第42周数字取证与事件响应技术动态聚焦

赞助内容

深入Salesloft-Drift数据泄露事件：对SaaS与身份安全的影响：在本期内容中，Permiso公司的CTO将探讨攻击者如何利用窃取的OAuth令牌，实现从GitHub到AWS再到Salesforce的横向移动；为何这种“全机器”攻击为SaaS供应链和NHIs敲响了警钟；以及如何在您的环境中检测和遏制类似威胁的实际步骤。观看视频播客

一如既往，感谢那些给予我们支持的朋友们！

取证分析

Adam @ Hexacorn：往昔的取证。
Akash Patel：远程执行与Kansa——仍是最被低估的事件响应工具之一。
日志分析——关键不在于知道，而在于关联。
追踪Kerberos和NTLM身份验证失败及其调查。
Lucy Carey-Shields @ Amped：使用Amped FIVE进行取证视频工作流——第二部分：视频证据分析。
Erik Pistelli @ Cerbero：内存挑战3：隐形。
Christopher Eng @ Ogmini：
- Gmail应用 – IMAP账户痕迹（消息记录）– 第2部分
- 取证ADB脚本 – adb-pull-stat.py
- BSides NYC 0x05 – 贡献以学习：通过开源构建DFIR专业知识
Elcomsoft：
- 提取Apple统一日志
- 速查表：完美采集（32位）
- 有效的磁盘镜像：端口、集线器和电源
- 所有USB线缆都一样，但有些更“平等”
Elliptic：
- 美国扣押的150亿美元源自伊朗/中国的比特币矿工“盗窃”案
- Prince Group因“杀猪盘”业务面临150亿美元加密货币扣押和制裁
Forensafe：解决Magnet虚拟峰会2025 CTF（Windows）。
Hussam Shbib @ Cyber Dose：成为更好的侦探 #6 解析Linux内存转储。
Ian Whiffin @ DoubleBlak：Safari浏览器取证流程解析。
Iram Jack：
- 补充内存分析
- Linux内存分析
Matthew Plascencia：Windows取证的奇妙世界。
Md. Abdullah Al Mamun：莫斯科黑客暴露的命令历史。
OSINT Team：$UsnJrnl：探索NTFS USN日志以追踪文件系统活动。
Kirill Magaskin @ Securelist：王已逝，新王长存！Windows 10终止支持与Windows 11取证痕迹。
Studio d’Informatica Forense：为Le Iene节目验证原始或伪造的电子邮件。

