2025年第35周数字取证与事件响应技术动态汇总

赞助内容

学习Scattered Spider的最新TTP及防御方法 在本网络研讨会中，Permiso的CTO和P0 Labs威胁研究负责人将讨论：

Scattered Spider方法在过去几年的演变
他们当前的攻击重点及实施方式
Permiso平台如何发现并防御Scattered Spider身份立即注册 | 由Permiso赞助

取证分析

Belkasoft: Belkasoft远程采集与Belkasoft R
Christopher Eng at Ogmini: 内存取证 - Windows记事本第五部分
Forensafe: iOS查找我的设备
Salvation DATA: Windows取证中的预取文件
Chris Grettenberger at Sumuri: 解锁Mac取证中统一日志的强大功能

威胁情报/狩猎

AttackIQ:
- 模拟Expedited Warlock勒索软件
- 勒索故事第三卷 - 模拟INC、Lynx和SafePay勒索软件
CJ Moses at AWS Security: Amazon破坏俄罗斯APT29的水坑攻击活动
Martin Zugec at Bitdefender: 为何虚拟机监控程序成为勒索软件的新目标
Brian Krebs at ‘Krebs on Security’:
- DSLRoot、代理与"合法僵尸网络"威胁
- affiliates涌向"无灵魂"的诈骗赌博机器
CERT-AGID: 8月23-29日恶意活动周总结
Check Point:
- 8月25日威胁情报报告
- 课堂钓鱼：115,000封电子邮件利用Google Classroom针对13,500个组织
- ZipLine活动：针对美国公司的复杂钓鱼攻击
- 追逐银狐：内核阴影中的猫鼠游戏
CISA: 应对中国国家支持行为者入侵全球网络以供给全球间谍系统
Simone Mattia, Alessandro Strino, and Federico Valentini at Cleafy: PlayPraetor进化威胁：中文行为者如何全球扩展Android RAT
CloudSEK:
- 信任我的摘要器，现在我的冰箱被加密 - 威胁行为者如何利用基于CSS的ClickFix攻击武器化AI摘要器
- 信任的代价：分析利用TASPEN遗留问题针对印尼老年人的恶意软件活动
Max Gannon at Cofense: 钓鱼工具包揭秘：用于规避SEG、沙箱和分析师的方法与策略
CTF导航:
- C#加载器｜Shellcode内存加载与免杀探索
- Korban Android勒索软件分析
- 故障修复之下的陷阱：Lazarus（APT-Q-1）近期利用ClickFix手法的攻击分析
- APT-C-53（Gamaredon）针对乌克兰政府职能部门攻击事件分析
Cyble:
- 2025年上半年澳大利亚和新西兰威胁形势令人担忧但存希望
- SikkahBot恶意软件活动引诱并欺诈孟加拉国学生
Cyfirma: 每周情报报告 - 2025年8月29日
Danny Zendejas: Salesforce相关泄露事件持续
Darktrace:
- Docker引擎API僵尸网络
- 新兴恶意软件活动
Detect FYI:
- 恶意编码PowerShell：检测、解码与建模
- 监控事件日志并触发DefenderXDR警报而无需摄取数据
- 在检测生命周期中集成并优先处理响应自动化
Disconinja: 每周威胁基础设施调查（第34周）
Eoghan Casey at Salesforce: Salesforce安全事件取证调查入门
Esentire: 威胁行为者通过受损的SonicWall SSL VPN凭据部署Sinobi勒索软件
Expel: 你找不到ManualFinder，ManualFinder会找到你
FalconFeeds:
- 网络犯罪时区：威胁行为者活动如何反映全球时钟和文化节奏
- 揭露Qilin：深入了解崛起勒索软件威胁的基础设施、交易技巧和策略
- macOS窃取器威胁演变：2024-2025趋势、战术和防御深度分析
- 数字欺骗格局：揭露虚假声明、勒索软件骗局和回收的泄露事件
Guillaume Valadon and Anna Nabiullina at GitGuardian: Nx “s1ngularity"攻击：内部凭据泄露
Google Cloud Threat Intelligence:
- 深度欺骗：PRC关联间谍活动劫持网络流量以外交官为目标
- 通过Salesloft Drift广泛窃取Salesforce实例数据
GreyNoise: 近2,000个恶意IP在单日内激增探测Microsoft远程桌面
Group-IB: ShadowSilk：用于数据渗漏的跨境二进制联盟
Justin Timothy at GuidePoint Security: 信息窃取器崛起：数字身份盗窃如何助长网络犯罪经济
Huntress:
- Cephalus勒索软件：不要失去理智
- 从假的AnyDesk安装程序到MetaStealer
David Sardinha at Intrinsec: VAIZ、FDN3、TK-NET：参与暴力破解和密码喷洒攻击的乌克兰网络星云
