网络安全与数字取证周报:第47周威胁情报、恶意软件与工具更新全解析

本文汇总了2025年第47周在数字取证与事件响应领域的重要动态,涵盖最新数据泄露事件分析、高级持续性威胁活动、恶意软件变种研究、开源取证工具更新以及行业会议与播客资源。

赛门铁克企业博客 | 不请自来的礼物:大型网络攻击利用虚假派对邀请引诱目标

一如既往,感谢那些为支持本项目而给予回馈的人们!

法证分析

  • Akash Patel | Hayabusa:一款用于法证和威胁狩猎的强大日志分析工具
  • Massimo Iuliani 于 Amped | 深度伪造检测测试结果——你能用肉眼识别深度伪造吗?
  • Brian Maloney | 让我们谈谈同意
  • Christopher Eng 于 Ogmini | 检查移动热点 – Orbic Speed RC400L – 第4部分
  • Elcomsoft | 突破壁垒:首次实现对运行 tvOS 26 的 Apple TV 4K 进行完整文件系统提取
  • 密码管理器:安全性、风险与法证影响
  • Forensafe | iOS 用户通知事件
  • The DFIR Report | 猫窃取了你的文件:Lynx 勒索软件

威胁情报/狩猎

  • Adam 于 Hexacorn | 一些不寻常的运行时 rundll32.exe 痕迹
  • Shaunak Khosla 于 Altered Security | BetterSuccessor:仍在滥用 dMSA 进行权限提升(补丁后的 BadSuccessor)
  • Any.Run | 通过示例解释 LOLBin 攻击:SOC 团队需要了解的一切
  • ASEC
    • 2025年10月信息窃取器趋势报告
    • 2025年10月钓鱼邮件趋势报告
    • 2025年10月APT组织趋势
    • 通过 VPN 网站分发的 NKNShell 恶意软件
    • 利用 WSUS 远程代码执行漏洞(CVE-2025-59287)的 ShadowPad 攻击分析
    • 冒充流行 OTT 服务的钓鱼邮件
    • 2025年10月勒索软件威胁趋势报告
    • 利用遭入侵的合法网站作为 C2 服务器的基于 AI 的混淆恶意应用分析报告
    • 2025年10月APT攻击趋势报告(韩国)
    • 使用高级检测与规避技术的恶意应用分析报告
  • AttackIQ
    • 模拟破坏性的 Sandworm 对手
    • 对 CISA 公告(AA24-109A)的更新回应:Akira 勒索软件
  • AWS 安全
    • 使用 Amazon OpenSearch 仪表板分析 AWS 网络防火墙日志
    • 新亚马逊威胁情报发现:连接网络与动能战的国家行为体
    • 利用 AWS 安全事件响应 AI 驱动能力加速调查
  • Christine Barry 于 Barracuda | Sinobi:想成为忍者的高端专属勒索软件组织
  • Nguyen Nguyen 和 Bart Blaze 于 CyberArmor | Autumn Dragon:与中国有关的 APT 组织瞄准东南亚
  • Mehmet Ergene 于 Blu Raven Academy | KQL 中的时间旅行
  • Brian Krebs 于 ‘Krebs on Security’
    • 微软 2025年11月补丁星期二
    • Cloudflare 宕机事件可能成为安全路线图
    • Mozilla 表示终于与双面人 Onerep 断绝关系
  • CERT Ukraine | 针对乌克兰东部教育机构的网络攻击,使用了 GAMYBEAR 软件(CERT-UA#18329)
  • CERT-AGID | 2025年11月15日至21日恶意活动概要
  • Chainalysis | 美国、英国和澳大利亚瞄准支持全球勒索软件行动的俄罗斯网络犯罪基础设施;美国瞄准全球毒品贩运网络的加密货币洗钱活动
  • Check Point
    • 11月17日 – 威胁情报报告
    • 黑色星期五网络犯罪经济:欺诈性域名和电子商务诈骗激增
  • Cofense | 你不知情的6个正在帮助黑客的 URL 缩短器
