第43周数字取证与事件响应技术动态概览:恶意软件分析、威胁狩猎与云安全深度解析

本文汇总了2025年第43周数字取证与事件响应领域的前沿动态,涵盖Salesloft-Drift泄露事件分析、新型恶意软件载荷技术、Windows/Linux取证脚本工具更新、云端攻击手法以及多个APT组织的最新活动,为安全专业人员提供全面的技术参考。

赞助内容

深入Salesloft-Drift泄露事件:对SaaS与身份安全的意义 在本期内容中,Permiso公司的CTO将探讨:

  • 攻击者如何利用被盗的OAuth令牌从GitHub转移到AWS,再进入Salesforce。
  • 为何这场“全机器”攻击为SaaS供应链和NHI(非人类身份)敲响了警钟。
  • 在您的环境中检测和遏制类似威胁的实用步骤。 观看视频播客 由Permiso赞助

一如既往,感谢那些提供支持并给予回馈的朋友们!

取证分析

  • Lucy Carey-Shields (Amped): 使用Amped FIVE进行取证视频工作流 – 第三部分:报告与呈现
  • Erik Pistelli (Cerbero): 记忆挑战4:记住我
  • Christopher Eng (Ogmini)
    • Android取证 – DJI Fly
    • 取证ADB脚本 – adb-pull-tar.py
    • BSides NYC 0x05 – CTFd贡献
    • 发布 – Windows记事本解析器 v1.0.5
    • Zeltser挑战 – 第九个月成果
    • 打包应用 – 注册表配置单元
  • 计算机取证实验室: iOS数字取证方法和工具完全指南
  • Dr. Neal Krawetz (The Hacker Factor Blog): 法庭上的C2PA
  • Forensafe: Android Imgur
  • Howard Oakley (The Eclectic Light Company): 解释APFS时间戳时需谨慎
  • Hussam Shbib (Cyber Dose): 成为更出色的侦探 #7 – 调查Windows痕迹 – 回收站 – 1
  • Kevin Pagano (Stark 4N6): BSides NYC 2025 CTF – 取证
  • Kenneth G. Hartman (Lucid Truth Technologies): 传票、笔式记录器和IP地址查询
  • North Loop Consulting: Apple Maps瓦片缓存的取证分析

