赞助内容
Salesloft-Drift漏洞剖析:对SaaS与身份安全的意义 在本期节目中,Permiso的首席技术官将探讨: – 攻击者如何利用被盗的OAuth令牌,从GitHub → AWS → Salesforce进行横向移动。 – 为何此次“全自动化”攻击为SaaS供应链和非人类身份(NHI)敲响了警钟。 – 在您自身环境中检测和遏制类似威胁的实用步骤。 观看视频播客(由 Permiso 赞助)
一如既往,感谢各位支持者的回馈!
取证分析
Atola Technology
- 镜像获取前:驱动器诊断的强大功能
- 作者:Akash Patel
NTFS文件系统与NTFS日志记录 (包括 $I30, $MFT, $LogFile, $UsnJrnl 等不同取证工件)
macOS取证:结构、持久化与调查
Belkasoft
- iOS Telegram取证。第二部分:工件、秘密聊天、缓存、已删除消息
- 作者:Christopher Eng @ Ogmini
检查移动热点 – Orbic Speed RC400L – 第2部分 检查移动热点 – Orbic Speed RC400L – 第3部分
- 作者:Damien Attoe
Inside Proton’s Vault: Uncovering Android Proton Drive Artifacts The Realm Files – Vol 2 – Physical Structure Overview
- 作者:Elcomsoft
Don’t Be a Louvre: How Weak Passwords and Unpatched Software Encourage Breaches Which Versions of iOS Are Supported, and Why “It Depends” Is The Best Answer
Forensafe
- Android应用图标
Foxton Forensics
- 调查Chrome历史记录快照
InfoSec Write-ups
- 数字取证 – Windows USB工件 [内部威胁案例]
Kevin Pagano @ Stark 4N6
- The Evidence Locker – 一份DFIR镜像汇编
Kenneth G Hartman @ Lucid Truth Technologies
- Torrential Downpour and BitTorrent Evidence – P2P调查的取证视角
System Weakness
- 调查WINDOWS – TRY HACK ME – 房间
- NCL物联网日志分析 — CTF挑战 — 解题报告
- Elevating Movement TryHackMe演练 | 权限提升与RDP分析
- This Bytes — NCL取证CTF挑战 — 解题报告
威胁情报/狩猎
Faan Rossouw @ Active Countermeasures
- 狩猎真正的威胁:痛苦金字塔
Alex Necula
- 从ClickFix虚假更新到Vidar窃密木马
Anthropic
- 瓦解首例已报告的AI协同网络间谍活动
AttackIQ
- 勒索软件故事:第五卷 — 怀旧版!模拟REvil、DarkSide和BlackMatter勒索软件
- 模拟间谍导向组织SideWinder
CJ Moses @ AWS Security
- 亚马逊发现APT组织利用思科和Citrix零日漏洞
Jade Brown @ Bitdefender
- Bitdefender威胁简报 | 2025年11月
Brian Krebs @ ‘Krebs on Security’
- 深入分析美国提议的TP-Link禁令
- 谷歌起诉以瓦解中国短信钓鱼“三合会”
CERT-AGID
- 以Facebook为主题的钓鱼活动:虚假版权侵权通知
- 11月8日至14日恶意活动摘要
Check Point
- 11月10日 – 威胁情报报告
- 新钓鱼活动利用Meta Business Suite瞄准美国及全球中小企业
- 2025年10月全球网络攻击激增,勒索软件爆发式增长与GenAI威胁加剧
- “工资单海盗”:一个网络,数百个目标
- 勒索软件现状 – 2025年第三季度
CISA
- CISA与合作伙伴发布关于Akira勒索软件的更新公告
- 更新:关于思科ASA和Firepower设备漏洞的紧急指令实施指南
Chetan Raghuprasad and Michael Szeliga @ Cisco’s Talos
- 释放Kraken勒索软件组织
Cyberdom
- Entra ID日志分析器:将原始日志转化为故事
- ChatGPT在Entra ID中的隐藏风险
Cyble
- 多品牌主题钓鱼活动通过Telegram Bot API窃取凭证
- 2025年10月攻击激增30%,新组织重新定义网络战场
Cyfirma
- 每周情报报告 – 2025年11月14日
Andrea Draghetti @ D3Lab
- GPT Trade:假冒Google Play商店向安卓设备投放BTMob间谍软件和UASecurity矿工