  • Coveware | Obscura 勒索软件:勒索软件数据丢失案例研究
  • Chris Prall 于 CrowdStrike | 击败 BLOCKADE SPIDER:CrowdStrike 如何阻止跨域攻击
  • Matthew Dobbs 于 Cyberbit | MITRE ATT&CK 企业矩阵的101指南
  • Cybersec Sentinel | GootLoader 新的规避方法瞄准搜索驱动的工作流程
  • Cyfirma | 每周情报报告 – 2025年11月21日
  • Andrea Draghetti 于 D3Lab
    • 针对意大利邮政的新骗局:邮件无链接,仅有一个联系电话号码!
    • 语音钓鱼活动持续:从克隆 Poste 到假冒 Google 邮件
  • DCSO CyTec | 2025年第三季度网络冲突简报
  • Detect FYI
    • 引入 DRAPE 指数:如何衡量威胁检测实践中的(不)成功?
    • 超越检测:扩展分析与响应以保持 MDR 的相关性
    • 从勒索软件到国家行为体 – MITRE ATT&CK v18 与检测策略如何转变 Active Directory…
    • 基于 Tor 出口节点的威胁狩猎(+ KQL 查询)
  • Disconinja | 每周威胁基础设施调查(第46周)
  • DomainTools Investigations | 威胁情报报告:APT35 泄露针对黎巴嫩、科威特、土耳其、沙特阿拉伯、韩国以及伊朗国内目标的黑客行动内部资料
  • Elliptic | 美国打击为网络犯罪提供便利的俄罗斯防弹托管服务
  • Olaf Hartong 于 Falcon Force | Microsoft Defender for Endpoint 内部 0x06 — 自定义收集
  • FalconFeeds | Kittenbusters:神秘的举报人
  • Gen | 权宜之计的联盟:APT组织如何开始合作
  • Google Cloud 威胁情报
    • 前线情报:针对航空航天与国防生态系统的 UNC1549 TTP、自定义工具和恶意软件分析
    • 超越水坑攻击:APT24 转向多向量攻击
  • GreyNoise
    • 当防弹托管被证明防弹时:Stark Industries 的骗局
    • FortiWeb CVE‑2025‑64446:我们在野外观察到的情况
    • Palo Alto 扫描量在24小时内激增40倍,创90天新高
    • 引入基于查询的阻止列表:在 GreyNoise 平台中实现完全可配置的实时威胁阻止
  • Hunt IO | Cobalt Strike 狩猎完全指南 – 第2部分:10多个用于发现 Cobalt Strike 的 HuntSQL 查询方法
  • Lindsey O’Donnell-Welch 和 Harlan Carvey 于 Huntress | Velociraptor WSUS 利用,第一部分:WSUS-Up?
  • Jeffrey Bellny 于 CatchingPhish | Rhadamanthys 的终局(暂时)
  • Shusei Tomonaga 于 JPCERT/CC | YAMAGoya:使用 Sigma 和 YARA 规则的实时客户端监控工具
  • Kostas | DetectionStream 迎来重大升级:Suricata 集成现已到来!
  • Mat Fuchs | GHOST 框架:零足迹 EDR 测试,为分析师应对真实威胁进行训练
  • Shmuel Uzan 于 Morphisec | Morphisec 挫败对美国房地产公司实施的复杂 Tuoni C2 攻击
  • Natto Thoughts | 中国网络安全公司通过攻防实验室推进进攻性网络能力
  • Oleg Skulkin 于 ‘Know Your Adversary’
      1. 对手使用 Outlook LoadMacroProviderOnBoot 实现持久化
      1. 检测 PowerShell 滥用是否容易?
      1. 对手持续使用 NetExec:法证视角
      1. 对手使用 HideMouse 隐藏远程访问证据
      1. 我们可以使用发现技术进行狩猎吗?
