网络安全与数字取证技术周报精选：第41周2025

赞助内容

Inside the Salesloft-Drift Breach: What It Means for SaaS & Identity Security 本次会议中，Permiso公司的CTO将探讨：

攻击者如何利用窃取的OAuth令牌从GitHub移动到AWS再到Salesforce。
为何这次“全机器”攻击为SaaS供应链和NHI（非人类身份）敲响了警钟。
在您自身环境中检测和遏制类似威胁的实用步骤。观看视频播客 由Permiso赞助

一如既往，感谢那些给予支持、回馈社区的人们！

取证分析

Alp Batur: 程序存在证据：Amcache和Shimcache
Lucy Carey-Shields (AmpedForensic): 使用Amped FIVE的视频取证工作流程 – 第一部分：初步步骤、验证与文件考量
Brian Maloney: OneDrive快速访问
Erik Pistelli (Cerbero): 内存挑战赛2：MEM挑战
Christopher Eng (Ogmini):
- Gmail应用 – IMAP账户痕迹（附件）– 第二部分
- Gmail应用 – IMAP账户痕迹（附件）– 第三部分
- Gmail应用 – IMAP账户痕迹（消息日志）– 第一部分
Cyber Triage: DFIR后续步骤：可疑的Pulseway使用
Dr. Neal Krawetz (‘The Hacker Factor Blog’): 照片修改与现实
Elcomsoft: 证据保全：为何iPhone数据会过期
Forensafe: 调查iOS上的Truth Social应用
Iram Jack:
- Windows与Linux内存获取
- 虚拟机和云环境中的内存获取
- Volatility基础
- Windows内存与进程
- Windows内存与用户活动
- Windows内存与网络
OSINT Team:
- 使用MFTEcmd及其他工具分析NTFS中的$MFT文件
- Forensic-Timeliner v2.2：高速Windows DFIR时间线整合
Anthony Dourra (Paraben Corporation): DFIR：理解证据类型对决策的重要性
SJDC: 通过macOS收集iPhone统一日志
Studio d’Informatica Forense: DMARC取证：一款用于验证合规性并防止欺骗问题的工具
The Packd Byte:
- 文章003：关于在扣押时刻进行移动设备保全。
- 将统一日志从FFS提取中导出以在Mac上查看