威胁情报/狩猎

  • Adam (Hexacorn): Beyond good ol’ Run key, Part 153
  • Akash Patel
    • 理解Windows身份验证日志的实际存储位置——从AD到Entra ID
    • 事件日志清除与恶意软件执行:来自Windows日志的证据
    • PowerShell日志记录:让不可见变为可见
  • Arctic Wolf: 巴西Caminho加载器采用LSB隐写术和无文件执行,在南美、非洲和东欧投放多个恶意软件家族
  • ASEC
    • 2025年9月钓鱼邮件趋势报告
    • 2025年9月勒索软件威胁趋势报告
    • 2025年10月第4周勒索与暗网问题
    • 2025年9月信息窃取程序趋势报告
    • 2025年9月韩国及全球金融领域安全问题
    • 2025年9月APT攻击趋势报告(韩国)
  • Ayelen Torello (AttackIQ): 模拟著名的全球勒索软件组织
  • Tony Burgess (Barracuda): 恶意软件简报:XWorm, TrickMo, 和 Remcos
  • Brian Krebs (Krebs on Security): 加拿大对网络犯罪友好的Cryptomus罚款1.76亿美元
  • CERT-AGID: 2025年10月18日至24日恶意活动概要总结
  • Check Point
    • 10月20日 – 威胁情报报告
    • 剖析YouTube的恶意软件分发网络
    • LockBit回归 — 并且已有受害者
  • Cisco Talos
    • 减少对Microsoft 365 Exchange Online直接发送功能的滥用
    • 2025年第三季度IR趋势:ToolShell攻击占主导,凸显分段隔离和快速响应的关键性
  • Marie Mamaril (Cofense): 剖析服务器端驱动的钓鱼脚本背后的欺骗
  • David Burkett (Corelight): 使用PEAK框架揭露伏特台风 | Corelight
  • Coveware: 内部威胁隐现,而勒索支付率骤降
  • CrowdStrike
    • 勒索软件现实:商业信心高涨,准备度低下
    • CrowdStrike 2025年亚太地区电子犯罪态势报告:威胁新时代来临
    • 从域用户到SYSTEM:分析NTLM LDAP认证绕过漏洞(CVE-2025-54918)
  • CTF导航
    • 人机验证藏陷阱?ClickFix剪贴板攻击的社会工程学
    • 蔓灵花(APT-Q-37)以多样化手段投递新型后门组件
    • iOS 26更新后清理的飞马座和捕食者间谍软件关键IOCs
    • TA585组织利用ClickFix钓鱼技术部署MonsterV2 RAT的深度技术分析
  • Cybereason: Cybereason TTP简报2025年第三季度:LOLBIN和CVE漏洞利用占主导
  • Cyble: 2025年新来者推动勒索软件激增,旧组织式微
  • Cyfirma: 每周情报报告 – 2025年10月24日
  • Damien Lewke: 狩猎边缘:F5泄露事件的教训
  • Daniel Koifman: 解构“Wmiexec-Pro”
  • Katie Knowles (Datadog Security Labs): CoPhish:使用Microsoft Copilot Studio作为OAuth钓鱼的包装器
  • DebugPrivilege: 我们必须谈谈服务账户!
  • Detect FYI
    • 解构“Wmiexec-Pro”
    • 检测Windows安全审计策略的篡改
  • Disconinja: 每周威胁基础设施调查(第42周)
  • Ian Campbell (DomainTools Investigations): DomainTools调查BSides NoVa回顾
  • Elastic Security Labs
    • TOLLBOOTH:你的就是我的,IIS的也是我的
    • 修补时间指标:使用Qualys和Elastic进行生存分析方法
  • Marcus Hutchins (Expel): 搭便车:当合法软件成为签名的恶意软件加载器时
  • FalconFeeds
    • Scattered Spiders数据泄露:越南公共部门及全球附属机构的战略暴露评估
    • 解构GAP子集泄露事件及美国政府和军事人员的关键暴露
    • 什么使IOC有价值?理解真正重要的指标
    • 无国界的威胁情报:为何区域性泄露在数小时内演变为全球灾难
  • Google Cloud Threat Intelligence
    • 亲俄信息行动利用俄罗斯无人机入侵波兰领空
    • 成为(机器人)或不成为:归因于俄罗斯国家支持的COLDRIVER的新恶意软件
    • 招聘启事:越南攻击者使用虚假招聘活动投放恶意软件并窃取凭证
  • Noah Stone (GreyNoise): 威胁行为者每日部署新IP攻击微软RDP
  • Group-IB
    • 揭露新加坡的即时时代欺诈
    • 揭露MuddyWater驱动国际间谍活动的新恶意软件工具包
  • Harfanglab: RudePanda像2003年一样掌控IIS服务器
  • Justin Cady (Horizon3): 静默攻击路径
  • Huntress
    • 处理不完美的遥测数据:有效事件响应的技术
    • 通过针孔观察Qilin勒索软件攻击
    • 利用Windows Server更新服务远程代码执行漏洞(CVE-2025-59287)
  • Infoblox: Vault Viper:高风险,隐蔽威胁
  • Isaac Dunham: 现代钓鱼
  • Kostas: 检测OpenEDR宽松EDR试用的滥用:安全研究人员的视角
  • MalwareTech: 看看这张照片 – 通过图像缓存被动下载恶意软件载荷
  • Peter Harris (MaverisLabs): 勒索软件爆发:洞察2025年威胁激增
  • Microsoft Security: 攻击链内部:针对Azure Blob存储的威胁活动
  • Natto Thoughts: 超越别名:解码中国威胁组织归因与人为因素
  • Netscout: ASERT威胁摘要:Aisuru及相关TurboMirai僵尸网络DDoS攻击缓解与遏制—2025年10月—v1.0
  • Florian Roth (Nextron Systems): 超越可用性 – 使用Veeam和THOR进行取证备份扫描
  • NSB Cyber: #NSBCS.097 – 第三季度勒索软件报告预告