      1. 对手滥用 XstExport 在外泄前提取邮件
  • Marine Pichon 和 Alexis Bonnefoi 于 Orange Cyberdefense | 迷雾之痛:探索 Operation DreamJob 的武器库
  • Ian Ahl 于 Permiso | Gainsight 入侵调查:又一起 SalesLoft 式攻击正在展开
  • Sıla Özeren Hacıoğlu 于 Picus Security | 深入 Sandworm:十年的网络破坏与间谍活动
  • Dan Green 于 Push Security | 分析最新的 Sneaky2FA BITB 钓鱼页面
  • Recorded Future | 可操作的网络威胁情报
  • Red Canary | 情报洞察:2025年11月
  • SANS 互联网风暴中心
    • 解码二进制数值表达式,(11月17日,周一)
    • KongTuke 活动,(11月18日,周二)
    • Unicode:不仅仅是搞笑的域名。,(11月12日,周三)
    • 使用 CSS 填充作为混淆技术?,(11月21日,周五)
    • 9月以来观察到的 Oracle Identity Manager 漏洞利用(CVE-2025-61757),(11月20日,周四)
    • Wireshark 4.4.1 发布,(11月23日,周日)
  • Securelist
    • 2025年第三季度IT威胁演变。移动设备统计
    • 2025年第三季度IT威胁演变。非移动设备统计
    • Tsundere:一个新兴的僵尸网络滥用区块链和 Node.js
    • 深入暗网求职市场
    • ToddyCat:你隐藏的邮件助手。第1部分
  • Gilad Friedenreich Maizles 和 Marty Kareem 于 Security Scorecard | Operation WrtHug,隐藏在你家用路由器中的全球间谍活动
  • Dheeraj Kumar 和 Tanmay Kumar 于 Securonix | Securonix 威胁实验室每月情报洞察 – 2025年10月
  • Tomas Gatial 于 SentinelOne | 增强威胁狩猎能力 | 使用 Validin 和 Synapse 加强活动发现
  • Olivia Brown 于 Socket | npm 恶意软件活动使用 Adspect 隐蔽技术投递恶意重定向
  • SOCRadar
    • 暗网档案:Sarcoma 勒索软件
    • 暗网市场:FreshTools
  • Colin Cowie 于 Sophos | WhatsApp 入侵导致 Astaroth 部署
  • Stephan Berger | 剖析利用 php-win.exe 的 PHP 后门
  • Symantec 企业博客
    • 不想要的礼物:大型网络攻击利用虚假派对邀请引诱目标
    • 军备竞赛:AI 对网络安全的影响
  • Alberto Pellitteri 和 Michael Clark 于 Sysdig | 检测 CVE-2024-1086:在勒索软件活动中被积极利用的十年之久的 Linux 内核漏洞
  • System Weakness
    • 追踪数据痕迹:检测数据外泄的指南 ️‍
    • 犯罪现场调查:Web 服务器 – 检测 Web 攻击的防御者指南 ️‍
  • Yash Verma 于 Trend Micro | 剖析 S3 勒索软件:变种、攻击路径和 Trend Vision One™ 防御
  • Truesec | 反复使用高度可疑的 PDF 编辑器渗透环境
  • Valdin | 深入剖析朝鲜针对美国 AI 人才的虚假招聘平台
  • Lucie Cardiet 于 Vectra AI | Typhoon APT 如何不留痕迹地渗透基础设施
  • István Márton 于 Wordfence | 攻击者正积极利用 Post SMTP 插件中的关键漏洞
  • Блог Solar 4RAYS
    • Solar 4RAYS:2025年事件调查纪事
    • 恶意攻击态势:传感器分析