威胁情报/狩猎

Adam (Hexacorn): ntprint.exe lolbin
Arctic Wolf: 数据外泄
Ayelen Torello 和 Francis Guibernau (AttackIQ): 模拟多功能的Qilin勒索软件
Maria Vasilevskaya (Auth0): 刷新令牌安全：使用Auth0检测劫持与滥用
Brad Duncan (Malware Traffic Analysis):
- 2025-10-06：日语钓鱼邮件
- 2025-10-01：疑似Rhadamanthys伪装为流行软件的破解版
- 2025-10-02：Android恶意软件
- 2025-10-08：来自Kongtuke活动的ClickFix页面感染
Brian Krebs (‘Krebs on Security’):
- ShinyHunters发起广泛的企业勒索活动
- DDoS僵尸网络Aisuru以创纪录的DDoS攻击覆盖美国ISP
CERT-AGID: 2025年10月4日至10日恶意活动周报摘要
Check Point:
- 10月6日 – 威胁情报报告
- 2025年9月全球网络威胁：攻击量略有下降，但随着勒索软件激增46%，生成式AI风险加剧
Cisco Talos:
- 太咸了无法处理：揭露隐藏文本加盐的CSS滥用案例
- Velociraptor被用于勒索软件攻击
CloudSEK: 对IRGC关联的APT35行动的内部观察
Emmett Smith 和 Brooke McLain (Cofense): 来自家庭的钓鱼 – 特斯拉、谷歌、法拉利和Glassdoor远程工作中潜伏的隐藏危险
Andreas Arnold (Compass Security): LockBit数据泄露：来自勒索软件组织内部数据的洞察
CrowdStrike: CrowdStrike发现通过零日漏洞（现追踪为CVE-2025-61882）针对Oracle电子商务套件的活动
Cyfirma: 每周情报报告 – 2025年10月10日
Damien Lewke: 狩猎压缩的攻击链
Darktrace: Akira SonicWall活动曝光
Disconinja: 每周威胁基础设施调查（第40周）
DomainTools Investigations: 加密货币诈骗网络内部
Elastic Security Labs: 2025年Elastic全球威胁报告揭示不断演变的威胁态势
Elliptic: 朝鲜加密货币黑客在2025年已窃取超过20亿美元
Esentire: 新Rust恶意软件“ChaosBot”利用Discord进行命令与控制
Bas van den Berg (Eye Research): ClickFix拦截：防范虚假CAPTCHA攻击 | Eye Security
FalconFeeds:
- 无边界的战场：地区冲突如何在网络威胁行为者行为中体现
- 不断演变的窃密软件威胁态势：一个月深度分析（2025年8月20日 – 9月19日）
- 消失的有效载荷：追踪后恶意软件时代的无文件攻击
Forescout: 黑客行动主义攻击剖析：俄罗斯关联组织针对OT/ICS
gm0:
- The Gentlemen勒索软件组织档案 – 第二部分：基础设施
- The Gentlemen勒索软件组织档案 – 第三部分：行动
- The Gentlemen勒索软件组织档案 – 第四部分：影响
Peter Ukhanov, Genevieve Stark, Zander Work, Ashley Pearson, Josh Murchie, Austin Larsen (Google Cloud Threat Intelligence): Oracle电子商务套件零日漏洞在广泛勒索活动中被利用
Noah Stone (GreyNoise): 超过10万个IP的僵尸网络对美国基础设施发起协调的RDP攻击波
Hunt IO: AdaptixC2曝光：能力、战术与狩猎策略
Huntress:
- 王储，Nezha：受中国关联威胁行为者青睐的新工具
- Gladinet CentreStack和Triofox本地文件包含漏洞的积极利用
Maël Le Touz 和 John Wòjcik (Infoblox): 杀猪盘骗局及其DNS踪迹：将威胁与恶意场所关联
InfoSec Write-ups:
- 对手TTP模拟实验室
- 中间人攻击检测
Benjamin Tan 和 Moses Tay (INTfinity Consulting): 从DFIR视角保护您的CMS
Invictus Incident Response: 2025年BEC攻击剖析
Kevin Beaumont (DoublePulsar): Red Hat Consulting数据泄露使超过5000家高端企业客户面临风险 – 详细分析
Adam Goss (Kraven Security): 驯服数据野兽：威胁狩猎者的Nushell指南
Alexandre Kim (MaverisLabs): 躲避警惕之眼：红队成员的EDR绕过技术指南
Md. Abdullah Al Mamun: 自2025年9月以来未知的俄罗斯网络攻击
Microsoft Security:
- 调查CVE-2025-10035 GoAnywhere托管文件传输漏洞的积极利用
- 破坏针对Microsoft Teams的威胁
- 调查影响美国大学的针对性“薪资海盗”攻击
Idan Cohen (Mitiga): ShinyHunters和UNC6395：Salesforce和Salesloft数据泄露内部
Natto Thoughts: 中国的漏洞研究：现在有何不同？
NCSC: 通过可观测性和威胁狩猎加强国家网络弹性
