2025年第35周数字取证与事件响应技术动态

赞助内容

学习Scattered Spider更新的TTP及防御方法 在本网络研讨会中，Permiso的CTO和P0 Labs威胁研究负责人将讨论：

Scattered Spider方法在过去几年的演变
他们当前的攻击重点及实施方式
Permiso平台如何发现和防御Scattered Spider身份立即注册 | 由Permiso赞助

取证分析

Belkasoft：使用Belkasoft R进行远程采集
Christopher Eng at Ogmini：内存取证 - Windows记事本第5部分
Forensafe：iOS查找我的设备
Salvation DATA：Windows取证中的预取文件
Chris Grettenberger at Sumuri：解锁Mac取证中统一日志的力量

威胁情报/狩猎

AttackIQ：
- 模拟Expedited Warlock勒索软件
- 勒索故事第三卷 - 模拟INC、Lynx和SafePay勒索软件
CJ Moses at AWS Security：亚马逊 disrupts 俄罗斯APT29的水坑攻击活动
Martin Zugec at Bitdefender：为何虚拟机管理程序成为勒索软件的新目标
Brian Krebs at ‘Krebs on Security’：
- DSLRoot、代理和"合法僵尸网络"威胁
- 附属机构涌向"无灵魂"的诈骗赌博机器
CERT-AGID：8月23-29日恶意活动周度总结报告
Check Point：
- 8月25日威胁情报报告
- 教室钓鱼：115,000封电子邮件利用Google Classroom针对13,500个组织
- ZipLine活动：针对美国公司的复杂钓鱼攻击
- 追逐银狐：内核阴影中的猫鼠游戏
CISA：反击中国国家支持的行为者全球网络入侵以供给全球间谍系统
Simone Mattia, Alessandro Strino, and Federico Valentini at Cleafy：PlayPraetor演变威胁：中文行为者如何全球扩展Android RAT
CloudSEK：
- 信任我的摘要器，现在我的冰箱被加密 - 威胁行为者如何通过基于CSS的ClickFix攻击武器化AI摘要器
- 信任的代价：分析利用TASPEN遗留问题针对印尼老年人的恶意软件活动
Max Gannon at Cofense：钓鱼工具包揭秘：用于规避SEG、沙箱和分析师的方法和策略
CTF导航：
- C#加载器｜Shellcode内存加载与免杀探索
- Korban Android勒索软件分析
- 故障修复之下的陷阱：Lazarus（APT-Q-1）近期利用ClickFix手法的攻击分析
- APT-C-53（Gamaredon）针对乌克兰政府职能部门攻击事件分析
Cyble：
- 2025年上半年澳大利亚和新西兰威胁形势令人担忧但有一线希望
- SikkahBot恶意软件活动引诱并欺诈孟加拉国学生
Cyfirma：8月29日周度情报报告
Danny Zendejas：Salesforce相关漏洞持续
Darktrace：
- Docker Engine API僵尸网络
- 新兴恶意软件活动
Detect FYI：
- 恶意编码PowerShell：检测、解码和建模
- 监控事件日志并触发DefenderXDR警报而无需摄取数据
- 在检测生命周期中集成和优先响应自动化
Disconinja：第34周威胁基础设施调查
Eoghan Casey at Salesforce：Salesforce安全事件取证调查入门
Esentire：威胁行为者通过受损的SonicWall SSL VPN凭据部署Sinobi勒索软件
Expel：你找不到ManualFinder，ManualFinder会找到你
FalconFeeds：
- 网络犯罪时区：威胁行为者活动如何反映全球时钟和文化节奏
- 揭露Qilin：深入了解新兴勒索软件威胁的基础设施、技术和策略
- macOS窃取器威胁演变：2024-2025趋势、战术和防御深度分析
- 数字欺骗格局：揭露虚假声明、勒索软件骗局和回收漏洞
Guillaume Valadon and Anna Nabiullina at GitGuardian：Nx “s1ngularity"攻击：内部凭证泄露
Google Cloud Threat Intelligence：
- 深度欺骗：PRC关联间谍活动劫持网络流量以外交官为目标
- 通过Salesloft Drift广泛窃取Salesforce实例数据
GreyNoise：近2,000个恶意IP在单日内探测Microsoft远程桌面
Group-IB：ShadowSilk：用于数据渗漏的跨境二进制联盟
Justin Timothy at GuidePoint Security：信息窃取器崛起：数字身份盗窃如何助长网络犯罪经济
Huntress：
- Cephalus勒索软件：不要失去理智
- 从假AnyDesk安装程序到MetaStealer
David Sardinha at Intrinsec：VAIZ、FDN3、TK-NET：参与暴力破解和密码喷洒攻击的乌克兰网络星云