威胁情报/狩猎

Abdul Mhanni：成为机器，一个虚拟账户的完全控制指南。
Faan Rossouw @ Active Countermeasures：威胁狩猎与“假设已失陷”哲学。
Adam @ Hexacorn：
- help.exe的一个鲜为人知的秘密
- nslookup.exe的一个鲜为人知的秘密，第2部分
- wsreset.exe的一个鲜为人知的秘密
ASEC：
- Larva-25010 – APT组织Down威胁者的PC分析
- 使用选择性加密算法的Qilin勒索软件分析
- 2025年第三季度针对Linux SSH服务器的恶意软件统计报告
- 2025年第三季度针对Windows数据库服务器的恶意软件统计报告
AttackIQ：针对Oracle安全警报咨询的响应：Oracle电子商务套件预认证RCE（CVE-2025-61882）。
Deerendra Prasad @ Barracuda：威胁聚焦：剖析针对Microsoft 365的新型隐形钓鱼工具包。
Jade Brown @ Bitdefender：Bitdefender威胁简报 | 2025年10月。
Brian Krebs @ ‘Krebs on Security’：
- 2025年10月“Windows 10终结”版补丁星期二
- 电子邮件炸弹利用Zendesk宽松的身份验证
BushidoToken：从BlackBasta勒索软件攻击Capita事件中吸取的教训。
CERT Ukraine：“对抗俄罗斯破坏小组”：UAC-0239利用OrcaC2框架和FILEMESS窃密程序进行网络攻击（CERT-UA#17691）。
CERT-AGID：
- 针对意大利外国公民的居留许可核查钓鱼攻击
- 针对PagoPA的钓鱼攻击滥用Google开放重定向
- 2025年10月11日至17日恶意活动概要
Check Point：
- 10月13日 – 威胁情报报告
- 2025年第三季度Microsoft在钓鱼仿冒中占据主导地位
CISA：ED 26-01：缓解F5设备中的漏洞。
Vanja Svajcer和Michael Kelley @ Cisco’s Talos：BeaverTail和OtterCookie通过新的Javascript模块进行演变。
CloudSEK：IRGC-linked APT35行动内幕观察：第3集 – 恶意软件库与工具集。
Cofense：
- 被武器化的信任：Microsoft的Logo成为技术支持诈骗的入口
- “隐私”与“奖品”：来自恶意浏览器扩展的“奖励”
Ash Leslie, Doug Brown, 和 Mitch Datka @ CrowdStrike：Falcon防御Git漏洞CVE-2025-48384。
Curated Intelligence：策划情报日记：为CTI研究ASN。
Cyfirma：每周情报报告 – 2025年10月10日。
Dark Atlas：威胁行为者可疑的ScreenConnect滥用。
Detect FYI：
- 重写剧本——以检测驱动的事件响应方法
- 使用KQL查询识别通过RDP会话进行的文件外泄（亡灵节特别版）
- 狩猎WMI事件订阅持久化
- 检测工程的关键资产分析
Disconinja：每周威胁基础设施调查（第41周）。
DomainTools Investigations：SecuritySnack: 仓库之劫 – NPM钓鱼。
Dreadnode：LOLMIL：利用合法模型和推理库。
Magdalena Karwat @ EclecticIQ：扩展STIX：自定义对象如何赋能您的智能工作。
Paul Asadoorian @ Eclypsium：BombShell：隐藏在Framework设备上的已签名后门。
Sai Molige @ Forescout：一年后，Interlock勒索软件持续升级。
Pei Han Liao @ Fortinet：追踪恶意软件和攻击扩展：一个黑客组织在亚洲的征程。
Google Cloud Threat Intelligence：
- 朝鲜采用EtherHiding：隐藏在区块链上的国家级恶意软件
- 新组织登场：UNC5142利用EtherHiding分发恶意软件
GreyNoise：GreyNoise近期围绕F5的观察。
Group-IB：
- 对抗支付欺诈的新武器：面向反欺诈团队的独特威胁情报
- 东西方紧张局势：NDR供应商是否监控了错误的流量？
Hunt IOO：Odyssey窃密者和AMOS活动通过伪造工具瞄准macOS开发者。
Harlan Carvey和Lindsey O’Donnell-Welch @ Huntress：破除勒索软件部署的神话。
Jeffrey Bellny @ CatchingPhish：
- 通过ChatGPT Agent模式进行数据外泄
- 混淆医院的传说
Kasada：2025年第三季度威胁情报报告。
Adam Goss @ Kraven Security：所以你想成为一名CTI分析师？终极职业指南。
Cris Tomboc @ LevelBlue：SocGholish：将应用程序更新变成恼人的感染。
Amy Hogan-Burney @ Microsoft Security：勒索和勒索软件驱动了超过一半的网络攻击。
Oleg Skulkin @ ‘Know Your Adversary’：
- 第286集：Astaroth如何滥用GitHub
- 第287集：对手滥用Dpaste存储恶意文件
- 第288集：ClickFix, FileFix… 那又怎样？
- 第289集：狩猎伪装行为
- 第290集：对手如何使用PowerShell进行互斥体检测
- 第291集：对手持续滥用Microsoft控制台调试器
- 第292集：狩猎PhantomVAI加载器的行为
OSINT Team：映射网络对手：MITRE ATT&CK如何帮助您在攻击发生前发现它们。
Marcelo Ruano @ Outpost24：信用卡诈骗生态系统：传统金融网络犯罪的衰落。
Palo Alto Networks：
- PhantomVAI加载器传递一系列信息窃密程序
- 攻击剖析：全球设备制造商的“BlackSuit闪电战”
- 威胁简报：国家级攻击者窃取F5源代码和未公开漏洞
Picus Security：
- 散落的LAPSUS$猎人：2025年最危险的网络犯罪超级组织
- Lazarus组织（APT38）详解：时间线、TTPs和主要攻击
Proofpoint：当怪物开始啃噬：追踪TA585及其武器库。
Qi’anxin X Lab：StealthServer：来自南亚APT组织的双平台后门。
Recorded Future：如何缓解供应链攻击。
Jesse Griggs @ Red Canary：掌控注意力：对手如何滥用AI CLI工具。
Resecurity：Qilin勒索软件与幽灵防弹主机集团。
Rexor：Vc0CTI 黑暗斗篷。
SANS Internet Storm Center：
- 注意：针对ESAFENET CDG V5的扫描（10月13日，周一）
- Python信息窃密程序中的剪贴板图片外泄（10月15日，周三）
- 推广恶意软件安装的TikTok视频（10月17日，周五）
- 新的DShield支持Slack（10月16日，周四）
Securelist：
- 神秘大象：一个日益增长的威胁
- Maverick：滥用WhatsApp进行大规模传播的新型银行木马
- 现在也通过npm传递的后期利用框架
Seqrite：
- 以哥伦比亚用户为目标的司法通知钓鱼 – .SVG附件部署信息窃密恶意软件
- Operation Silk Lure：计划任务被武器化用于DLL侧加载（投放ValleyRAT）
- Operation MotorBeacon：威胁行为者使用.NET植入程序针对俄罗斯汽车行业
Shantaciak：
- 蓝队停止反应、开始设计之处
- 激发好奇心：检测工程生命周期
Kirill Boychenko @ Socket：131个针对WhatsApp的垃圾邮件扩展程序充斥Chrome网上应用店。
Sophos：威胁情报执行报告 – 2025年第5卷。
Soumyadeep Basu @ Soumyadeep Basu：检测AWS X-Ray C2滥用。
Michael Haag @ Splunk：失落的载荷：MSIX复活。
Squiblydoo：DeceptionPro：领先于网络犯罪。
Sublime Security：
- 模仿Google Careers的凭据钓鱼骗局，变化无穷
- 模仿知名公司的Facebook凭据钓鱼与招聘诈骗
Gabriel Barbosa @ Sucuri：联系表单垃圾邮件攻击：一个无辜功能导致的大问题。
SuspectFile：
- 并未形成的联盟：对ReliaQuest 2025年第三季度勒索软件报告的批判性分析
- Allardyce Bower Consulting数据泄露：网络保险未激活，原因尚不清楚
- 为什么Allardyce Bower Consulting的勒索软件保险未能如预期生效
Symantec Enterprise：Jewelbug：中国APT组织将触角延伸至俄罗斯。
Synacktiv：LinkPro：eBPF rootkit分析。
System Weakness：
- LetsDefend – SOC模拟器 – 事件ID：44 / 英文版
- CyberTalents数字取证：“Just Smile” 解题报告
- CyberTalents数字取证：“Hack a nice day” 解题报告
- CyberTalents数字取证：“XMEN-Files” 解题报告
THOR Collective Dispatch：
- 实战中的Sliver BOFs：将Sliver Armory BOFs引入紫队演练
- 统一风险管理与威胁知情防御实践（第一部分）
Maulik Maheta @ Trellix：Active Directory中的无声威胁：AS-REP烘焙如何不留痕迹地窃取密码以及Trellix NDR的快速检测。
Junestherry Dela Cruz @ Trend Micro：地下世界的转变：Water Kurita（Lumma窃密程序）人肉搜索的影响。
Stephen Kowski @ Varonis：收件箱渗透：您忽略的文件类型。
Vasilis Orlof @ Cyber Intelligence Insights：
- 映射最新的Lumma基础设施
- 情报速递 #3
Vectra AI：
- Qilin的2025年剧本及其暴露的安全漏洞（作者：Lucie Cardiet）
- 从Conti到Black Basta再到DevMan：无休止的勒索软件重塑（作者：Lucie Cardiet）
Rami McCarthy @ Wiz：拆解VSCode扩展市场中的关键供应链风险。
Darshit Ashara, Pratik Kadam, 和 Michael Wylie @ ZScaler：搜索、点击、窃取：仿冒Ivanti VPN客户端站点的隐藏威胁。