即将举办的活动

  • Cellebrite | DFU 解码:利用媒体情报揭示隐藏的真相
  • Cyber Social Hub | CyberSocialCon 2025 注册开放
  • Magnet Forensics | Mobile Unpacked S3:E11 // 分析应用的生命周期
  • SANS | 保持领先于勒索软件 – 针对勒索软件和网络勒索的威胁狩猎

演示/播客

  • Hexordia | Truth in Data EP18:从政策到处理器——立法如何协助儿童剥削调查
  • Adversary Universe 播客 | 诱导失败:潜伏在 DeepSeek 生成代码中的安全风险
  • Behind the Binary by Google Cloud Security | EP19 解构问题的艺术:Nino Isakovic 的工具、策略与 ScatterBrain 混淆器
  • Cloud Security Podcast by Google | EP252 代理式 SOC 现实:管理 AI 代理、数据保真度与衡量成功
  • HackTheBox | 酿造混乱:勒索软件组织如何攻击 Asahi
  • Huntress | 社区炉边谈话 | 完善你的事件响应规划
  • InfoSec_Bret | 挑战 – 黄金票据
  • Magnet Forensics
    • Mobile Minute 第15集 // Magnet Automate 如何将你的实验室转变为24小时司法送达中心
    • 使用 Magnet Verify 保护你的组织免受篡改媒体的侵害
    • 数字取证与自动化如何改变联邦调查
  • Microsoft Threat Intelligence Podcast | 啊嗬!针对大学的薪资海盗故事
  • Monolith Forensics | 在 Monolith 中向案例添加文件
  • MSAB | #MSABMonday – XRY 指定处理选项
  • MyDFIR
    • 网络安全 SOC 分析师实验室 – Web 调查(PCAP)
    • 从 YouTube 教程到真实的 SOC 技能 | MYDFIR 会员访谈
    • 从卡车司机到学习 SOC 分析师 | Anthony 的旅程
  • Off By One Security | 倦怠:不要被灼伤
  • Parsing the Truth: One Byte at a Time | 蘑菇谋杀案 第1部分
  • Permiso Security | 第04集 – Gainsight — Salesforce:又一起 OAuth 供应链恐慌?
  • Proofpoint | 从烤面包机到僵尸网络:保护日常物联网
  • Sandfly Security | Destination Linux Podcast:Tor、VPN 和匿名风险
  • SANS | Inside Digital Forensics:与 Heather Barnhart 在黑暗中寻找真相
  • The Weekly Purple Team | 使用 Windows 过滤平台致盲 EDR
  • Three Buddy Problem | Gemini 3 反响、Fortinet/Chrome 零日漏洞、Cloudflare 单一文化以及十亿美元的加密货币转折

恶意软件

  • Bloo | 深入 Shellcode:剖析朝鲜 APT43 的高级 PowerShell 加载器
  • Erik Pistelli 于 Cerbero | 内存挑战 8:MemLabs Lab 4 – 痴迷
  • Melissa Eckardt 于 cyber.wtf | Rhadamanthys 加载器去混淆
  • Cybereason | 加密许可:“绅士们”开始行动
  • Darktrace | Xillen Stealer 更新至第5版以规避 AI 检测
  • hasherezade’s 1001 nights | Flare-On 12 – 任务 9
  • K7 Labs
    • 内存中的伪装:隐藏的 .PYC 片段利用 cvtres.exe 与 C&C 通信
    • 巴西攻击活动:通过 WhatsApp 传播恶意软件
  • Jan Michael Alcantara 于 Netskope | 恶意软件的未来是 LLM 驱动的
  • PetiKVX | Virus.Win32.Aidlot 分析(MS-DOS,ASM)
  • Rexor | Vc0Snake 演变
  • Shubho57 | 恶意 VS code 可执行文件分析
  • Siddhant Mishra | 深入 Shellcode:剖析朝鲜 APT43 的高级 PowerShell 加载器
  • ThreatFabric | Sturnus:绕过 WhatsApp、Telegram 和 Signal 加密的移动银行恶意软件
  • Nathaniel Morales, John Basmayor, 和 Nikita Kazymirskyi 于 Trustwave SpiderLabs | SpiderLabs 识别出通过 WhatsApp 分发的新型银行木马
  • Facundo Muñoz 和 Dávid Gábriš 于 WeLiveSecurity | PlushDaemon 入侵网络设备以实施中间人攻击

