2025年第39周数字取证与事件响应技术动态

赞助内容

Salesloft-Drift入侵内幕：对SaaS与身份安全的意义 在本环节中，Permiso的CTO将涵盖：

攻击者如何利用被盗的OAuth令牌从GitHub→AWS→Salesforce横向移动
为何这种"全机器"攻击为SaaS供应链和NHI敲响了警钟
在您的环境中检测和遏制类似威胁的实用步骤观看视频播客由Permiso赞助

一如既往，感谢那些为支持我们而做出贡献的人们！

取证分析

Christopher Eng at Ogmini

Gmail应用 - IMAP账户痕迹（附件）
Android Pixel 7上数字照片的生命周期 - 第1部分

Oleg Afonin at Elcomsoft

Apple Face ID：安全影响和潜在漏洞

Forensafe

调查Android Google Chat

Yann Malherbe at InfoGuard Labs

VHDX调查自动化

Matthew Plascencia

我已经那么老了吗？：iOS 26中的新取证痕迹

Mattia Epifani at Zena Forensics

探索从Android设备提取数据：您可以访问哪些数据以及如何访问

Salvation DATA

Windows Shellbags详解：它们是什么以及如何在数字取证中提供帮助

威胁情报/狩猎

Amy Tierney at AppOmni

将TTP映射到SaaS供应链攻击：最近的SaaS入侵事件

AttackIQ

RomCom的演变：从后门到网络战
对CISA咨询（AA25-266A）的响应：CISA分享事件响应参与的经验教训

Maria Vasilevskaya at Auth0

检测注册欺诈：使用Auth0日志保护业务的3种方法

Barracuda

Lazarus集团：带有旗帜的犯罪集团
SOC案例档案：Akira勒索软件将受害者的远程管理工具转向自身

Brad Duncan at Malware Traffic Analysis

2025-09-24：Lumma窃取程序感染及后续恶意软件（可能是Ghostsocks/Go后门）

Brian Krebs at ‘Krebs on Security’

联邦调查局将’Scattered Spider’二人组与1.15亿美元赎金联系起来

CERT-AGID

9月20日至26日恶意活动汇总概要

Check Point

9月22日 - 威胁情报报告
Nimbus Manticore部署针对欧洲的新恶意软件
越位玩法：威胁行为者如何为2026年FIFA热身

CISA

CISA分享事件响应参与的经验教训
影响npm生态系统的广泛供应链泄露

Cisco’s Talos

当您参与Cisco Talos事件响应时会发生什么？
RainyDay、Turian和新PlugX变体如何滥用DLL搜索顺序劫持

CloudSEK

分发RondoDoX和Mirai有效载荷的僵尸网络加载器即服务基础设施

Kahng An at Cofense

越南威胁行为者Lone None的版权删除欺骗活动内幕

Gary Warner at CyberCrime & Doing Time

Microsoft DCU对RaccoonO365的取缔

Cyberdom

令牌保护：优点、缺点和假设

Cyble

Cyble蜜罐检测到近二十个漏洞的利用尝试
2025年澳大利亚勒索软件格局：丰厚目标吸引勒索软件组织

Cyfirma

每周情报报告 - 2025年9月26日

Damien Lewke

氛围黑客：Anthropic如何使威胁狩猎成为必需

Darknet

2025年勒索软件支付与上升事件数量 - RaaS经济学的变化

Disconinja

每周威胁基础设施调查（第38周）

DomainTools Investigations

Salt Typhoon内幕：中国的国家-企业高级持续威胁

Erik Hjelmvik at Netresec

Gh0stKCP协议

Expel

Gonzo威胁狩猎：LapDogs & ShortLeash

gm0

绅士勒索软件组织概况 - 第1部分：背景、动机、附属组织和归因

Sarah Yoder, John Wolfram, Ashley Pearson, Doug Bienstock, Josh Madeley, Josh Murchie, Brad Slaybaugh, Matt Lin, Geoff Carstairs, Austin Larsen at Google Cloud Threat Intelligence