即将到来的活动

Black Hills Information Security：Talkin’ Bout [infosec] News 2025-10-20 #直播 #信息安全 #新闻
Dragos：CAPTURE THE FLAG 2025
Magnet Forensics：克服工作场所调查中的移动取证挑战。
Simply Cyber：从服务台到SOC：KevTech如何在没有认证的情况下进入网络安全领域 | 简单防御第5季第3集。
Spur：从平壤到您的SaaS：在Zoom和Slack中发现朝鲜战术。

演示/播客

Adversary Universe Podcast：勒索软件的简史。
Black Hills Information Security：Talkin’ Bout [infosec] News 2025-10-13 #直播 #信息安全 #安全新闻
Brett Shavers：除了法官席之外的每一个座位。
Cellebrite：
- 周二小贴士：Cellebrite 2025年秋季发布
- 特别周二小贴士：注册Cellebrite CTF
- Cellebrite CTF 2025 注册现已开放
Amy Ciminnisi @ Cisco’s Talos：Laura Faria：前线上的同理心。
Cloud Security Podcast by Google：EP247 不断发展的CISO：从安全警察到云与AI冠军。
Cyber from the Frontlines：E18 AI威胁等式：从模型到恶意软件。
InfoSec_BretSA – SOC235 事件ID：197（Atlassian Confluence 权限控制绕过0-Day CVE-2023-22515）。
John Hammond：
- 基于脚本的恶意软件分析！
- 窃取密码
Magnet Forensics：
- 云端还是本地？为何不兼得——探索全新的Nexus混合代理
- 使用Magnet Graykey Fastrak和Magnet Automate消除您的移动设备积压和瓶颈
Monolith Forensics：Monolith中的证据详情。
MSAB：
- #MSABMonday – XRY 11.2.0中的哈希树构建器更新（选择）
- 取证修复第23集
MyDFIR：将您的实验室转化为真实的SOC经验（让您脱颖而出）。
Parsing the Truth: One Byte at a Time：关于Pam Hupp与Russ Faria重审的那些事（第2部分）。
Three Buddy Problem：JAGS LABScon 2025主题演讲：迈向网络安全生态的步骤。