Kevin Beaumont at DoublePulsar：Citrix忘记告诉你CVE-2025-6543自2025年5月以来已被用作零日漏洞
Jeff Kieschnick at LevelBlue：像管理员手中的PuTTY
Anish Bogati at Logpoint：Citrix漏洞上升 - 当网关失守时
Matt Suiche：ELEGANTBOUNCER：当你无法获取样本但仍需捕获威胁时
Microsoft Security：Storm-0501演变技术导致基于云的勒索软件
Mike Cohen at Rapid7：检测Velociraptor滥用
Mitiga：
- 从恶意OAuth应用到云基础设施接管
- CORSLeak：滥用IAP进行隐蔽数据渗漏
Ray Fernandez at Moonlock：假macOS教程传播新的Shamos窃取器
Brad LaPorte at Morphisec：勒索软件演变和数据渗漏：网络安全分析师深度分析
Natto Thoughts：无范围、无赏金、无竞赛：在中国2000年代黑客场景中锻造攻击能力
Hubert Lin at Netskope：DNS隧道：网络安全的盲点策略
Stamatis Chatzimangou at NVISO Labs：检测工程：实践检测即代码 - 文档 - 第4部分
Oleg Skulkin at ‘Know Your Adversary’：
- 1. SHAMOS如何绕过Gatekeeper检查
- 1. 实战LOLBAS：可扩展向导主机进程
- 1. 攻击者如何滥用Expand.exe
- 1. 攻击者如何滥用PowerShell进行组件对象模型劫持
- 1. 攻击者滥用企业事件响应工具
- 1. Lazarus如何采用ClickFix及如何狩猎
- 1. Msiexec能安装PDF文件吗？
- 1. NetSupport RAT：2025年8月最普遍的威胁
Isuf Deliu at Permiso：潜入你的DM：滥用Microsoft Teams进行恶意软件分发
Qi’anxin X Lab：
- 静默之控：主动与被动双模后门MystRodX的隐匿渗透
- 注意！MystRodX，隐蔽的双模后门
SANS Internet Storm Center：
- 读取Microsoft Word文档中的位置值，（8月25日周一）
- 启动shellcode的有趣技术，（8月27日周三）
- 更好处理国际化域名和Punycode，（8月26日周二）
- 对ZIP文件的搜索增加，（8月28日周四）
Seqrite：
- Operation HanKook Phantom：针对韩国的朝鲜APT37
- PromptLock：首个AI驱动的勒索软件及其工作原理
Shantaciak：E3 - 从钓鱼宏到PowerShell C2
Socket：
- Nx npm包在利用AI CLI工具的供应链攻击中受损
- 消耗钱包的npm包冒充Nodemailer劫持加密交易
Sophos：Velociraptor事件响应工具被滥用于远程访问
Splunk：静态Tundra分析及CVE-2018-0171检测指南
Vincent Zell at Stairwell：你的SVG是恶意的吗？在图形文件中隐藏恶意软件
Joe at Stranded on Pylos：威胁行为者的开始和结束
Sygnia：云安全事件响应：AWS、Azure和GCP最佳实践
Itz Sanskarr at System Weakness：VSCode隧道：APT最喜爱的远程访问后门
The Raven File：揭秘朝鲜IT工作者
THOR Collective Dispatch：
- 来自火线：2025财年第二季度
- 8月调度汇报：2025年8月
Nick Dai and Pierre Lee at Trend Micro：TAOTH活动利用终止支持软件针对传统中文用户和异议人士
Truesec：
- 揭露BEC威胁：威胁情报如何利用SOC和IR数据
- Tamperedchef - 恶意PDF编辑器
Trustwave SpiderLabs：
- 恶意Screen Connect活动滥用AI主题诱饵分发Xworm
- 解析Trustwave URL扫描器标记的钓鱼活动
Anton Cherepanov and Peter Strýček at WeLiveSecurity：ESET研究揭露首个已知AI驱动的勒索软件
Merav Bar and Rami McCarthy at Wiz：s1ngularity：供应链攻击在GitHub上泄露机密：你需要知道的一切
Heather Bates and Adam Ford at ZScaler：2025年勒索软件对公共部门的影响
Блог Solar 4RAYS：Fairy Trickster团伙更新工具及其与Lifting Zmiy的可能关联
Dale Hobbs at Black Hills Information Security：常被滥用的管理工具：企业安全的隐藏风险
Siddhant Mishra：Lumma窃取器：高级网络检测与验证（第3部分）