Kevin Beaumont at DoublePulsar: Citrix忘记告诉你CVE-2025-6543自2025年5月起已被用作零日漏洞
Jeff Kieschnick at LevelBlue: 如同管理员手中的PuTTY
Anish Bogati at Logpoint: Citrix漏洞上升 - 当网关失守时
Matt Suiche: ELEGANTBOUNCER：当你无法获取样本但仍需捕获威胁时
Microsoft Security: Storm-0501的进化技术导致基于云的勒索软件
Mike Cohen at Rapid7: 检测Velociraptor滥用
Mitiga:
- 从恶意OAuth应用到云基础设施接管
- CORSLeak：滥用IAP进行隐蔽数据渗漏
Ray Fernandez at Moonlock: 假的macOS教程传播新的Shamos窃取器
Brad LaPorte at Morphisec: 勒索软件演变与数据渗漏：网络安全分析师深度分析
Natto Thoughts: 无范围、无赏金、无竞赛：中国2000年代黑客场景中锻造攻击能力
Hubert Lin at Netskope: DNS隧道：网络安全的盲点策略
Stamatis Chatzimangou at NVISO Labs: 检测工程：实践检测即代码 - 文档 - 第4部分
Oleg Skulkin at ‘Know Your Adversary’:
- 1. SHAMOS如何绕过Gatekeeper检查
- 1. 在野LOLBAS：可扩展向导主机进程
- 1. 攻击者如何滥用Expand.exe
- 1. 攻击者如何滥用PowerShell进行组件对象模型劫持
- 1. 攻击者滥用企业事件响应工具
- 1. Lazarus如何采用ClickFix及如何狩猎
- 1. Msiexec能安装PDF文件吗？
- 1. NetSupport RAT：2025年8月最普遍的威胁
Isuf Deliu at Permiso: 潜入你的DM：滥用Microsoft Teams进行恶意软件投递
Qi’anxin X Lab:
- 静默之控：主动与被动双模后门MystRodX的隐匿渗透
- 注意！MystRodX，隐蔽的双模后门
SANS Internet Storm Center:
- 读取Microsoft Word文档中的位置值，（8月25日周一）
- 启动shellcode的有趣技术，（8月27日周三）
- 更好处理国际化域名和Punycode，（8月26日周二）
- 对ZIP文件的搜索增加，（8月28日周四）
Seqrite:
- Operation HanKook Phantom：针对韩国的朝鲜APT37
- PromptLock：首个AI驱动的勒索软件及其工作原理
Shantaciak: E3 - 从钓鱼宏到PowerShell C2
Socket:
- Nx npm包在利用AI CLI工具的供应链攻击中受损
- 消耗钱包的npm包冒充Nodemailer劫持加密交易
Sophos: Velociraptor事件响应工具被滥用进行远程访问
Splunk: 静态Tundra分析及CVE-2018-0171检测指南
Vincent Zell at Stairwell: 你的SVG是否恶意？在图形文件中隐藏恶意软件
Joe at Stranded on Pylos: 威胁行为者的开始与结束
Sygnia: 云安全事件的事件响应：AWS、Azure和GCP最佳实践
Itz Sanskarr at System Weakness: VSCode隧道：APT最喜爱的远程访问后门
The Raven File: 揭秘朝鲜IT工作者
THOR Collective Dispatch:
- 来自火线：2025财年第二季度
- 8月任务简报
Nick Dai and Pierre Lee at Trend Micro: TAOTH活动利用终止支持软件针对繁体中文用户和异见人士
Truesec:
- 揭露BEC威胁：威胁情报如何利用SOC和IR数据
- Tamperedchef - 恶意PDF编辑器
Trustwave SpiderLabs:
- 恶意Screen Connect活动滥用AI主题诱饵投递Xworm
- 解析Trustwave URL扫描器标记的钓鱼活动
Anton Cherepanov and Peter Strýček at WeLiveSecurity: ESET研究发现首个已知AI驱动的勒索软件
Merav Bar and Rami McCarthy at Wiz: s1ngularity：供应链攻击在GitHub上泄露秘密：你需要知道的一切
Heather Bates and Adam Ford at ZScaler: 2025年勒索软件对公共部门的影响
Блог Solar 4RAYS: Fairy Trickster团伙更新工具及其与Lifting Zmiy的可能关联
Dale Hobbs at Black Hills Information Security: 常被滥用的管理工具：企业安全的隐藏风险
Siddhant Mishra: Lumma窃取器：高级网络检测与验证（第3部分）