Damien Lewke
- 氛围狩猎:结果驱动的威胁狩猎
Danny Zendejas
- 重新思考SIEM 第二部分
Darktrace
- Vo1d僵尸网络曝光:Darktrace如何检测全球安卓威胁
DebugPrivilege
- 我如何通过Citrix FAS的ESC3获取域管理员权限
- 从供应商到ESC3/ESC4
Burak Karaduman @ Detect FYI
- 基于Agent的检测创建 – 现已集成Atomic Red Team和Splunk MCP
Disconinja
- 每周威胁基础设施调查(第45周)
DomainTools Investigations
- 防火墙内幕 第三部分:地缘政治与社会影响
Elliptic
- Elliptic类型学报告:破坏受制裁行为者对稳定币的使用
FalconFeeds
- 恶意域名的生命周期:从注册到取缔
- 当数据泄露导致杠杆作用:威胁行为者如何利用泄露数据进行长期定向
- 专家威胁档案:Cyber Toufan—疏忽利用与破坏性能力的汇聚
- 间谍与金融的交汇点:通过西奈山事件分析中国跨国网络犯罪生态系统
Luis Corrons @ Gen
- 短信威胁:微小文本的多种面貌
Genians
- 国家资助的针对安卓设备的远程擦除策略
Google Cloud Threat Intelligence
- 无处不像本地主机:通过Triofox漏洞CVE-2025-12480实现未授权远程访问
- 时间旅行分析:使用.NET进程空洞案例研究介绍时间旅行调试
Billy Leonard @ Google Threat Analysis Group
- TAG公告:2025年第三季度
Group-IB
- 揭露针对意大利基础设施的多阶段钓鱼工具包
Grumpy Goose Labs
- Be KVM, Do Fraud
Hornet Security
- 勒索软件攻击统计
- 月度威胁报告 2025年10月
Hunt IO
- 狩猎Cobalt Strike完全指南 – 第1部分:在开放目录中检测Cobalt Strike
Lindsey O’Donnell-Welch @ Huntress
- 威胁困扰教育机构
Meyta Zenis Taliti @ Intellibron
- 威胁狩猎目录:将Sigma检测规则付诸实践
Roy Halevi @ Intezer
- 关于AI间谍活动的Anthropic报告对安全领导者意味着什么
Invictus Incident Response
- 剖析Silk Typhoon:策略、历史与防御
Adam Goss @ Kraven Security
- 战术CTI与运营CTI深度解析
- CTI分析师路线图:从零到英雄的指南与CTI学习资源
Doug Olenick @ LevelBlue
- LevelBlue未来报告:零售业领导者揭示安全关切
Mike Cohen @ Rapid7
- 使用Velociraptor进行内存分析 – 第1部分
Ucha Gobejishvili @ Mitiga
- 现在你能看到我:Workday日志
Nasreddine Bencherchali @ SigmaHQ
- SigmaHQ质量保证流水线
Netscout
- 现在轮到谁石化了?
Bart Parys @ NVISO Labs
- Contagious Interview组织者现在利用JSON存储服务进行恶意软件分发
Oleg Skulkin @ ‘Know Your Adversary’
-
- 对手滥用PowerShell创建快捷方式以实现持久化
-
- 对手滥用CURL收集认证材料
-
- 对手持续使用Plink和Putty建立反向SSH隧道
-
- 对手越来越多地使用AppleScript文件
-
- 对手使用PowerShell搜寻密码存储
-
- 对手滥用JSON存储服务进行恶意软件分发
-
- 对手在ClickFix攻击中滥用Finger工具
Pepe Berba
- MacOS感染媒介:使用AppleScript绕过Gatekeeper
- 脚本混淆:玩弄隐藏在Named Forks中的AppleScript
Picus Security
- xHunt APT:针对科威特和Exchange服务器的网络间谍活动
- Ferocious Kitten APT曝光:针对伊朗的间谍活动内幕
- MalKamak APT的ShellClient RAT:深入Operation GhostShell
- GreenCharlie APT:伊朗基于PowerShell的网络间谍活动
- DEV-1084与MERCURY:伊朗DarkBit勒索软件活动内幕
Proofpoint
- 安全简报:VenomRAT被“拔牙”
- Operation Endgame震动Rhadamanthys
Dan Green @ Push Security
- 分析自2021年以来的“Scattered Lapsus$ Hunters”数据泄露事件
Daniel Card @ PwnDefend
- 疑似零日漏洞 – 如果您的设备可能在漏洞利用范围内,该怎么办?