另一场BRICKSTORM：潜入技术和法律部门的隐秘后门

Howard Poston at HackTheBox

警惕Cozy Bear：剖析APT29的混淆JavaScript水坑活动

Hunt IO

狩猎C2面板：识别命令和控制仪表板的初学者指南

Huntress

2025年数据泄露的平均成本是多少？| Huntress
越南威胁行为者从PXA窃取程序转向PureRAT

InfoSec Write-ups

自动化勒索软件情报：Feed ransomware.live
Linux威胁检测1

Adam Goss at Kraven Security

从日志到线索：Brutus Sherlock的实际网络调查

Microsoft Security

AI对抗AI：检测AI混淆的网络钓鱼活动
零售业面临风险：一个警报如何揭示持续性网络威胁
XCSSET再次演变：分析XCSSET库存的最新更新

Natto Thoughts

Salt Typhoon到底是谁？解开归因挑战

Ben Lister at NetSPI

网络研讨会回顾：关于勒索软件您希望不必知道的一切

NVISO Labs

检测工程：实践检测即代码 - 部署 - 第6部分
保护Microsoft Entra ID：来自现场的经验教训 - 第1部分

Oleg Skulkin at ‘Know Your Adversary’

1. 狩猎SnakeDisk
1. 狩猎Akira用于渗漏的另一个合法工具
1. 狩猎PteroGraphin
1. 狩猎COLDRIVER
1. 狩猎PteroEffigy
1. 对手如何滥用Winlogon功能
1. 狩猎Shai-Hulud

Outpost24

zerodayx1：黑客行动主义团体转向勒索软件操作
Olymp Loader：用汇编编写的新恶意软件即服务

Dena De Angelo at Palo Alto Networks

勒索软件速度危机

Aditya Vats at Permiso

重新思考AI安全：每次交互都与身份有关

Promon

2025年第二季度应用威胁报告：金融应用中的传统恶意软件和新兴AI威胁

Pulsedive

NPM泄露：Shai-Hulud供应链攻击的愤怒

Raymond Roethof

Microsoft Defender for Identity推荐操作：移除具有DCSync权限的非管理员账户

Recorded Future

RedNovember针对政府、国防和技术组织

Red Canary

节点问题：跟踪最近的npm包泄露
双重代理：对手如何滥用商业AI产品中的"代理模式"
在AI时代重新定义事件响应
情报洞察：2025年9月

Ian Briley at Red Siege Information Security

威胁检测简化：Splunk攻击范围基础

Resecurity

混沌三位一体：LAPSUS$、ShinyHunters和Scattered Spider联盟展开全球网络犯罪狂潮

SANS Internet Storm Center

求助：这些奇怪的请求是什么？，（9月21日，星期日）
[客座日记] 为了乐趣和利益分散分析师注意力，（9月23日，星期二）
针对旧版Hikvision摄像头漏洞的利用尝试，（9月24日，星期三）
隐藏在.well-known位置的Webshell，（9月25日，星期四）
新工具：convert-ts-bash-history.py，（9月26日，星期五）

