2025年第33周数字取证与事件响应技术动态汇总

法证分析

Akash Patel:
- 理解Sublime Security中的"修复威胁"标签
- 探讨Sublime Security中的检测规则（电子邮件EDR！）
- 掌握Windows注册表取证
- USB取证
- 认识ASA：来自Sublime Security的新型AI驱动安全队友
- 最终篇：在Sublime EDR for Email中像专业人士一样狩猎、搜索和分析
Christopher Eng at Ogmini:
- 应用程序设置容器–RegUwpDateTimeOffset异常？
- BelkaCTF 7 – AAR API密钥
- BelkaCTF 7 – AAR Puppetmaster
- 内存取证–Windows记事本第1部分
- 内存取证–Windows记事本第2部分
- 内存取证–Windows记事本第3部分
- 内存取证–Windows记事本第4部分
Cyber Triage: DFIR后续步骤：可疑TeamViewer使用
Oleg Afonin at Elcomsoft: 分析Windows SRUM数据库
Eric Capuano: DFIR工件：PowerShell转录稿
Forensafe: iOS TeleGuard
Momal Naz at System Weakness: Wireshark：流量分析| TryHackMe — 演练 — 第2部分

威胁情报/狩猎

Abdulrehman Ali: Stardust Chollima APT对手模拟
Adam at Hexacorn: 超越传统的Run键，第150部分
Alparslan Akyıldız academy:
- APT 37战术与技术分析主动防御方法
- MuddyWater：据称伊朗支持的网络间谍威胁的演进 APT 33 APT 34 APT 39
Arctic Wolf: 威胁参与者剖析：Interlock勒索软件
Victor Vrabie at Bitdefender: Curly COMrades：针对地缘政治热点的新威胁参与者
Brad Duncan at Malware Traffic Analysis:
- 2025-08-11：XLoader（Formbook）感染
- 2025-08-13：Lumma Stealer感染
- 2025-08-12：十天扫描探测和击中我Web服务器的Web流量
- 2025-08-02：十天扫描探测和击中我Web服务器的Web流量
- 2025-08-15：带有SectopRAT的Lumma Stealer感染
Brian Krebs at ‘Krebs on Security’: 移动钓鱼者针对经纪账户进行"拉高抛售"套现计划
CERT-AGID: 8月9日至14日恶意活动周汇总摘要
Check Point:
- 新数据揭示7月最恶劣勒索软件组织和攻击激增
- 8月11日–威胁情报报告
- GitHub滥用引擎：保持领先一步
Cisco’s Talos:
- 恶意广告活动导致PS1Bot，一个多阶段恶意软件框架
- UAT-7237针对台湾Web托管基础设施
Fabian Bader at Cloudbrothers: 使用GraphAPIAuditEvents检测威胁–第3部分
Cofense:
- 网络钓鱼中的个性化：恶意软件交付的高级策略
- 这个’SAP Ariba报价’并非表面所见—它是勒索软件
CrowdStrike: 使用Falcon下一代SIEM防御SCATTERED SPIDER
CTF导航:
- APT-C-36（盲眼鹰）组织在新攻击活动中升级对抗手段
- 勒索软件组织BlackCat可能已更名为Embargo
- Kimsuky泄露文件简单分析
- APT | Kimsuky组织攻击套件大曝光
Cyble: 2025年7月勒索软件形势：Qilin保持领先，新威胁出现
Cyfirma: 每周情报报告–2025年8月15日
Dark Atlas:
- Scattered Spider – UNC3944：全面详细的威胁剖析
- 营销的影子双胞胎：网络犯罪对合法在线平台的使用
Darktrace: 追踪和遏制真实世界的Fortinet SSL-VPN攻击
Delivr.to: FileJacking：从浏览器渗出映射驱动器
Disconinja: 每周威胁基础设施调查（第32周）
Abdulrahman H. Alamri and Lexie Mooney at Dragos: Dragos工业勒索软件分析：2025年第二季度
FalconFeeds: “Scattered LAPSUS$ Hunters"的出现：泄露和混乱的调查时间线
Flashpoint: Scattered Spider：威胁剖析
G Data Software: JustAskJacky：AI导致特洛伊木马卷土重来
Azizbek Khakimov and Anton Fomin at Group-IB: 揭露投资骗局：AI交易、深度伪造和在线欺诈
Hunt IO: ERMAC V3.0银行木马：完整源代码泄露和基础设施分析
Harlan Carvey and Lindsey O’Donnell-Welch at Huntress: Kawabunga，老兄，你被勒索了！
Infoblox: 机器人内部：解构VexTrio的联盟广告平台
Jeffrey Bellny at CatchingPhish:
- 网络钓鱼模拟，但没有模拟
- 可爱的骗局：AI熊猫的奇特案例
Adam Goss at Kraven Security: 结构化分析技术：如何分析威胁情报
kyjonin: 欺骗技术–主动会话令牌盗窃检测
Ray Fernandez at Moonlock: 特斯拉Optimus机器人的虚假广告正在网络钓鱼用户数据
Nasreddine Bencherchali:
- 回声室–检测工程中的反馈循环
- 脆弱的平衡：检测工程中的假设、调优和遥测限制
Eugenio Benincasa at Natto Thoughts: 稀少而遥远：在中国红客时代，爱国黑客行动广泛存在—人才却非如此
NetSPI:
- 我们知道你上个夏天（在Azure中）做了什么
- 评估恶意连接应用程序的真实业务影响
Nimantha Deshappriya: 从科伦坡到平壤
Efstratios Lontzetidis at NVISO Labs: 揭示PoisonSeed网络钓鱼工具包
Oleg Skulkin at ‘Know Your Adversary’:
- 1. Akira滥用Wbadmin获取NTDS.dit副本
- 1. 另一个数据渗出工具：Restic
- 1. MucorAgent使用组件对象模型劫持实现持久化
- 1. 对手就是这样从注册表中提取凭据
- 1. 勒索软件团伙修补系统DLL以启用多个同时RDP连接
- 1. 对手就是这样滥用WMI进行发现
OSINT Team:
- 如何在安全运营中实际利用MITRE ATT&CK框架
- 威胁狩猎作为一种文化：将主动变为常规
- 勒索软件演进：从软盘到去中心化勒索帝国
- 第2集：暴力攻击–当黑客不断敲门直到门打开
- 第3集–驾驭会话浪潮：理解会话劫持
Kristopher Russo at Palo Alto Networks: Muddled Libra的打击团队：混合邪恶
Aditya Vats at Permiso: ITDR和身份验证安全：为何传统身份防御在2025年不足
Picus Security:
- LameHug：首个公开记录的集成LLM的恶意软件案例
- UNC3886战术、技术和程序（TTP）：完整技术分解
- 2025年的Raspberry Robin恶意软件：从USB蠕虫到精英初始访问经纪人
- RingReaper Linux恶意软件：EDR规避战术和技术分析
Proofpoint: 不要让我失望：FIDO身份验证降级
Luke Jennings at Push Security: 攻击者如何使用Active Directory联合服务通过合法office.com链接进行网络钓鱼
Watson Brown at Recon Infosec: 掌握威胁狩猎运营：深入Recon InfoSec的方法
Resecurity: ‘Blue Locker’分析：针对巴基斯坦石油和天然气行业的勒索软件
Reverse Engineering: 是证书的问题，笨蛋！
S2W Lab: 2025年上半年勒索软件形势：统计数据和关键问题
Sandfly Security: 泄露的朝鲜Linux隐形Rootkit分析
SANS Internet Storm Center:
- 谷歌付费广告用于虚假特斯拉网站，（8月10日，星期日）
- CVE-2017-11882永不死，（8月13日，星期三）
- AI和更快的攻击分析[客座日记]，（8月13日，星期三）
- SNI5GECT：无需流氓基站嗅探和注入5G流量，（8月14日，星期四）
Olga Altukhova at Securelist: 网络钓鱼和诈骗的新趋势：AI和社交媒体如何改变游戏规则
Shantaciak: 标记和加载：发现PowerShell滥用
Simone Kraus:
- STASI方法、心理效应以及Torvald Ask和现代的伦理审查…
- 更新的UAC-0099工具包：MATCHBOIL, MATCHWOK, DRAGSTARE
- 根据美国和德国法律对团伙跟踪的惩罚系统
- SAP漏洞利用脚本技术分析（Visual Composer “Metadata Uploader"漏洞利用）…
SOCRadar: 暗网剖析：Void Blizzard
Splunk:
- 在勒索软件发生前检测可疑ESXi活动 | Splunk
- 一图胜千码：剖析.NET（Quasar）RAT加载器中的图像隐写术 | Splunk
Evelyne Diaz Araque at Stairwell: RedDirection：检测其工件的YARA规则
Trellix:
- 揭露PathWiper：DCOM滥用和网络擦除
- HijackLoader及其感染链的全面分析
Trend Micro:
- 新勒索软件Charon使用Earth Baxia APT技术针对企业
- Crypto24勒索软件集团将合法工具与自定义恶意软件混合用于隐蔽攻击
Trustwave SpiderLabs:
- 当黑客来电：社会工程、滥用Brave支持和EncryptHub不断扩展的武器库
- 研究人员如何收集妥协指标
Jacob Baines at VulnCheck: ScriptCase – 狩猎它、利用它、防御它
WeLiveSecurity: 立即更新WinRAR工具：RomCom和其他利用零日漏洞
Zero Salarium: 通过符号链接进行Windows进程命令行欺骗