即将举办的活动

Black Hills Information Security:
- 使用AI击败AI恶意软件检测与Brian Fehrman
- BHIS - 谈论[信息安全]新闻 2025-09-02 #直播 #信息安全 #信息安全新闻
Cellebrite: DFU解码：用媒体情报解锁隐藏真相
Simply Defensive: 使用Kevin Mata (Swimlane)在SOAR和AI网络安全中自动化蓝队 - Simply Defensive S4E6
Magnet Forensics: 使用Magnet Automate在整个DF工具包中构建简化工作流
Off By One Security: 与Eugene “Spaceraccoon” Lim一起进行0day狩猎策略

演示/播客

AhmedS Kasmani: 分析恶意LNK投放器 - 使用GPT-5和Copilot的Cryptowall勒索软件
Alexis Brignoni: 数字取证现在播客S2 - E15
Archan Choudhury at BlackPerl: PWNDORA，BlackPerl的精英网络实验室平台，即将推出！
Black Hat: QuickShell：分享关于Quick Share上RCE攻击链的关怀
Cellebrite: 周二提示：使用RegEx搜索提取
Cloud Security Podcast by Google: EP240 面向大众的网络韧性：在真实世界预算中实现
Cyberwox: 他们入侵了美国电信：使用ANY.RUN威胁情报调查Salt Typhoon（中国APT）
Gerald Auger at Simply Cyber:
- 劳动洗钱：威胁行为者如何渗透远程工作 | Simply Social Engineering S1 E8
- 深入了解黑客防御学院：为蓝队提供游戏化恶意软件培训 | Simply Defensive S4 E5
InfoSec_Bret: SA – SOC343-321 – WinRAR零日路径遍历漏洞（CVE-2025-8088）
Insane Forensics: OT恶意软件长什么样？
John Dwyer: RedRaptor演示
LaurieWired: 你的iPhone在文件方面对你撒谎…
Magnet Forensics:
- 优化调查流程：通过AI驱动的评估解锁效率
- Mobile Unpacked S3:E8 // 更仔细地查看位置
Matthew Plascencia: Wireshark基础：Wireshark I
Michael Haggis:
- Claude找到了APT！
- PowerShell-Hunter 2发布
- 使用LOLDrivers MCP处理新驱动程序
Microsoft Threat Intelligence Podcast: 来自Black Hat现场：勒索软件、负责任披露和AI崛起
MSAB: XRY排除文件类型
MyDFIR: 进入网络安全比你想象的更难（SOC分析师）
Parsing the Truth: One Byte at a Time: Casey Anthony：辩护方隐藏的专家
Proofpoint: 直接发送利用和URL重写攻击：安全团队必须知道的内容
The Weekly Purple Team: Certipy深度探讨 — 通过AD CS与ESC4-ESC7进行升级
Three Buddy Problem: Salt Typhoon IOC，Google浮动"网络破坏单元”，WhatsApp 0点击