其他

  • Cellebrite
    • 淹没在数据中?EDRM 模型是你的救生圈
    • 通过更智能的数字调查构建更安全的社区
  • CISA | CISA 发布指南以缓解防弹托管提供商带来的风险
  • Mike Wilkinson 于 Cyber Triage | 2025年远程取证收集工具
  • Josibel Mendoza 于 DFIR Dominican | DFIR 职位更新 – 2025年11月17日
  • Djnn | Anthropic 的论文闻起来像胡说八道
  • Forensic Focus
    • 使用 SS8 Discovery 解决高调凶杀案 – 下载案例研究
    • 重新思考内部调查:数字取证协作的新时代
    • GMDSOFT 技术通讯第16卷:Galaxy 和 iPhone 上 AI 编辑痕迹的分析
    • 数字取证汇总,2025年11月19日
    • 推出 Oxygen Remote Explorer 2.0
    • Amped Authenticate 通过智能报告和批量处理使深度伪造检测更轻松
    • 宣布 Magnet 用户峰会 2026 演示目录
  • Howard Oakley 于 ‘The Eclectic Light Company’ | 解释器:数据与元数据
  • Jeffrey Appel | 使用 Defender 中的有效设置排查已配置的 Defender AV 设置问题
  • Kevin Beaumont 于 DoublePulsar | 组织可以从 Capita 勒索软件事件创纪录的罚款中学到什么
  • Magnet Forensics
    • 推出 Magnet One Mobile Case Stream:现已提供早期访问!
    • 相同的应用,不同的数据:向法庭解释为何设备和云端数据不匹配
    • 利用数字取证推进员工不当行为调查
    • Magnet 用户峰会 2026:这是你的演示目录!
  • Mark Russinovich 于 Microsoft | 原生 Sysmon 功能即将登陆 Windows
  • Osama Elnaggar | 使用 Logstash 进行闪电般快速的日志丰富
  • Raymond Roethof
    • Microsoft Defender for Identity 推荐操作:内置的 Active Directory 来宾账户已启用
    • Microsoft Defender for Identity 推荐操作:更改 KRBTGT 账户的密码
    • Microsoft Defender for Identity 推荐操作:确保所有特权账户都设置了配置标志
    • Microsoft Defender for Identity 推荐操作:更改内置域管理员账户的密码
  • Salvation DATA | 比特币取证与加密货币取证:区块链调查初学者指南
  • Sandfly Security | 在 DigitalOcean 上部署和配置 Sandfly 无代理安全
  • Ryan McGeehan 于 Starting Up Security | 恶意内部人员情景
  • THOR Collective Dispatch
    • 现实世界中的紫队测试:当一切偏离轨道时(这很正常)
    • 协调风险管理与威胁知情防御实践(第2部分)
  • Alan Sguigna 于 White Knight Labs | 使用 MCP 进行调试、逆向工程和威胁分析:第2部分
  • Victor M. Alvarez 于 YARA-X | 看,没有警告

软件更新

  • Airbus Cybersecurity | IRIS-Web v2.4.26
  • Digital Sleuth | winfor-salt v2025.14.5
  • Lethal-Forensics | MacOS-Analyzer-Suite v1.1.0
  • Mandiant | Capa v9.3.1
  • MISP
    • MISP v2.5.25 – 性能更新
    • MISP v2.5.26 – 发布,包含性能改进和互操作性修复
  • MSAB | XRY 11.2.1:增强对现代设备和操作系统版本的支持
  • OpenCTI | 6.8.13
  • Passmark Software | OSForensics V11.1 build 1012 2025年11月18日
  • Phil Harvey | ExifTool 13.42
  • Xways | X-Ways Forensics 21.7 Preview 3

其他

这就是本周的全部内容!如果你认为我遗漏了什么,或者希望我特别报道某些内容,请通过联系页面或社交媒体渠道告诉我!

使用代码 PM15 或点击此链接,在 Hexordia 下一堂课中享受 15% 折扣 与我一起上课! 使用折扣码 thisweekin4n6,在 Cyber5w 的任何课程中享受 15% 折扣。

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次