• Socket
  • 恶意fezbox npm软件包通过创新的QR码隐写技术从Cookie窃取浏览器密码
  • 两个恶意Rust Crate冒充流行的记录器以窃取钱包密钥
• Gabor Szappanos and Steeve Gaudreault (Sophos)
  • HeartCrypt的大规模仿冒行为
• Puja Srivastava (Sucuri)
  • 创建管理员账户的隐藏WordPress后门
• Sarah Pearl Camiling and Jacob Santos (Trend Micro)
  • 新的LockBit 5.0瞄准Windows、Linux、ESXi
• Jason Reaves (Walmart)
  • 分发代理软件和盈利方案的NodeJS后门
• Zhassulan Zhussupov
  • 恶意软件开发：持久化 – 第29部分。添加Windows Terminal配置文件。简单C语言示例。
• ZScaler
  • Zloader更新的技术分析
  • YiBackdoor：一个与IcedID和Latrodectus有关联的新恶意软件家族
  • COLDRIVER使用BAITSWITCH和SIMPLEFIX更新其武器库

其他

• Anton Chuvakin
  • 解耦的SIEM：我认为我们现在的处境？
• Kyle Shields and Matt Meck (AWS Security)
  • 利用AWS安全事件响应优化安全运营
• Belkasoft
  • BelkaGPT和BelkaGPT Hub：真正适用于DFIR的AI
• Brett Shavers
  • DF/IR中的AI：谁将第一个拉下拉环？
• Cellebrite
  • 重新思考数字证据共享：超越现代警务的旧习惯
  • 精通数字取证案件作证的5个最佳实践
• Cybereason
  • 超过7000次事件响应后：11项基本网络安全控制措施
• DFIR Dominican
  • DFIR职位更新 – 2025年9月22日
  • 如何进入DFIR领域（第5部分/共5部分）– 专业化方向
• Forensic Focus
  • Atola Insight Forensic 5.7推出用于更快证据获取的新逻辑取证镜像模块
  • 总结S21 GAD与调查员福祉焦点会议 – 我们涵盖的内容
  • 数字取证周报，2025年9月24日
  • Magnet Forensics推出新的Magnet Nexus混合收集代理
  • Amped Software通过最新Amped Replay版本中的新标签、多ROI运动检测和关键帧复用促进编辑
  • 即将举行的网络研讨会 – 超越AI炒作：Exterro Intelligence提供您可信任的成果
• Debbie Garner (Hexordia)
  • 培训一线响应人员处理数字证据：如何保护您的部门免于犯下毁掉案件的错误
• Howard Oakley (‘The Eclectic Light Company’)
  • 统一日志内部 1：目标与架构
  • 统一日志内部 2：为什么要浏览日志？
• Magnet Forensics
  • 介绍新的Magnet Nexus混合收集代理
  • 超越一键式取证：取证自动化的现实
  • 私营部门中数字伪造、欺诈和作假行为的成本不断上升
• MobilEdit
  • 新的Apple Watch读取器已发布！从最新的Apple Watch设备获取数据
• Amber Schroader (Paraben Corporation)
  • 为什么OSINT + DFIR是终极强力组合
• Security Onion
  • Security Onion文档印刷书籍现已更新至Security Onion 2.4.180！
• Sygnia
  • 构建高性能事件响应团队：关键角色、职责和结构
• The Cybersec Café
  • 安全工程师入门指南：云安全

软件更新

• Arkime v5.8.0
• Brian Maloney OneDriveExplorer v2025.09.24
• Digital Sleuth winfor-salt v2025.10.11
• Microsoft msticpy – M365身份验证、Bokeh修复、RRCF异常值、Prisma Cloud…
• OpenCTI 6.8.0
• Phil Harvey ExifTool 13.37
• PuffyCid Artemis v0.16.0 – 已发布！
• The Metadata Perspective HEART：健康事件与活动报告工具
• Volatility Foundation Volatility 3 2.26.2
• Yamato Security Hayabusa v3.6.0 – Nezamezuki发布

以上就是本周的全部内容！如果您认为我遗漏了什么，或者希望我特别报道某个内容，请通过联系页面或社交媒体渠道联系我！

使用代码 PM15 或点击此链接，在您下次Hexordia课程中享受15%折扣 和我一起上课！在 Cyber5w 的任何课程中使用折扣码 thisweekin4n6 可享受15%折扣。