恶意软件

ASEC:
- 全球分发的Underground勒索软件，包括韩国
- 2025年7月APT组织趋势
- 韩国受损案例后关于NightSpire勒索软件的警告
- 针对企业的Interlock勒索软件
Cryptax: Linux/Trigona：使用r2ai进行分析
Debugactiveprocess: NFC恶意软件演变：硬件级银行木马深度分析
Dr Josh Stroschein:
- RE 101 - 在Visual Studio编译的二进制文件中查找main()
- 汇编短片 - 使用XOR、REPNE和STOSD清除内存
Cara Lin at Fortinet: 通过UpCrypter针对公司的钓鱼活动
G Data Software: AppSuite PDF编辑器后门：详细技术分析
Guy Korolevski at JFrog: 8个恶意npm包投递多层Chrome浏览器信息窃取器
Pierre-Henri Pezier at Nextron Systems: Sindoor投放器：新的钓鱼活动
OSINT Team:
- DarkGate II：JAR的愤怒
- 开放目录暴露：在m.bureaux.fr上发现的APK和EXE转储
Security Onion: 快速恶意软件分析：来自2025-08-20的NETSUPPORT RAT pcap
Shubho57: JavaScript文件分析导致XWORM和ReverseLoader（漏洞利用工具包）
Liran Tal at Snyk: 在Nx恶意包安全事件中武器化AI编码代理进行恶意软件
ThreatFabric: Android投放器：恶意软件的沉默守门人
VirusTotal:
- 将AI分析应用于PDF威胁
- 将代码洞察集成到逆向工程工作流中
István Márton at Wordfence: 15,000个WordPress网站受Dokan Pro WordPress插件中权限升级漏洞影响
Zhassulan Zhussupov: 恶意软件开发技巧51：通过合法Bitbucket API窃取数据。简单C示例。
Шифровальщики-вымогатели The Digest “Crypto-Ransomware”: NebulaRun

杂项

Brett Shavers: 懒惰的警察工作导致逮捕无辜者。
Cloudbrothers: 从XDR流式API中移除旧版或孤立的Sentinels
Coalition: 黑客如何在勒索软件攻击中利用保险详细信息
Josibel Mendoza at DFIR Dominican: DFIR工作更新 - 2025年8月25日
Doug Metz at Baker Street Forensics: 你的USB设备是否减慢取证调查速度？
Forensic Focus:
- 技术安全与数字取证会议重返圣地亚哥，深入探讨AI、网络犯罪和司法
- 2025年8月27日数字取证综述
- Amped Authenticate的视频模式：提高法证视频分析标准
Oxygen Forensics:
- 王国的钥匙：使用KeyScout和KeyDiver解锁关键证据
- 如何安排远程采集
Dante Fazio at The Metadata Perspective: 电视和电影中的数字取证：区分事实与虚构

软件更新

Belkasoft: Belkasoft X 2.8为UFD数据源带来增强的BelkaGPT功能
Canadian Centre for Cyber Security: Assemblyline 4.6.0.13
Digital Sleuth: winfor-salt v2025.10.6
Mandiant: flare-floss – QUANTUMSTRAND beta 1
Metaspike: FEC远程认证器 1.50.8
MISP: MISP 2.5.19带来重要修复、按需关联引擎改进、任务调度器优化和更好的错误处理
MSAB: XRY 11.1.1发布：解锁更快、更智能的移动取证
OpenCTI: 6.7.16
Paraben Corporation: E3取证平台版本4.4，具有新的Passware集成和Relativity导出增强功能，以及新的iCloud功能
Rapid7: Velociraptor发布0.75 RC1
Xways:
- X-Ways用户论坛：X-Ways Forensics 21.5 SR-5
- X-Ways用户论坛：X-Ways Forensics 21.6 Beta 1b

以上就是本周的全部内容！如果您认为我遗漏了什么，或希望我特别报道某些内容，请通过联系页面或社交媒体渠道与我联系！