NVISO Labs:
- 检测工程：实践检测即代码 – 监控 – 第7部分
- 漏洞管理 – 需求、范围界定与目标设定
Oleg Skulkin (‘Know Your Adversary’):
- 1. Confucius组织使用恶意的PowerPoint放映文件
- 1. 狩猎可疑的TLD
- 1. 对手滥用Bunny.net CDN
- 1. 这又是一个您很可能检测不到的RMM工具
- 1. 勒索软件团伙就是这样滥用Wbadmin的
- 1. WhatsApp蠕虫就是这样禁用UAC的
- 1. Stealit就是这样隐藏PowerShell窗口的
Palo Alto Networks:
- 从勒索到收入损失
- ClickFix工厂：首次曝光IUAM ClickFix生成器
- 响应云事件：2025年Unit 42全球事件响应报告分步指南
- 当AI记忆过多时 – 代理记忆中的持久性行为
- 弥补云安全差距
- 黄金天平：Bling Libra与不断演变的勒索经济
Rain Ginsberg: substation_at_0742.nfo
Recorded Future: 大规模恶意NPM包攻击威胁软件供应链
Tony Lambert 和 Chris Brook (Red Canary): Mac窃密软件分类学：区分Atomic、Odyssey和Poseidon
SANS Internet Storm Center:
- 对可能的Oracle电子商务套件漏洞利用脚本的快速粗略分析（CVE-2025-61882）[已更新]，（10月6日，周一）
- 多态Python恶意软件，（10月8日，周三）
- 利用FreePBX漏洞（CVE-2025-57819）进行代码执行，（10月7日，周二）
- [访客日记] 建立更好的防御：来自蜜罐的RedTail观察，（10月9日，周四）
- Wireshark 4.4.10和4.6.0发布，（10月12日，周日）
Securelist:
- 使用机器学习检测DLL劫持：真实案例
- 我们如何训练一个ML模型来检测DLL劫持
Thomas Roccia (SecurityBreak): 介绍PromptIntel
Liran Tal (Snyk): 利用NPM生态系统的钓鱼活动
Socket:
- 175个恶意npm包托管针对135个以上组织的钓鱼基础设施
- 朝鲜的“传染性面试”活动升级：338个恶意npm包，5万次下载
- 在npm、PyPI和RubyGems.org上利用Discord进行命令与控制
SOCRadar: 虚假的Microsoft Teams安装程序投放Oyster后门
Sophos:
- 2025年医疗保健行业的勒索软件状况
- WhatsApp蠕虫瞄准巴西银行客户
Vincent Zell (Stairwell): Yurei：一种新的勒索软件威胁
Bryan Campbell (Sublime Security): 英国内政部签证和移民诈骗瞄准赞助管理系统账户
Marco A. De Felice aka amvinfe (SuspectFile):
- 迈阿密律师事务所遭遇重大数据泄露：2.5TB敏感文件暴露
- 更新：Beaumont Bone & Joint Institute遭PEAR针对性攻击：大规模敏感数据泄露
Synacktiv: LLM投毒 [1/3] – 解读Transformer的想法
Eduardo Kayky (System Weakness): LetsDefend – SOC模拟器/英文版
THOR Collective Dispatch:
- 时间的形状：掌握时间图表
- 超越指标狩猎
Andrew Scott (Todyl): 网络犯罪联盟的崛起：LockBit、Qilin和DragonForce对企业风险意味着什么
Trellix: 俄罗斯物理网络间谍活动的演变
Trend Micro:
- 武器化的AI助手与凭据窃取器
- 您的AI聊天机器人如何成为后门
- 不安全架构的连锁反应：Axis插件设计缺陷使部分Autodesk Revit用户面临供应链风险
Jean-Francois Gobin (Truesec): 她在海边卖Web Shells（第二部分）
Ugur Koc 和 Bert-Jan Pals (Kusto Insights): Kusto Insights – 2025年9月更新
Kenneth Kinion (Validin): 使用Validin探索发票欺诈邮件尝试
Vasilis Orlof (Cyber Intelligence Insights): 情报披露 #2
Lucie Cardiet (Vectra AI): 透视表面之下：Crimson Collective揭示的云检测深度
Callum Roxan, Killian Raimbaud, 和 Steven Adair (Volexity): APT遇见GPT：利用未受控LLM的针对性行动
watchTowr Labs:
- 好吧，好吧，好吧。又是新的一天。（Oracle电子商务套件预认证RCE链 – CVE-2025-61882）
- 不仅仅是DoS（Progress Telerik UI for ASP.NET AJAX不安全反射漏洞CVE-2025-3600）
Wiz:
- RediShell：Redis中的严重远程代码执行漏洞（CVE-2025-49844），CVSS 10分
- 防御数据库勒索软件攻击
Vinay Polurouthu, Manohar Ghule, 和 Brendon Macaraeg (ZScaler): 防御最终阶段重组攻击
Блог Solar 4RAYS: NGC4141：东亚组织攻击定制Web应用程序