  • Oleg Skulkin (Know Your Adversary)
      1. APT-Q-37如何滥用C#编译器
      1. 狩猎可疑的DLL导出函数
      1. 狩猎幻影DLL劫持
      1. 狩猎Caminho加载器行为
      1. 狩猎Python Telegram RAT
      1. 狩猎滥用Dropbox进行恶意软件投递的行为
      1. 攻击者如何滥用BCP实用程序
  • Picus Security
    • CABINETRAT恶意软件Windows定向活动详解
    • Cavalry Werewolf APT:揭露FoalShell和StallionRAT恶意软件
    • 新Rust恶意软件“ChaosBot”利用Discord进行隐秘命令与控制
    • Storm-2603勒索软件活动在2025年针对Microsoft SharePoint:活动与TTP分析
    • WARMCOOKIE:持久性后门演变的技术深度剖析
    • XWorm再次崛起:剖析模块化恶意软件V6复活版
    • Earth Krahang APT组织:全球政府网络间谍活动(2022–2024)与TTP分析
    • FIN7网络犯罪集团:从POS攻击到勒索软件即服务(RaaS)的演变
    • 捕食麻雀:针对伊朗关键基础设施的网络战内幕
  • Proofpoint
    • 超越凭证:武器化OAuth应用程序以实现持久的云访问
    • Proofpoint发布用于威胁狩猎的创新检测技术:PDF对象哈希
  • Recorded Future
    • 导航您的威胁情报成熟度之旅
    • 黑暗盟约3.0:受控的逍遥法外与俄罗斯的网络罪犯
  • Red Canary: 情报洞察:2025年10月
  • SANS互联网风暴中心
    • 多项在线服务和网站受AWS中断影响,(10月20日,周一)
    • 使用Syscall()进行混淆/无文件活动,(10月20日,周一)
    • 现在几点了?pool.ntp.org的准确性。(10月21日,周二)
    • 针对Android设备的信息窃取程序,(10月23日,周四)
    • webctrl.cgi/Blue Angel软件套件漏洞利用尝试。可能是CVE-2025-34033变种?(10月22日,周三)
    • 为获取信息而进行的云账户钓鱼,(10月23日,周四)
  • Sansec: SessionReaper攻击已经开始,五分之三的商店仍然脆弱
  • Securelist
    • PassiveNeuron:针对高知名度组织服务器的复杂活动
    • 电子邮件钓鱼攻击的演变态势:威胁行为者如何重用和完善既定技术
  • Nitish Singh 和 Nikhil Kumar Chadha (Securonix): Securonix威胁实验室月度情报洞察 – 2025年9月
  • Sekoia
    • 解码Microsoft 365审计日志中的UserAuthenticationMethod:位字段映射
    • TransparentTribe使用DeskRAT针对印度军事组织
  • Sathwik Ram Prakki (Seqrite): Red Hat入侵剖析:Crimson Collective和SLSH勒索
  • Silent Push: Silent Push在Salt Typhoon基础设施上线前数月检测到,新的IOFA™订阅源为客户提供操作使用前的早期检测
  • Kirill Boychenko (Socket): 恶意NuGet包通过仿冒Nethereum来窃取钱包密钥
  • Kabilan S (SquareX Labs): 隐藏在众目睽睽之下:我们如何追踪一个恶意扩展以揭露多扩展…
  • Peter Djordjevic (Sublime Security): 滥用Microsoft 365的直接发送功能:只是又一次失败的身份验证
  • Symantec Enterprise
    • Warlock勒索软件:老演员,新把戏?
    • ToolShell用于入侵中东电信公司
  • Paolo Polidori (Sysdig): Kubernetes事件响应:在10分钟内检测、调查和遏制
  • System Weakness
    • CyberTalents数字取证:“Music Chairs”题解
    • Initial Access Pot TryHackMe演练与Linux取证
    • 使用Sigma进行网络安全检测工程精通
  • Lauren Proehl (THOR Collective Dispatch): 来自前线:2025财年第三季度
  • Ernesto Fernández Provecho 和 Pham Duy Phuc (Trellix): SideWinder的流沙:一键间谍
  • Trend Micro
    • 当分词器漂移时:LLM部署中的隐藏成本和安全风险
    • 中国关联网络间谍活动中协作战术的兴起
    • Agenda勒索软件通过远程管理工具和BYOVD技术在Windows系统上部署Linux变种
  • Mihir Bhanushali (Triskele Labs): 阻止一次25 TB的数据泄露:SOC对战威胁行为者
  • Truesec
    • GlassWorm – 自我传播的VSCode扩展蠕虫
    • 她在海边出售Web Shell(第三部分)
  • Sean Metcalf (TrustedSec): 使用蜜罐账户在Entra ID中检测密码喷洒攻击
  • Trustwave SpiderLabs: 公共部门勒索软件攻击持续不断
  • VirusTotal
    • VirusTotal成功故事 – SEQRITE
    • Hugging Face与VirusTotal:在AI模型中建立信任
  • Peter Kálnai 和 Alexis Rapin (WeLiveSecurity): 必须飞:Lazarus针对无人机行业
  • Alan Sguigna (White Knight Labs): 使用MCP进行调试、逆向和威胁分析
  • Блог Solar 4RAYS: 2025年第三季度Web应用程序漏洞概述
  • Genians: Lumma信息窃取程序分析
  • Palo Alto Networks
    • 黄金天平:值得注意的威胁更新与展望
    • Jingle Thief:基于云端的礼品卡欺诈活动内幕
    • 短信钓鱼泛滥:基于中国的活动向全球短信泛滥
    • 威胁行为者为何成功
    • 使用AzureHound进行云发现