即将举行的活动

Black Hills Information Security: BHIS – 谈论[信息安全]新闻 2025-08-18 #直播 #信息安全 #信息安全新闻
Magnet Forensics:
- 通过Magnet Axiom Cyber新功能弥合DF和IR之间的差距
- Magnet Verify简介
Paraben Corporation: 在事件响应中使用Zandra AI

演示/播客

Behind the Binary by Google Cloud Security: 第13集超越漏洞：扩展漏洞赏金计划和启动网络安全初创公司，与Jared DeMott博士
Belkasoft: 红外图像：常见误解 | Marco Fontani
Chris Sienko at the Cyber Work podcast: 为何黑客现在窃取加密数据稍后解密 | David Close
Cloud Security Podcast by Google: 第238集谷歌使用AI代理保护我们企业的经验教训
Cyber Social Hub: 犯罪AI：调查人员在为时已晚之前需要了解的内容
Dr Josh Stroschein: Behind the Binary新剧集：Jared DeMott谈漏洞赏金和启动网络安全初创公司
Endace: 数据包法证文件–第62集 Jessica Oppenheimer – Cisco
FIRST: FIRSTCON25
Huntress:
- Yukari’悬赏50万美元–然后Breach论坛消失 | 贸易技巧星期二
- SOC演练：VPN妥协的剖析 | Huntress
InfoSec_Bret: SA – SOC127-235 – 检测到SQL注入
John Hammond: Bloodhound现在映射一切
Magnet Forensics: AI解包#4：媒体取证中的AI–展望调查的未来
MSAB: #MSABMonday – Hash Tree Builder第3部分
MyDFIR: 如果我有90天成为SOC分析师，我会关注什么
Paraben Corporation: 使用InvestiGator AI工具
Parsing the Truth: One Byte at a Time: Casey Anthony：不同工具–不同故事
Proofpoint: 网络钓鱼、芯片和伏地魔：中国对台湾网络瞄准内幕
SANS: SANS DFIR峰会2025
Sumuri: 全新改进的RECON ITR最新成像
The Cyber Mentor: 30分钟内入门PowerShell！
The Weekly Purple Team: Certify 2.0和ADCS证书升级（ESC1–ESC3）
Three Buddy Problem: 关于AI的未来、安全的失败以及接下来会发生什么