即将举办的活动

Black Hills Information Security：
- 使用AI击败AI恶意软件检测 w/ Brian Fehrman
- BHIS - 谈论[信息安全]新闻 2025-09-02 #直播 #信息安全 #信息安全新闻
Cellebrite：DFU解码：用媒体情报解锁隐藏真相
Simply Defensive：使用Kevin Mata (Swimlane)自动化蓝队在SOAR和AI网络安全 - Simply Defensive S4E6
Magnet Forensics：使用Magnet Automate在整个DF工具包中构建简化工作流
Off By One Security：与Eugene “Spaceraccoon” Lim一起的0-day狩猎策略

演示/播客

AhmedS Kasmani：使用GPT-5和Copilot分析恶意LNK投放器 - Cryptowall勒索软件
Alexis Brignoni：数字取证现在播客S2 - E15
Archan Choudhury at BlackPerl：PWNDORA，BlackPerl的精英网络实验室平台，即将推出！
Black Hat：QuickShell：分享关于Quick Share上RCE攻击链的关怀
Cellebrite：周二技巧：使用RegEx搜索提取
Cloud Security Podcast by Google：EP240 我们其他人的网络弹性：在真实世界预算中实现
Cyberwox：他们入侵了美国电信：使用ANY.RUN威胁情报调查Salt Typhoon（中国APT）
Gerald Auger at Simply Cyber：
- 劳动洗钱：威胁行为者如何渗透远程工作 | Simply Social Engineering S1 E8
- 内部黑客防御学院：为蓝队队员提供的游戏化恶意软件培训 | Simply Defensive S4 E5
InfoSec_Bret：SA - SOC343-321 - WinRAR零日路径遍历漏洞（CVE-2025-8088）
Insane Forensics：OT恶意软件长什么样？
John Dwyer：RedRaptor演示
LaurieWired：你的iPhone在文件方面对你撒谎…
Magnet Forensics：
- 优化调查流程：通过AI驱动评估解锁效率
- Mobile Unpacked S3:E8 // 近距离查看位置
Matthew Plascencia：Wireshark基础：Wireshark I
Michael Haggis：
- Claude找到了APT！
- PowerShell-Hunter 2发布
- 使用LOLDrivers MCP处理新驱动程序
Microsoft Threat Intelligence Podcast：来自Black Hat现场：勒索软件、负责任披露和AI崛起
MSAB：XRY排除文件类型
MyDFIR：进入网络安全比你想象的更难（SOC分析师）
Parsing the Truth: One Byte at a Time：Casey Anthony：辩方隐藏的专家
Proofpoint：直接发送利用和URL重写攻击：安全团队必须知道的内容
The Weekly Purple Team：Certipy深度潜水 — 通过AD CS与ESC4-ESC7进行升级
Three Buddy Problem：Salt Typhoon IOCs，Google浮动’网络破坏部门’，WhatsApp 0点击