即将到来的活动

  • Black Hills Information Security: Talkin’ Bout [infosec] News 2025-10-27 #infosec #news
  • Cellebrite: 利用Inseyets for Enterprise的高级提取功能*
  • Cybersecurity Mentors: 从澳大利亚国立大学泄露事件中吸取的教训 w/Suthagar Seevaratnam P1| CMP S5 E3
  • Huntress: 与前NSA特工及Huntress CEO Kyle Hanslovan一起现场入侵Microsoft 365
  • Magnet Forensics: Mobile Unpacked S3:E10 // 剖析密码:确定设备解锁方法
  • SANS: 保持领先于勒索软件 – 云中勒索软件和网络勒索呈上升趋势

演讲/播客

  • Hexordia: Truth In Data: EP16: 取证的博弈化:CTF与技能掌握,嘉宾Kevin Pagano
  • Adrian Crenshaw: DRS_CounterSurveil_Ep51 – Maid In The Middle:检测邪恶女仆攻击
  • Adversary Universe Podcast: 繁荣的市场与区域性威胁:CrowdStrike 2025年亚太地区电子犯罪态势报告
  • Alexis Brignoni: 数字取证中的人工智能讨论
  • Behind the Binary by Google Cloud Security: EP17 潜伏在深处:在Black Hat与Mark Overholser一起构建稳健的网络
  • Belkasoft
    • 最适合数字取证的人工智能 | 真正适用于DFIR的人工智能
    • 受信任的应用变坏:Slack、Discord和Telegram作为恶意软件渠道 | Vedant Narayan
  • Cellebrite
    • 周二小贴士:Cellebrite CTF 2025规则与提醒
    • 使用Guardian Collaborate for Enterprise简化内部调查
  • Cloud Security Podcast by Google: EP248 云事件响应桌面推演胜利:如何停止安全表演,开始实践
  • Cyber Social Hub: 数字调查中的人工智能与硬件要求
  • Cyberwox: 网络威胁情报如何揭示新的钓鱼策略(w/ ANY.RUN)
  • Eclypsium: BTS #62 – 剖析F5泄露事件、框架UEFI Shell
  • Endace: 数据包取证档案 Ep 63 Jack Chan – Fortinet
  • Simply ICS Cyber: 跟上ICS威胁情报的步伐 | Simply ICS Cyber S2 E6
  • InfoSec_Bret: SA – SOC250 EventID: 212 – APT35 HyperScrape数据窃取工具检测
  • Karsten Hahn (Malware Analysis For Hedgehogs): 恶意软件分析 – 恶意NordVPN安装程序,初学者样本
  • Magnet Forensics
    • 从警报到答案:现代事件响应中的数字取证
    • 克服工作场所调查中的移动取证挑战
  • Malspace: 打破威胁情报中的孤岛
  • Michael Haggis: 实时阻止ClickFix攻击 – BinHex.Ninja安全
  • Microsoft Threat Intelligence Podcast: 网络安全新前线:2025年数字防御报告的经验教训
  • Monolith Forensics: Monolith中的案例记录
  • MSAB: #MSABMonday – UNIFY文件上传
  • MyDFIR
    • 真实的SOC分析师调查 | 检测到恶意软件 | MYDFIR SOC社区
    • 我为何加入MyDFIR SOC社区(以及为何物有所值)
  • Paraben Corporation: E3试用安装与许可教程
  • Parsing the Truth: One Byte at a Time: The Thing About Pam:一次枪击
  • Proofpoint: 从网页注入到信息窃取程序:网络罪犯如何保持领先
  • SANS
    • SANS 2025云安全交流会:专家小组
    • Microsoft主题演讲:防御现代威胁
    • Google Cloud主题演讲:在动态环境中避免错误
  • The Defender’s Advantage Podcast: UNC5221与BRICKSTORM活动
  • THE Security Insights Show: THE Security Insights Show第278集:南瓜地钓鱼者:在这个万圣节窃取您的数据
  • The Weekly Purple Team: 当EDR遗漏时:使用SIEM和检测即代码检测SSL C2使用
  • Three Buddy Problem: 苹果iOS取证冻结、WhatsApp零点击漏洞、中国曝光NSA