- 疑似Fortinet零日漏洞在野被利用
- 使用Defused Cyber Deception分析100万个蜜罐事件
- Rhadamanthys – 超过4400万条凭证被盗
- Fortiweb漏洞 2025
- AI用于防御性网络安全的简史
Recorded Future
- 威胁狩猎 vs. 威胁情报
- 发布2025年威胁情报状况报告:威胁情报从防御转向战略
- 威胁情报与高管层
Laura Brosnan @ Red Canary
- 在AWS中嗅探TruffleHog
SANS互联网风暴中心
- 并非总是默认设置:对3CX用户名的扫描 (周一,11月10日)
- 通过多个脚本传递Formbook (周四,11月13日)
- SmartApeSG活动使用ClickFix页面推送NetSupport RAT (周三,11月12日)
- Microsoft Office俄罗斯套娃 (周五,11月14日)
- 蜜罐:FortiWeb CVE-2025-64446漏洞利用 (周六,11月15日)
- Finger.exe & ClickFix (周日,11月16日)
- SANS假日黑客挑战赛 2025 (周日,11月16日)
Shadowserver
- Rhadamanthys历史僵尸网络感染特别报告
Silent Push
- 高级威胁狩猎:在钓鱼基础设施发动攻击前检测它的四种技术
Simone Kraus
- 从勒索软件到国家级攻击 - MITRE ATT&CK v18与检测策略如何转变Active Directory…
Socket
- 恶意Chrome扩展窃取种子短语,导致钱包被接管
- 新一轮TEA协议垃圾邮件泛滥npm,但并非蠕虫
Jon Munshaw @ Sophos
- 信息窃取者:身份攻击的无声入口——以及为何主动防御至关重要
Splunk
- NotDoor洞察:近距离观察Outlook宏及其他
- 再次隐藏我:更新版的多载荷.NET隐写加载器,内含Lokibot
Jeremy Bender @ Team Cymru
- Team Cymru支持欧洲刑警组织作为Operation Endgame的一部分取缔三个关键网络犯罪工具
THOR Collective Dispatch
- 自治SOC(泰勒版)
- 您希望更早拥有的PEAK威胁狩猎模板
Adithya Chandra and Maulik Maheta @ Trellix
- Trellix Helix如何检测Active Directory中的AS-REP烘烤攻击
David Sancho, Vincenzo Ciancaglini, and Salvatore Gariuolo @ Trend Micro
- 魔鬼点评Xanthorox:对最新恶意LLM产品的以犯罪为导向的分析
Lucie Cardiet @ Vectra AI
- Operation ENDGAME与初始访问的争夺战
Joseliyo Sánchez @ VirusTotal
- VTPRACTITIONERS{ACRONIS}:追踪FileFix、Shadow Vector和SideWinder
VX-API
- 假冒Lockbit 5.0的闹剧与三层勒索软件“千层面”
Sina Kheirkhah and Jake Knott @ watchTowr Labs
- 当模拟功能被用于模拟用户时(Fortinet FortiWeb (??) 认证绕过)
Jay Pandya @ White Knight Labs
- 理解云持久化:攻击者如何利用Google云函数维持访问
Francesco Sercia @ YLabs
- Hamburglars
Блог Solar 4RAYS
- 在Shedding Zmiy军火库中:通过流行CMS系统环境配置缺陷进行攻击的工具
Taggart Tech
- 通过Entra来宾邀请进行的TOAD攻击
Hunter Wade @ Black Hills Information Security
- 利用Impacket滥用委派(第2部分):约束委派
Palo Alto Networks
- 您以为结束了?认证胁迫攻击持续演进
- 数字分身:分发Gh0st RAT的不断演变的模拟活动剖析
近期活动
Black Hills Information Security
- Talkin’ Bout [infosec] News 2025-11-17 #infosec #news
Cyber Triage
- 调查中何时(以及何时不)使用EDR
DFRWS
- DFRWS-USA 2026论文征集开放!