Securityinbits

使用MinusOne反混淆PowerShell
通过comsvcs.dll进行LSASS转储：Defender检测指南

Silent Push

Silent Push分析针对2025年摩尔多瓦选举的新虚假信息活动，与莫斯科遗留影响力活动有关
Silent Push检查动态DNS提供商的黑暗面

Alex Hegyi and Vince Zell at Stairwell

如何使用YARA检测NPM包管理器供应链攻击

Sublime Security

App Store和TestFlight中的虚假Meta广告管理器用于网络钓鱼Meta广告账户
超越"似是而非的废话"：对我们安全编码代理ADÉ的严格评估

System Weakness

工具与检测 - 防御者如何发现您最喜欢的黑客工具
Linux威胁检测1：SOC分析师和取证学习者的TryHackMe演练

The Raven File

GUNRA勒索软件：您不知道的内容！

THOR Collective Dispatch

基线盛宴：您应该做的十个基线狩猎（以及如何做）
调度汇报：2025年9月

Trellix

揭露隐藏威胁：发现DPRK IT工作者活动
当AD被入侵时：使用Trellix NDR检测NTDS.dit转储和渗漏
npm账户劫持和供应链攻击的兴起

Fernando Tucci at Trend Micro

您的LLM就是这样被入侵的

Simon Biggs at Varonis

我的密钥在哪里？！勒索软件组织窃取AWS密钥以推进攻击

Wiz

IMDS被滥用：通过狩猎罕见行为来发现漏洞利用
恶意软件调用AI的新兴用途

即将举行的活动

Black Hills Information Security

谈论[信息安全]新闻 2025-09-29 #直播 #信息安全 #信息安全新闻

Cellebrite

2025年秋季发布：通过APAC镜头

Magnet Forensics

法律解读 E1：数字证据的搜查令：数据驱动方法

Yuri Gubanov at Belkasoft

BelkaGPT & BelkaGPT Hub：真正适用于DFIR的AI

演示/播客

Belkasoft

时间谎言：使用伪造时间戳检测恶意软件 | Vedant Narayan

Black Hat

工匠裁缝LLM间谍：调查和响应GenAI聊天机器人攻击
在盒子内思考：Windows沙箱在定向攻击中的野外滥用
Operation BlackEcho：使用虚假金融和疫苗应用进行语音钓鱼

Cellebrite

提示星期二：添加证据

Cloud Security Podcast by Google

EP244 SOAPA的未来：Jon Oltsik谈平台整合与最佳组合在代理AI时代

Cyber from the Frontlines

E17 在浪漫骗局中利用情感

Huntress

什么是商业电子邮件妥协（BEC）以及黑客如何使用它？

InfoSec_Bret

SA - SOC246 EventID: 208 - 检测到强制认证

John Hammond

ServiceUI.exe
暗网泄露网站

Magnet Forensics

介绍新的Magnet Nexus混合收集代理
Mobile Unpacked S3:E9 // 这就是我所说的iOS：26

Matthew Plascencia

Wireshark显示过滤器 | Wireshark 4

Microsoft Threat Intelligence Podcast

使用AI阻止域名冒充

Monolith Forensics

Monolith中的监管链操作

MSAB

#MSABMonday 子集GUID

MyDFIR

如何设置和安装T-Pot蜜罐（更新版）
网络安全SOC分析师实验室 - 电子邮件分析（PhishStrike）

Off By One Security

使用SHAREM Shellcode分析框架处理Shellcode
入门Windows栈溢出利用

Parsing the Truth: One Byte at a Time

Elsbeth对抗AI

Proofpoint

辣酱和热评：Only Malware in the Building特别节目

The Weekly Purple Team

使用WSASS丢弃凭据以绕过PPL

Three Buddy Problem

LABScon现场：Aurora Johnson和Trevor Hilligoss谈中国的"互联网厕所"
LABScon现场：Lindsay Freeman追踪Wagner集团战争罪行
LABScon现场：Visi Stark分享创建APT1报告的记忆
思科防火墙零日漏洞和野外bootkit

恶意软件

Any.Run

对抗电信网络攻击：调查针对英国公司的活动

ASEC

通过Windows快捷方式（LNK）绕过Mark of the Web（MoTW）：LNK Stomping技术

Darktrace

ShadowV2：新兴的DDoS租用僵尸网络

Dr Josh Stroschein

PRINTF在哪里？使用遗留库文件与NASM链接
在Windows中链接C和NASM的目标文件
汇编短片 - 创建FOR循环

Paul Asadoorian at Eclypsium

HybridPetya勒索软件显示为什么固件安全不能是事后考虑

Esentire

风暴之眼：分析DarkCloud的最新能力

Yurren Wan at Fortinet

SVG网络钓鱼用Amatera窃取程序、PureMiner攻击乌克兰

G Data Software

BlockBlasters：受感染的Steam游戏下载伪装成补丁的恶意软件

Intrinsec

分析Acreed，一个崛起的窃取程序

Priyadharshini at K7 Labs

从LNK到RAT：深入探究LNK恶意软件感染链

Kyle Cucci at SecurityLiterate

沙盒中的大象：分析DBatLoader的沙盒规避技术

Pieter Arntz at Malwarebytes

新的基于SVG的网络钓鱼活动是灾难的配方

Ghanashyam Satpathy and Xinjun Zhang at Netskope

超越签名：使用ML驱动的沙盒检测Lumma窃取程序

OSINT Team

恶意软件分析：HTB Sherlocks Writeup- Loggy
Python开发者注意：这些无辜的PyPI包通过致命的RAT秘密劫持您的系统！
恶意软件分析 - 介绍和工具
政府服务应用中假应用模式下Android恶意软件的传播
第61天 - 初学者威胁情报和OSINT基础

