网络安全周报:Shai-Hulud 2.0供应链攻击与DFIR技术动态

本周网络安全焦点是Shai-Hulud 2.0 NPM供应链攻击,波及超2.5万个GitHub仓库。此外,涵盖数字取证、恶意软件分析、云安全事件(如Salesloft-Drift泄露)及多项DFIR工具更新与威胁检测技术讨论。

本周重点:Shai-Hulud 2.0 供应链攻击

“Shai-Hulud 2.0”被确认为2025年最具侵略性的NPM供应链攻击之一。这个蠕虫式攻击已影响到超过25,000个GitHub仓库,暴露出超过14,000个敏感凭证。攻击者利用自动化手段在云和开发者生态系统中横向移动,凸显了SaaS供应链和非人类身份(NHI)安全的关键脆弱性。

数字取证与事件响应

  • 云与身份安全:深入分析了Salesloft-Drift泄露事件,攻击者利用窃取的OAuth令牌从GitHub移动到AWS,最终入侵Salesforce。报告提出了在类似环境中检测和遏制威胁的实用步骤。
  • 内存取证:Belkasoft发布了关于RAM取证工具、技术和最佳实践的指南。
  • 移动与云取证:涵盖了Android应用操作分析、Apple iMessage查询的隐私安全、AWS IAM凭证滥用以及使用Microsoft-Extractor-Suite等免费工具进行云日志分析。
  • Windows取证:探讨了休眠文件(hiberfil.sys)中的证据价值以及USB注册表键中的任意值问题。

威胁情报与狩猎

  • 高级持续性威胁
    • APT41的历史、行动和TTP分析。
    • 针对支持乌克兰的美国公司,俄罗斯RomCom组织利用SocGholish投放Mythic代理。
    • 伊朗IRGC网络作战部门“40部门”被曝光。
    • 针对俄罗斯航空航天业的攻击活动。
    • 韩国金融服务机构遭遇的混合地缘政治活动,涉及Qilin勒索软件即服务。
  • 勒索软件与经济:分析了Fog勒索软件2025年的TTP,并指出中端市场勒索软件经济依然活跃。
  • 凭证攻击与横向移动:探讨了Pass-The-Cert在Entra ID加入设备间的横向移动复兴,以及利用GPO进行横向移动的技术。
  • 网络钓鱼与欺诈:Black Friday期间,针对Amazon、Louis Vuitton等品牌的钓鱼攻击激增,零售仿冒网站通过视频广告传播。

恶意软件分析

  • 加载器与窃密程序
    • Xillen Stealer v5:高级凭证窃取和加载器平台。
    • Morte Loader:构建现代僵尸网络的Loader as a Service。
    • Olymp Loader:2025年新兴的恶意软件即服务威胁。
    • Valkyrie Stealer:功能、规避技术和操作者画像分析。
    • 针对Blender用户的恶意.blend文件传播StealC V2。
  • 后门与RAT
    • CastleLoader & CastleRAT:TAG150的模块化恶意软件交付系统。
    • 利用恶意VS Code扩展(仿冒“Material Icon Theme”)分发Rust植入物。
    • Phoenix后门、XWorm、JSGuLdr加载器的分析。
  • 物联网与移动威胁
    • ShadowV2针对IoT设备的新变种。
    • FlexibleFerret恶意软件持续攻击。
    • Google Play中的隐藏广告软件GhostAd影响数百万用户。
    • 安卓电视流媒体盒子被用于组建僵尸网络。
  • 分析技术与解码:演示了如何利用ChatGPT解码Astaroth恶意软件的字符串。

安全防御与检测工程

  • 检测即代码:系列文章第八部分探讨了检测规则调优。
  • SIEM与安全运营
    • 将UniFi网络监控集成到Microsoft Sentinel并扩展工作簿和分析规则。
    • 在Microsoft Sentinel中实现基于风险的告警。
    • 讨论如何让安全运营中心摆脱混乱状态。
  • 特定威胁检测
    • 检测Cobalt Strike HTTP(S)信标的简单方法。
    • 检测恶意ArcGIS服务器对象扩展。
    • 利用Entra ID日志检测3种常见的OAuth TTP。
  • 对手技术:持续跟踪 adversaries 滥用Shell图标覆盖处理程序、PowerCat、Windows事件日志、Microsoft管理控制台和多种LOLBIN进行持久化、反向Shell、发现和工具传输。

软件与工具更新

  • 取证工具:Atola TaskForce 2025.11(支持ZFS和LDAP)、OSForensics V11.1、Oxygen Forensic KeyScout、Amped Replay(辅助视频编辑)、IsoBuster 5.7、Elcomsoft工具(GPU加速密码破解)等发布更新。
  • 安全平台:MISP v2.5.27、OpenCTI 6.8.14、SigmaHQ pySigma v1.0.1、radare2 6.0.7发布。
  • 专业发行版:Tsurugi Linux发布2025年11月版本。

演示、播客与活动

  • 技术分享:涵盖了滥用Impacket进行委派攻击、Wazuh的全面可见性、无代理保护Linux主机、仿真APT构建Bootkit/Rootkit、内存分析挑战等主题。
  • 行业活动:Magnet Forensics介绍了混合代理Nexus和移动取证分析;SANS举办了云安全高级主题研讨会。
  • 培训与职业:提供了从零经验到SOC分析师的成长路径、简历撰写技巧以及DFIR职位更新。
comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次