Cybersecurity Mentors Podcast
- 像间谍一样思考,像黑客一样狩猎:前FBI特工Eric O’Neill谈智胜网络罪犯
Magnet Forensics
- 使用Magnet Verify保护您的组织免受篡改媒体的侵害
- 数字取证和自动化如何改变联邦调查
- 从警报到答案:现代事件响应中的数字取证
演示/播客
Black Hills Information Security
- X-Typhon – 不是你父辈时代的中国(与John Strand)
Erik Pistelli @ Cerbero
- 内存挑战 7:DeepDive
Chainalysis
- 加密货币国家安全与“杀猪盘”:播客第174集
Cloud Security Podcast by Google
- EP251 超越华丽脚本:AI红队测试能否发现真正新颖的攻击?
InfoSec_Bret
- SA – SOC275 事件ID: 250 – 检测到应用程序令牌窃取尝试
- 挑战 – 学习Sigma
John Hammond
- Lua信息窃取者分析(“我的夏威夷假期”CTF)
- 2025年网络犯罪现状(与Nick Ascoli!)
Magnet Forensics
- 移动设备快报 第14集:Magnet One中的移动案件流
- AI拆解 #6:你想知道的一切——以及你敢于提问的内容
Monolith Forensics
- Monolith中的案例报告
- 在Monolith中合并调查
MSAB
- #MSAB周一 – XRY日志文件导出
- 取证修复 第24集
MyDFIR
- 网络安全SOC分析师实验室 – 恢复已删除文件 (BTLO)
- 从不知所措到充满信心:Paul如何学会像SOC分析师一样进行调查
- MyDFIR SOC社区如何帮助我做好工作准备
Parsing the Truth: One Byte at a Time
- 数字取证领域的25年动荡
- 25集 – 回顾过往!
Sandfly Security
- 在DigitalOcean市场一键应用中安装Sandfly Security
The Cyber Mentor
- 直播:PSAP发布 | TCM Security | 蓝队 | 问答
Three Buddy Problem
- Countermeasures现场直播:谷歌 vs FFmpeg,勒索软件叛徒,三星0day
- Anthropic Claude代码自动化APT攻击,KnownSec数据泄露,可远程访问的中国公交车
恶意软件
0xMatheuZ
- Ioctl Secrets 解题报告
Any.Run
- ClickFix爆炸式增长:跨平台社会工程将用户变成恶意软件安装器
ASEC
- 利用LogMeIn和PDQ Connect分发恶意软件的案例
- 分发带有合法签名、伪装成Steam清理工具的后门恶意软件
- 分析基于Go语言的Yurei勒索软件构建器的加密结构
Ialle Teixeira @ Debugactiveprocess
- 巴西持久性安卓NFC恶意软件剖析:恶意服务如何实现24/7…
Tonmoy Jitu @ Denwp Research
- 分析疑似GNNCRY的macOS测试构建
Dr Josh Stroschein
- 汇编短片 – 使用PEB和InInitializationOrderModule在内存中定位Kernel32
- 栈转移后执行自定义Shellcode
Elastic Security Labs
- RONINGLOADER:DragonBreath滥用PPL的新途径
errbody
- 终端勒索软件
Esentire
- EVALUSION活动分发Amatera窃密木马和NetSupport RAT
Thijs Xhaflaire @ Jamf
- Digit窃密木马:一种基于JXA的信息窃取者,几乎不留痕迹
Pieter Arntz @ Malwarebytes
- 我们打开了一封虚假发票,然后掉进了一个复古的XWorm形状的“蠕虫洞”
Shubho57
- 分析BlankGrabber变种(bat文件)
Siddhant Mishra
- 追踪追踪者:从APT43/Kimsuky取缔行动中吸取的教训
Stephen Thoemmes @ Snyk
- NPM生态系统中与加密货币奖励挖矿骗局相关的自动化软件包发布事件:IndonesianFoods
Alberto Pellitteri and Lorenzo Susini @ Sysdig
- 狩猎反向Shell:Sysdig威胁研究团队如何构建更智能的检测规则
Junestherry Dela Cruz and Sarah Pearl Camiling @ Trend Micro
- Lumma窃密木马活动增加与采用自适应浏览器指纹识别策略的时间吻合