Palo Alto Networks

Operation Rewrite：中文威胁行为者在大规模SEO投毒活动中部署BadIIS
从Bookworm到Stately Taurus使用Unit 42归因框架

Shubho57

分析一个JavaScript文件，其中恶意网络IP导致Nanocore RAT

Siddhant Mishra

Kimsuky / APT43泄露的初步文件列表分析

Liran Tal at Snyk

npm上的恶意MCP服务器postmark-mcp窃取电子邮件

Socket

恶意fezbox npm包通过创新的QR码隐写技术从Cookie窃取浏览器密码
两个恶意Rust Crate冒充流行记录器窃取钱包密钥

Gabor Szappanos and Steeve Gaudreault at Sophos

HeartCrypt的大规模冒充努力

Puja Srivastava at Sucuri

创建管理员账户的隐藏WordPress后门

Sarah Pearl Camiling and Jacob Santos at Trend Micro

新的LockBit 5.0针对Windows、Linux、ESXi

Jason Reaves at Walmart

提供代理软件和货币化方案的NodeJS后门

Zhassulan Zhussupov

恶意软件开发：持久性 - 第29部分。添加Windows Terminal配置文件。简单的C示例。

ZScaler

Zloader更新的技术分析
YiBackdoor：与IcedID和Latrodectus有关联的新恶意软件家族
COLDRIVER使用BAITSWITCH和SIMPLEFIX更新武器库

杂项

Anton Chuvakin

解耦SIEM：我认为我们现在的位置？

Kyle Shields and Matt Meck at AWS Security

使用AWS安全事件响应优化安全运营

Belkasoft

BelkaGPT和BelkaGPT Hub：真正适用于DFIR的AI

Brett Shavers

DF/IR中的AI：谁先拉开拉环？

Cellebrite

重新思考数字证据共享：超越旧习惯以适应现代警务
掌握数字取证案件作证的5个最佳实践

Cybereason

7000+次IR之后：11个基本网络安全控制

DFIR Dominican

DFIR工作更新 - 09/22/25
如何进入DFIR（第5部分，共5部分） - 专业化

Forensic Focus

Atola Insight Forensic 5.7引入新的逻辑成像模块以加快证据获取
总结S21 GAD和调查员健康焦点会议 - 我们涵盖的内容
数字取证综述，2025年9月24日
Magnet Forensics介绍新的Magnet Nexus混合收集代理
Amped Software在最新Amped Replay版本中通过新选项卡、多ROI运动检测和关键帧重用简化编辑
即将举行的网络研讨会 - 超越AI炒作：Exterro Intelligence提供您可以信任的结果

Debbie Garner at Hexordia

培训第一响应者处理数字证据：如何保护您的部门免受案件破坏性错误

Howard Oakley at ‘The Eclectic Light Company’

统一日志内部1：目标和架构
统一日志内部2：为什么要浏览日志？

Magnet Forensics

介绍新的Magnet Nexus混合收集代理
超越按钮取证：取证自动化的现实
私营部门数字伪造、欺诈和伪造的上升成本

MobilEdit

新的Apple Watch阅读器来了！从最新的Apple Watch设备获取数据

Amber Schroader at Paraben Corporation

为什么OSINT + DFIR是终极强力组合

Security Onion

Security Onion文档印刷书籍现已更新至Security Onion 2.4.180！

Sygnia

构建高性能事件响应团队：关键角色、职责和结构

The Cybersec Café

安全工程师入门指南：云安全

软件更新

Arkime v5.8.0
Brian Maloney OneDriveExplorer v2025.09.24
Digital Sleuth winfor-salt v2025.10.11
Microsoft msticpy - M365 authn, Bokeh fixes, RRCF Outliers, Prisma Cloud…
OpenCTI 6.8.0
Phil Harvey ExifTool 13.37
PuffyCid Artemis v0.16.0 - 已发布！
The Metadata Perspective HEART: Health Events & Activity Reporting Tool
Volatility Foundation Volatility 3 2.26.2
Yamato Security Hayabusa v3.6.0 - Nezamezuki Release

这就是本周的全部内容！如果您认为我遗漏了什么，或者希望我特别报道某些内容，请通过联系页面或社交媒体渠道与我联系！使用代码PM15或点击此链接享受Hexordia课程15%折扣与我一起上课！使用折扣码thisweekin4n6在Cyber5w享受任何课程15%折扣。