恶意软件

ASEC:
- 通过伪装成合法项目的GitHub仓库分发SmartLoader恶意软件
- 通过AhnLab EDR检测利用Linux PAM的恶意软件
- 在YouTube视频下载网站分发代理软件恶意软件
- 2025年7月网络钓鱼邮件趋势报告
Gilad Sharabi and Yazan Khalaf at AWS Security: AWS上的恶意软件分析：设置安全环境
Erik Hjelmvik at Netresec: PureRAT = ResolverRAT = PureHVNC
Elad Damari at Fortinet: 从ClickFix到命令：完整的PowerShell攻击链
Nicole Fishbein at Intezer: 威胁公告：森林之火–FireWood的新变种
Yuma Masubuchi at JPCERT/CC: CrossC2将Cobalt Strike Beacon扩展到跨平台攻击
Lauren Che and Zong-Yu Wu at Palo Alto Networks: 以Donut生成Shellcode为特色的大型恶意软件分析教程
Guy Barnhart-Magen and Brenton Morris at Profero: 从无人机打击到文件恢复：智胜民族国家
Pulsedive: 解包KiwiStealer：深入BITTER APT的文件渗出恶意软件
Karlo Zanki at ReversingLabs: 受感染的npm包威胁开发人员项目
Shubho57: 分析Shell脚本导致Mirai僵尸网络
Puja Srivastava at Sucuri: 恶意JavaScript在WordPress网站上注入全屏Iframe
ThreatFabric: PhantomCard：巴西新兴的NFC驱动Android恶意软件
Bernardo.Quintero at VirusTotal: Code Insight扩展到揭示软件供应链风险
István Márton at Wordfence: 40,000个WordPress网站受UiCore Elements WordPress插件中任意文件读取漏洞影响
Zhassulan Zhussupov:
- 恶意软件开发技巧49：滥用Azure DevOps REST API建立隐蔽数据通道。简单C示例。
- 恶意软件开发技巧50：使用虚假登录页面和Telegram渗出的网络钓鱼攻击。简单JavaScript示例。
Шифровальщики-вымогатели The Digest “Crypto-Ransomware”: BaqiyatLock

杂项

Brett Shavers: 从法警到陪审员#12：每个法庭角色如何评价你的DFIR
Brett Shavers at DFIR.Training:
- 整合、运营还是营销？DF和IR中的语言鸿沟
- PSBK第3卷更新：我希望存在的案例工作书
Craig Ball at ‘Ball in your Court’:
- 仍在拨号：为何该退役Enron电子邮件语料库
- 原生与否？重新思考电子发现公共电子邮件语料库（重制，2013→2025）
Damien Lewke: 你自己的网络威胁导师
Josibel Mendoza at DFIR Dominican: DFIR工作更新–2025年8月11日
Forensic Focus:
- 2025年7月Oxygen技术字节
- Neal Ysart，网络调查员联盟联合创始人
- 数字取证和警务中的福祉：来自Hannah Bailey的见解
- 打破数字障碍：Galaxy S25和Z Flip完全支持
- 数字取证综述，2025年8月13日
- 企业转向AI以提高DFIR速度和准确性
Magnet Forensics: eDiscovery调查蓝图：数字取证和eDiscovery
Matthew Plascencia: 越狱：“跳出框框思考”
Oxygen Forensics: Oxygen Remote Explorer用于早期案件评估和企业事务的8大优势
Patrick Siewert at ‘The Philosophy of DFIR’: 第2部分，共3部分：运营数字取证业务
Ryan G. Cox at The Cybersec Café: 你的SOC不是IT服务台。所以停止像运行IT服务台一样运行它。

软件更新

Digital Sleuth: winfor-salt v2025.10.4
Elcomsoft: Elcomsoft System Recovery 8.35增加SRUM支持，提升磁盘成像速度
Nextron Systems:
- THOR Lite新功能：存档扫描和YARA Forge集成
- 宣布推出ASGARD Analysis Cockpit v4.3
Obsidian Forensics: unfurl v2025.08
OpenCTI: 6.7.11
Passmark Software: OSForensics V11.1 build 1010 2025年8月12日
radare2: 6.0.2
Security Onion: Security Onion 2.4.170现已可用，包括JA4、更多SOC仪表板和更新组件！
Thiago Canozzo Lahru: ac-3.2.0
Xways: X-Ways Forensics 21.6 Preview 5
Yamato Security:
- Hayabusa v3.5.0 – Obon发布
- suzaku v1.1.0 – Obon发布
Yogesh Khatri: mac_apt 20250814