即将举行的活动

Simply Defensive: 检测工程教程：云安全、Kubernetes日志记录与SOC职业路径 | S5 E2
Huntress: 技术星期二 | Huntress CTF 2025
Magnet Forensics:
- 云还是本地？为何不两者兼得 — 发现新的Nexus混合代理
- 使用Magnet Graykey Fastrak和Magnet Automate消除您的移动设备积压和瓶颈
Paula Januszkiewicz 和 Amr Thabet (Cqure Academy): 直播网络研讨会 当邪恶隐匿时：威胁狩猎者和事件响应者的最佳实践
Silent Push: 研讨会 – 在攻击前检测钓鱼基础设施

演示/播客

Hexordia: Truth in Dat: EP15：证据权威：专家证人证词
Cellebrite:
- 问专家：与Ian Whiffin一起审查Karen Read审判 – 第1部分
- 问专家：与Ian Whiffin一起审查Karen Read审判 – 第2部分
Cellebrite: 技巧星期二：在Inseyets UFED中使用Streamline
Cloud Security Podcast by Google: EP246 从扫描器到AI：Qualys CEO Sumedh Thakar谈25年的漏洞管理
Magnet Forensics:
- 向领先的媒体取证专家学习审查和分析媒体证据的技巧和最佳实践
- 网络揭秘 S2:E4 // 来自一线的声音：DFIR的趋势、挑战与未来
Michael Haggis: ClickGrab更新：新技术、重定向跟随器、社区集成及更多！
Microsoft Threat Intelligence Podcast: 威胁态势更新：勒索软件即服务与高级模块化恶意软件
Monolith Forensics:
- 如何在Monolith中添加获取任务
- Neptune中的哈希搜索
- 在Neptune中将网络威胁情报标记为已审阅
- Neptune中的已知媒体
- 在Neptune中使用快捷键
- 在Neptune中审阅网络威胁情报数据
- 在Neptune中添加和处理网络威胁情报
- Neptune简介
MSAB: XAMN早期访问第二部分
MyDFIR: 这就是为什么您应该在家庭实验室中模拟攻击
Parsing the Truth: One Byte at a Time: 关于Pam Hupp和Russ Faria的事情第1部分
Proofpoint: 当对网络安全有意识意味着知道自己是人类时
Sandfly Security: Linux隐形Rootkit狩猎演示
SentinelOne: LABScon25重播 | 自动挑衅：AI时代的分析技术
The Cyber Mentor: 直播：HTB Sherlocks！| 网络安全 | 蓝队
The DFIR Journal: SharePoint同步：生产力变为数据外泄
The Weekly Purple Team Vibe: 使用AI进行攻防操作自动化的黑客技术
Three Buddy Problem:
- Chris Eng谈从NSA、@Stake、Veracode和20年网络安全生涯中吸取的教训
- Apple漏洞链赏金、无线近场漏洞利用和战术手提箱

