2025年第39周数字取证与事件响应技术周报：聚焦SaaS供应链攻击、恶意软件分析与DFIR工具更新

赞助内容

Salesloft-Drift入侵内幕：对SaaS与身份安全意味着什么 在本期视频播客中，Permiso公司的首席技术官将探讨：

攻击者如何利用被盗的OAuth令牌从GitHub移动到AWS，再到Salesforce。
为何这种“全机器”攻击为SaaS供应链和非人类身份（NHI）敲响了警钟。
在您的环境中检测和遏制类似威胁的实用步骤。 由Permiso赞助

一如既往，感谢所有给予支持的朋友们！

取证分析

Christopher Eng at Ogmini
- Gmail应用 – IMAP账户附件取证
- Android Pixel 7上数字照片的生命周期 – 第1部分
Oleg Afonin at Elcomsoft
- Apple Face ID：安全影响与潜在漏洞
Forensafe
- 调查Android Google Chat
Yann Malherbe at InfoGuard Labs
- VHDX调查自动化
Matthew Plascencia
- 我已经那么老了吗？：iOS 26中的新取证痕迹
Mattia Epifani at Zena Forensics
- 探索从Android设备提取数据：可以访问哪些数据以及如何访问
Salvation DATA
- Windows Shellbags详解：它们是什么以及如何助力数字取证