恶意软件

Any.Run：新的恶意软件策略：面向SOC和MSSP的案例与检测技巧。
Erik Pistelli @ Cerbero：MSI格式包分析。
Cyble：GhostBat RAT：RTO主题Android恶意软件复苏的内幕。
Jeroen Beckers @ NVISO Labs：修补Android ARM64库初始化器以便于Frida插桩和调试。
Sekoia：解冻PolarEdge的后门。
Shubho57：恶意APK文件分析。
Alan Sguigna @ White Knight Labs：Microsoft WinDbg时间旅行调试与Intel处理器追踪对比。
Zhassulan Zhussupov：macOS黑客攻击第12部分：ARM（M1）的反向Shell。简单的ARM（M1）汇编示例。
بانک اطلاعات تهدیدات بدافزاری پادویش：ShrinkLocker。

其他

Anton Chuvakin：SIEM、初创公司和IT惰性神话（现实？）：一位转型分析师对SIEM MQ 2025的反思。
Brett Shavers：当调查迷失在机器中时。
Brett Shavers @ DFIR.Training：如果您的案件失败了，可能不是工具的错。
Josibel Mendoza @ DFIR Dominican：DFIR职位更新 – 2025/10/13。
Michael Karsyan @ Event Log Explorer blog：Windows事件日志API漏洞毁坏了大多数事件日志软件。
F-Response：了解您的F-Response版本…
Forensic Focus：
- Oxygen Forensics发布Oxygen Remote Explorer v1.9.1
- 在FMLA诉讼中被拒绝第三方手机取证镜像
- 数字取证职位汇总，2025年10月13日
- Matthew Plascencia，数字取证调查员，Exhibit A Cyber
- Passware Kit 2025v4发布：解锁Transcend便携式SSD
- 数字取证汇总，2025年10月15日
- Amped Software推出全新三部分博客系列：基于真实案例的Amped FIVE取证视频工作流
- Oxygen Forensics培训 – 即开即用的提取套件（XiB）
- Detego Global与Raven建立战略合作伙伴关系，通过技术打击儿童剥削
Hornet Security：英国勒索软件支付禁令对您企业的意义。
Howard Oakley @ ‘The Eclectic Light Company’：
- 深入统一日志第5部分：导航
- 深入统一日志第6部分：困难时期
Mahmoud Soheem：
- 开始使用DFiR Galaxy工作站
- DFiR Galaxy工作站：DFiR调查的瑞士军刀
- DFiR Galaxy工作站中的可用工具
MISP：MISP性能调优。
Oxygen Forensics：
- 为您的数字调查添加最佳可能的翻译
- 如何从ChatGPT提取和解析数据
Ryan G. Cox @ The Cybersec Café：安全事件后如何改善您的安全状况。

软件更新

Amped：Amped FIVE 更新 38827：新的过滤器预设、项目快照，以及对Convert DVR、Annotate、Compression Analysis、Advanced File Info等的改进。
Belkasoft：Belkasoft X v.2.9 的新功能。
Cellebrite：2025年秋季发布：进入数字调查和移动网络安全的新前沿。
Doug Metz @ Baker Street Forensics：使用CyberPipe 5.2简化数字证据收集。
Elcomsoft：iOS Forensic Toolkit 8.80增强逻辑采集功能，增加对Apple统一日志的支持。
F-Response：F-Response 8.7.1.36 现已推出。
Logisek：ThreatHunting – Windows事件日志威胁狩猎工具包。
Manabu Niseki：Mihari v8.2.1。
MISP：MISP 2.5.23 发布，增强基准测试，修复多个错误并更新文档。
North Loop Consulting：KeyProgrammerParser v4.1。
OpenCTI：6.8.6。
Passware：Passware Kit 2025 v4 现已推出。
Xways：
- X-Ways用户论坛：X-Ways Forensics 21.2 SR-13
- X-Ways用户论坛：X-Ways Forensics 21.3 SR-12
- X-Ways用户论坛：X-Ways Forensics 21.4 SR-8
- X-Ways用户论坛：X-Ways Forensics 21.5 SR-9
- X-Ways用户论坛：X-Ways Forensics 21.6 Beta 7

以上就是本周的全部内容！如果您认为我遗漏了什么，或者希望我特别报道某些内容，请通过联系页面或社交媒体渠道联系我！

使用优惠码 PM15 或点击此链接享受您下一节Hexordia课程15%的折扣[跟我上课吧！](使用优惠码 thisweekin4n6 在Cyber5w享受任何课程15%的折扣。