恶意软件

CTF导航APT: 海莲花组织Havoc远控木马分析
Cybereason: 应对针对Oracle EBS漏洞CVE-2025-61882的CL0P勒索活动
Dr Josh Stroschein:
- 直播：Suricata 8.0.1 & 7.0.12安全发布：与核心团队一起修复高严重性CVE
- Behind the Binary新一集：逆向工程中的机器学习革命
Fortinet:
- Chaos勒索软件的演变：更快、更智能、更危险
- 新的Stealit活动滥用Node.js单可执行应用程序
Harshil Patel 和 Prabudh Chakravorty (McAfee Labs): Astaroth：滥用GitHub以增强韧性的银行木马
Ray Fernandez (Moonlock): Mac.c窃密软件演变为具有后门和远程控制的MacSync
Rizqi Setyo Kusprihantanto (OSINT Team): MCP作为您的恶意软件分析助手
Paolo Luise: Ghidra与字符串
Shubho57: bat文件投放器分析
Rizqi Mulki (System Weakness): Android应用程序逆向工程：揭示隐藏的秘密
Zhassulan Zhussupov: Linux黑客第7部分：Linux系统信息窃取器：Telegram Bot API。简单的C语言示例
بانک اطلاعات تهدیدات بدافزاری پادویش: HackTool.Win32.APT-GANG8220

杂项

Decrypting a Defense: ICE能力提升，SIM卡农场，NYCHA监控听证会，修复损坏的手机用于提取及更多
Josibel Mendoza (DFIR Dominican): DFIR职位更新 – 2025/10/06
Forensic Focus:
- Exterro推出FTK Imager Pro，为全球调查人员解锁对加密证据的更快访问
- 关于PDF解密的一切 – 在Passware知识库中发现
- 即将举行的网络研讨会 – 深入解析2025年秋季版本
- Alexander Fehrmann：如何在Amped FIVE中分析痕迹证据
- Forensic Focus摘要，2025年10月10日
GreyNoise: 介绍GreyNoise Feeds：用于实时响应的实时情报
Group-IB: 值得您收件箱关注的7大网络安全通讯
Manuel Feifel (InfoGuard Labs): 分析与突破Defender for Endpoint的云通信
Kevin Pagano (Stark 4N6): 与Magnet Forensics合作的网络揭秘专题
Magnet Forensics:
- Magnet Axiom秋季更新：ChatGPT、Chromium、私密消息支持及更多
- 使用Magnet One节省数字调查时间：第4部分 – 简化您的数据管理
- 使用数字取证打击毒品和帮派暴力
MISP: Wazuh与MISP集成
Oxygen Forensics:
- 事件响应团队可立即改善远程数据收集的5种方法
- 如何在Oxygen Remote Explorer中使用代理管理中心
Shantaciak: 事件响应策略：风暴前的蓝图
Pilar Garcia (Sucuri): 介绍Sucuri学院：您学习网站安全的新去处
System Weakness: Blue Cape Security的新取证认证？我已获得，这是我的评测。
Bernardo.Quintero (VirusTotal): 更简单的访问，更强的VirusTotal

软件更新

Brian Maloney: OneDriveExplorer v2025.10.09
Digital Sleuth: winfor-salt v2025.11.1
Doug Metz (Baker Street Forensics): 跨平台DFIR工具：Windows上的MalChelaGUI
North Loop Consulting: Arsenic v2.0
OpenCTI: 6.8.4
Passmark Software: OSForensics V11.1 build 1011 2025年10月8日
Passware: Passware Kit Mobile 2025 v4 现已推出
Phil Harvey: ExifTool 13.39
Ulf Frisk: MemProcFS Version 5.16
WithSecure Labs: Chainsaw v2.13.1
Xways:
- X-Ways Forensics 21.5 SR-8
- X-Ways Forensics 21.6 Beta 6

以上就是本周的全部内容！如果您认为我遗漏了什么，或者希望我专门报道某些内容，请通过联系页面或社交媒体渠道告诉我！

使用代码PM15或点击此链接，在Hexordia的下一堂课中享受15%折扣。与我一起上课！在Cyber5w的任何课程中使用折扣码thisweekin4n6可享受15%优惠。