威胁情报/狩猎

Amy Tierney at AppOmni
- 将TTP映射到SaaS供应链攻击：近期的SaaS数据泄露事件
AttackIQ
- RomCom的演变：从后门到网络战
- 对CISA咨询（AA25-266A）的回应：CISA分享事件响应参与的经验教训
Maria Vasilevskaya at Auth0
- 检测注册欺诈：3种利用Auth0日志保护业务的方法
Barracuda
- Lazarus集团：一个拥有国家背景的犯罪集团
- SOC案例档案：Akira勒索软件利用受害者的远程管理工具攻击自身
Brad Duncan at Malware Traffic Analysis
- 2025-09-24：Lumma窃密程序感染及后续恶意软件（可能是Ghostsocks/Go后门）
Brian Krebs at ‘Krebs on Security’
- 联邦调查局将‘Scattered Spider’两名成员与1.15亿美元赎金联系起来
CERT-AGID
- 2025年9月20日至26日恶意活动周报摘要
Check Point
- 9月22日 – 威胁情报报告
- Nimbus Manticore部署针对欧洲的新恶意软件
- 越位战术：威胁行为体如何为2026年国际足联世界杯热身
CISA
- CISA分享事件响应参与的经验教训
- 影响npm生态系统的广泛供应链入侵
Cisco’s Talos
- 当您与Cisco Talos事件响应团队合作时会发生什么？
- RainyDay、Turian及新PlugX变种如何滥用DLL搜索顺序劫持
CloudSEK
- 分发RondoDoX和Mirai负载的僵尸网络加载器即服务基础设施
Kahng An at Cofense
- 剖析越南威胁行为体“Lone None”的版权删除仿冒活动
Gary Warner at CyberCrime & Doing Time
- 微软DCU取缔RaccoonO365
Cyberdom
- 令牌保护：优点、缺点与假设
Cyble
- Cyble蜜罐检测到近二十个漏洞的利用尝试
- 2025年澳大利亚勒索软件态势：丰厚的目标吸引勒索软件组织
Cyfirma
- 每周情报报告 – 2025年9月26日
Damien Lewke
- 氛围黑客：Anthropic如何让威胁狩猎变得不可或缺
Darknet
- 2025年勒索软件支付与事件数量上升 – RaaS经济模式的变化
Disconinja
- 每周威胁基础设施调查（第38周）
DomainTools Investigations
- 深入Salt Typhoon：中国的国家-企业复合型高级持续性威胁
Erik Hjelmvik at Netresec
- Gh0stKCP协议
Expel
- Gonzo威胁狩猎：LapDogs & ShortLeash
gm0
- 绅士勒索软件组织剖析 – 第1部分：背景、动机、附属组织与归因
Sarah Yoder, John Wolfram, Ashley Pearson, Doug Bienstock, Josh Madeley, Josh Murchie, Brad Slaybaugh, Matt Lin, Geoff Carstairs, Austin Larsen at Google Cloud Threat Intelligence
- 又见BRICKSTORM：渗透科技与法律领域的隐秘后门
Howard Poston at HackTheBox
- 警惕Cozy Bear：剖析APT29的混淆JavaScript水坑攻击活动
Hunt IO
- 狩猎C2控制面板：识别命令与控制仪表盘的初学者指南
Huntress
- 2025年数据泄露的平均成本是多少？| Huntress
- 一个越南威胁行为体从PXA窃密程序转向PureRAT
InfoSec Write-ups
- 自动化勒索软件情报：订阅ransomware.live
- Linux威胁检测 1
Adam Goss at Kraven Security
- 从日志到线索：对Brutus Sherlock的实际网络调查
Microsoft Security
- AI对抗AI：检测经过AI混淆的网络钓鱼活动
- 零售业风险：一次警报如何揭示一个持续性网络威胁
- XCSSET再次进化：分析XCSSET库存的最新更新
Natto Thoughts
- Salt Typhoon究竟是谁？解开归因难题
Ben Lister at NetSPI
- 网络研讨会回顾：关于勒索软件您不希望知道但必须知道的一切
NVISO Labs
- 检测工程：实践“检测即代码” – 部署 – 第6部分
- 保护Microsoft Entra ID：来自一线的经验 – 第1部分
Oleg Skulkin at ‘Know Your Adversary’
- 1. 狩猎SnakeDisk
- 1. 狩猎Akira用于渗漏的另一个合法工具
- 1. 狩猎PteroGraphin
- 1. 狩猎COLDRIVER
- 1. 狩猎PteroEffigy
- 1. 对手就是这样滥用Winlogon功能的
- 1. 狩猎Shai-Hulud
Outpost24
- zerodayx1：黑客激进组织转向勒索软件运营
- Olymp Loader：一个用汇编语言编写的新恶意软件即服务
Dena De Angelo at Palo Alto Networks
- 勒索软件速度危机
Aditya Vats at Permiso
- 重新思考AI安全：每一次交互都与身份相关
Promon
- 2025年第二季度应用威胁报告：金融应用中的传统恶意软件与新兴AI威胁
Pulsedive
- NPM入侵：Shai-Hulud供应链攻击的怒火
Raymond Roethof
- Microsoft Defender for Identity推荐操作：移除具有DCSync权限的非管理员账户
Recorded Future
- RedNovember攻击政府、国防和科技组织
Red Canary
- Node问题：追踪近期的npm软件包入侵
- 双重间谍：对手如何滥用商业AI产品中的“代理模式”
- 重新定义AI时代的事件响应
- 情报洞察：2025年9月
Ian Briley at Red Siege Information Security
- 让威胁检测变简单：Splunk攻击靶场基础
Resecurity
- 混沌三人组：LAPSUS$、ShinyHunters和Scattered Spider联盟展开全球网络犯罪狂潮
SANS互联网风暴中心
- 求助：这些奇怪的请求是什么？，（9月21日，周日）
- [访客日记] 为乐趣和利益分散分析师注意力，（9月23日，周二）
- 针对旧版Hikvision摄像头漏洞的利用尝试，（9月24日，周三）
- 隐藏在.well-known目录中的Webshell，（9月25日，周四）
- 新工具：convert-ts-bash-history.py，（9月26日，周五）
Securityinbits
- 使用MinusOne反混淆PowerShell
- 通过comsvcs.dll转储LSASS：Defender检测指南
Silent Push
- Silent Push分析针对2025年摩尔多瓦选举的新虚假信息活动，与莫斯科传统影响活动有关
- Silent Push审视动态DNS提供商的阴暗面
Alex Hegyi and Vince Zell at Stairwell
- 如何使用YARA检测NPM包管理器供应链攻击
Sublime Security
- App Store和TestFlight中的假冒Meta Ads Manager用于网络钓鱼Meta广告账户
- 不仅仅是“貌似合理”：对我们的安全编码代理ADÉ进行严格评估
System Weakness
- 工具 vs. 检测 – 防御者如何发现您最爱的黑客工具
- Linux威胁检测1：面向SOC分析师和取证初学者的TryHackMe演练
The Raven File
- GUNRA勒索软件：您所不知道的！
THOR Collective Dispatch
- 基线狂欢：您应该做的十项基线狩猎（以及如何操作）
- 简报汇报：2025年9月
Trellix
- 揭露隐藏威胁：发现朝鲜IT人员攻击活动
- 当AD被攻破时：使用Trellix NDR检测NTDS.dit转储与渗漏
- npm账户劫持与供应链攻击的兴起
Fernando Tucci at Trend Micro
- 您的LLM就是这样被入侵的
Simon Biggs at Varonis
- 我的密钥去哪了？！勒索软件组织窃取AWS密钥以推进攻击
Wiz
- IMDS被滥用：通过狩猎罕见行为来发现漏洞利用
- 恶意软件调用AI的新兴应用