恶意软件

ASEC：
- 全球分发的Underground勒索软件，包括韩国
- 2025年7月APT组织趋势
- 韩国受损案例后关于NightSpire勒索软件的警告
- 针对企业的Interlock勒索软件
Cryptax：Linux/Trigona：使用r2ai分析
Debugactiveprocess：NFC恶意软件演变：硬件级银行木马深度分析
Dr Josh Stroschein：
- RE 101 - 在Visual Studio编译的二进制文件中查找main()
- 汇编短片 - 使用XOR、REPNE和STOSD清除内存
Cara Lin at Fortinet：通过UpCrypter针对公司的钓鱼活动
G Data Software：AppSuite PDF编辑器后门：详细技术分析
Guy Korolevski at JFrog：8个恶意npm包提供多层Chrome浏览器信息窃取器
Pierre-Henri Pezier at Nextron Systems：Sindoor投放器：新的钓鱼活动
OSINT Team：
- DarkGate II：JAR的愤怒
- 开放目录暴露：在m.bureaux.fr上发现的APK和EXE转储
Security Onion：快速恶意软件分析：来自2025-08-20的NETSUPPORT RAT pcap
Shubho57：分析JavaScript文件导致XWORM和ReverseLoader（漏洞利用工具包）
Liran Tal at Snyk：在Nx恶意包安全事件中武器化AI编码代理进行恶意软件
ThreatFabric：Android投放器：恶意软件的沉默守门人
VirusTotal：
- 将AI分析应用于PDF威胁
- 将代码洞察集成到逆向工程工作流中
István Márton at Wordfence：15,000个WordPress网站受Dokan Pro WordPress插件中的权限升级漏洞影响
Zhassulan Zhussupov：恶意软件开发技巧51：通过合法Bitbucket API窃取数据。简单C示例。
Шифровальщики-вымогатели The Digest “Crypto-Ransomware”：NebulaRun

杂项

Brett Shavers：懒惰的警察工作导致逮捕无辜人员。
Cloudbrothers：从XDR流式API中移除旧版或孤立的Sentinels
Coalition：黑客如何在勒索软件攻击中利用保险详细信息
Josibel Mendoza at DFIR Dominican：DFIR工作更新 - 08/25/25
Doug Metz at Baker Street Forensics：你的USB设备是否减慢取证调查速度？
Forensic Focus：
- 技术安全和数字取证会议返回圣地亚哥，深入探讨AI、网络犯罪和司法
- 数字取证综述，2025年8月27日
- Amped Authenticate的视频模式：为取证视频分析设定更高标准
Oxygen Forensics：
- 王国钥匙：使用KeyScout和KeyDiver解锁关键证据
- 如何安排远程采集
Dante Fazio at The Metadata Perspective：电视和电影中的数字取证：区分事实与虚构

软件更新

Belkasoft：Belkasoft X 2.8为UFD数据源带来增强的BelkaGPT功能
Canadian Centre for Cyber Security：Assemblyline 4.6.0.13
Digital Sleuth：winfor-salt v2025.10.6
Mandiant：flare-floss – QUANTUMSTRAND beta 1
Metaspike：FEC远程认证器 1.50.8
MISP：MISP 2.5.19带来重要修复、按需关联引擎改进、任务调度器优化和更好的错误处理
MSAB：XRY 11.1.1发布：解锁更快、更智能的移动取证
OpenCTI：6.7.16
Paraben Corporation：E3取证平台版本4.4，具有新的Passware集成和Relativity导出增强功能，以及新的iCloud功能
Rapid7：Velociraptor发布 0.75 RC1
Xways：
- X-Ways用户论坛：X-Ways Forensics 21.5 SR-5
- X-Ways用户论坛：X-Ways Forensics 21.6 Beta 1b

这就是本周的全部内容！如果你认为我遗漏了什么，或者希望我特别报道某些内容，请通过联系页面或社交媒体渠道联系我！

跟我上课！使用折扣码 thisweekin4n6 在Cyber5w的任何课程享受15%折扣。使用代码 PM15 或点击此链接在下一个Hexordia课程享受15%折扣