恶意软件

  • Any.Run: Tykit分析:窃取金融行业数百个Microsoft账户的新钓鱼工具包
  • Esentire: 剖析通过ClickFix投递的NetSupport RAT加载器
  • Lab52: 从梦想工作到恶意软件:Lazarus近期活动中的DreamLoaders
  • Renaud Tabary (MALCAT): Malcat脚本教程:反混淆Latrodectus
  • Netskope
    • 通过Minecraft针对游戏玩家的新Python RAT
    • RedTiger:针对游戏玩家和Discord账户的新红队工具在野出现
  • Ashlee Benge (ReversingLabs): 使用Spectra Analyze对恶意文档进行分类
  • Tom Hegel (SentinelOne): PhantomCaptcha | 多阶段WebSocket RAT在单日鱼叉式钓鱼活动中针对乌克兰
  • Shubho57: BQTLock勒索软件分析
  • SquareX Labs: AI侧边栏欺骗:恶意扩展程序冒充AI浏览器界面
  • Junestherry Dela Cruz (Trend Micro): 快速、广泛且难以捉摸:Vidar窃取程序2.0如何升级信息窃取能力
  • Wordfence
    • 使用变量函数和Cookie进行混淆的恶意软件
    • 针对任意插件安装漏洞的大规模漏洞利用活动
  • Zhassulan Zhussupov
    • 恶意软件开发技巧52:通过合法的Slack API窃取数据。简单的C语言示例。
    • 恶意软件开发技巧53:通过合法的XBOX API窃取数据。简单的C语言示例。

其他

  • Brett Shavers
    • 我搞砸了,所以你不必重蹈覆辙
    • 当数字取证失去灵魂时,我就在那里。
    • 您的实验室已就绪:免费证据样本 + 用于实践案例的免费软件。
    • 数字取证/事件响应的终结再次到来…
  • Cellebrite
    • 您的机构处于何种水平?获取数字证据现状检查!
    • 2025年企业解决方案行业趋势调查
  • CyberBoo: Microsoft Defender for Endpoint第2部分:部署与实施指南
  • Cyberdom: Sentinel MCP已解锁
  • Josibel Mendoza (DFIR Dominican): DFIR职位更新 – 2025年10月20日
  • Forensic Focus
    • F3内部:在数字取证中建立社区和分享知识
    • 新的数据希望:如何在电子取证中征服数据前沿 – 并获胜
    • 数字取证综述,2025年10月22日
    • MSAB 2025年第三季度发布:BruteStorm激增与MSAB套件的强大增强功能
    • Amped Software部署了最新的Amped FIVE更新,新增了滤镜预设、项目快照等多项改进
    • Sonya Ryan在MSAB播客上讨论在线安全与儿童保护
    • Forensic Focus文摘,2025年10月24日
  • Hunt IO: 从军火到恶意软件:采访Joseph Harrison关于他通往威胁情报的道路
  • Oxygen Forensics
    • 数字取证/事件响应团队立即加强远程数据收集的5种方法
    • 如何使用父应用规则解析不受支持的应用程序
  • Salvation DATA: 【案例研究】VIP3.0 – 用于更快速、更智能调查的高级视频检测与日志分析
  • Ryan G. Cox (The Cybersec Café): 如何为事件响应运行桌面推演

软件更新

  • Arkime: v5.8.1
  • Canadian Centre for Cyber Security: Assemblyline 4.6.0.20
  • Digital Sleuth: winfor-salt v2025.12.0
  • Lethal Forensics: Microsoft-Analyzer-Suite v1.7.0
  • North Loop Consulting: Arsenic Update v2.0.1
  • OpenCTI: 6.8.8
  • Phil Harvey: ExifTool 13.40
  • Security Onion: Security Onion 2.4.190现已可用,包括面向专业客户的Onion AI助手!
  • Xways
    • 查看器组件
    • X-Ways Forensics 21.6

本周内容就是这些!如果您认为我遗漏了什么,或者希望我特别报道某些内容,请通过联系页面或社交媒体渠道联系我! 参加我的课程!使用折扣码 thisweekin4n6 在 Cyber5w 的任何课程中获得 15% 折扣。使用代码 PM15 或点击此链接在 Hexordia 的下次课程中获得 15% 折扣。

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次