YUCA
- 恶意操作挑战 8:逆向APT 37的RokRaT加载器
- 分析用于混淆API解析的API哈希与导入查找技术
Zhassulan Zhussupov
- Linux黑客 第8部分:Linux密码保护的绑定Shell。简单的NASM示例
Шифровальщики-вымогатели The Digest “Crypto-Ransomware”
- BlackShrantac
杂项
Adam @ Hexacorn
- disksnapshot.exe的一个或多个小秘密
Brett Shavers
- 对抗权威:如果您错过了网络研讨会,您正在犯您不知道的错误
Cellebrite
- 数字证人是昆士兰州母亲六年正义之路的关键
CyberBoo
- Microsoft Defender for Endpoint 第5部分:实时响应与自动化调查
Fabian Mendoza @ DFIR Dominican
- DFIR职位更新 – 2025年11月10日
Dr. Neal Krawetz @ ‘The Hacker Factor Blog’
- 严密的SEAL
Forensic Focus
- 数字取证职位汇总,2025年11月10日
- Cellebrite如何释放AI在数字调查中的力量
- 图像为证:使用Exterro Imager Pro为调查赋能
- 管理警方调查中的GenAI风险
- 数字取证汇总,2025年11月12日
- Amped Software开放Amped Connect U.S. 2026预注册:在南卡罗来纳州默特尔海滩举行的免费全天数字取证活动
- 论文征集:FOSDEM 2026开源(数字)取证开发者房间
- Semantics 21推出AI Describe – 全球首个用于CSAM和淫秽材料的安全离线AI描述器
Don Sears @ Forescout
- 勒索软件趋势:是否应该禁止支付赎金?
Howard Oakley @ ‘The Eclectic Light Company’
- 详解:.DS_Store文件
Magnet Forensics
- 为何数字取证成为联邦机构的关键任务
Matthew Plascencia
- 不要将你工作中的人性灵魂出卖给机器
Grayson Milbourne @ OpenText
- OpenText网络安全2025年全球勒索软件调查:信心上升,恢复能力下降
Nazrul Islam Rana @ OSINT Team
- 每位网络安全专业人员都应了解的18种数字取证工具(2025指南)
Amber Schroader @ Paraben Corporation
- 通过数字取证保存过去
Joseph Williams @ Pen Test Partners
- 寻找进入DFIR领域的路径
软件更新
Airbus Cybersecurity
- IRIS-Web v2.4.25
Amped
- Authenticate 更新 39075:Deepfake检测换上新衣,现已在智能报告中可用;改进的GUI和报告等!
Berla
- iVe Software v4.13 发布
C.Peter
- UFADE 1.0.2
Didier Stevens
- 更新:numbers-to-hex.py 版本 0.0.4
Digital Sleuth
- winfor-salt v2025.14.3
Elcomsoft
- Elcomsoft System Recovery 8.36 新增对Windows Server 2025的支持、BitLocker密钥导出和增强的SRUM分析
Foxton Forensics
- Browser History Examiner — 版本历史 – 版本 1.23.0
- Timesketch 20251114
IsoBuster
- IsoBuster 5.7 beta 发布
Lethal-Forensics
- MacOS-Analyzer-Suite v1.0.0
Mandiant
- Capa v9.3.0
OpenCTI
- 6.8.11
Rapid7
- Velociraptor v0.75.5
Three Planet Software
- Apple Cloud Notes Parser v0.23
Yamato Security
- WELA v2.0.0 – CODE BLUE 发布
- Hayabusa v3.7.0 – CODE BLUE 发布
以上就是本周的全部内容!如果您认为我遗漏了什么,或者希望我特别关注某些内容,请通过联系页面或社交媒体渠道联系我! 跟我上课!使用折扣码 thisweekin4n6 在 Cyber5w 的任何课程中享受 15% 优惠。 使用代码 PM15 或点击此链接在您的下一个 Hexordia 课程中享受 15% 优惠。