即将举办的活动

Black Hills Information Security
- 谈论[信息安全]新闻 2025-09-29 #直播 #信息安全 #信息安全新闻
Cellebrite
- 2025年秋季发布：透过亚太地区的视角
Magnet Forensics
- 法律揭秘第一集：数字证据的搜查令：数据驱动方法
Yuri Gubanov at Belkasoft
- BelkaGPT & BelkaGPT Hub：真正适用于DFIR的AI

演示/播客

Belkasoft
- 时间谎言：用伪造的时间戳检测恶意软件 | Vedant Narayan
Black Hat
- 工匠裁缝LLM间谍：调查和应对针对生成式AI聊天机器人的攻击
- 在盒内思考：针对性攻击中Windows沙箱的真实滥用
- Operation BlackEcho：使用假冒金融和疫苗应用的语音钓鱼
Cellebrite
- 技巧星期二：添加证据
Google云安全播客
- EP244 SOAPA的未来：Jon Oltsik谈代理AI时代的平台整合与最佳组合方案
Cyber from the Frontlines
- E17 浪漫骗局中的情感利用
Huntress
- 什么是商业邮件入侵（BEC）以及黑客如何利用它？
InfoSec_BretSA
- – SOC246 事件ID：208 – 强制认证检测
John Hammond
- ServiceUI.exe
- 暗网数据泄露网站
Magnet Forensics
- 介绍新的Magnet Nexus混合收集代理
- Mobile Unpacked S3:E9 // 这才是iOS 26
Matthew Plascencia
- Wireshark显示过滤器 | Wireshark 4
Microsoft威胁情报播客
- 利用AI阻止域名冒充
Monolith Forensics
- Monolith中的证据监管链操作
MSAB
- #MSABMonday 子集GUID
MyDFIR
- 如何设置与安装T-Pot蜜罐（已更新）
- 网络安全SOC分析师实验室 – 电子邮件分析（PhishStrike）
Off By One Security
- 使用SHAREM Shellcode分析框架处理Shellcode
- Windows栈溢出漏洞利用入门
Parsing the Truth: One Byte at a Time
- Elsbeth大战AI
Proofpoint
- 辣酱与辣评：Only Malware in the Building特别节目
The Weekly Purple Team
- 利用WSASS丢弃凭据以绕过PPL
Three Buddy Problem
- LABScon现场：Aurora Johnson和Trevor Hilligoss谈中国的“网络厕所”
- LABScon现场：Lindsay Freeman追踪瓦格纳集团战争罪行
- LABScon现场：Visi Stark分享创建APT1报告的记忆
- 思科防火墙零日漏洞和野外引导工具包

恶意软件

Any.Run
- 对抗电信网络攻击：调查针对英国公司的活动
ASEC
- 通过Windows快捷方式（LNK）绕过网络标记（MoTW）：LNK Stomping技术
Darktrace
- ShadowV2：一个新兴的DDoS租用僵尸网络
Dr Josh Stroschein
- PRINTF在哪？使用遗留库文件与NASM链接
- 在Windows中链接C和NASM的目标文件
- Assembly Shorts – 创建FOR循环
Paul Asadoorian at Eclypsium
- HybridPetya勒索软件表明固件安全不能事后补救
Esentire
- 风暴之眼：分析DarkCloud的最新功能
Yurren Wan at Fortinet
- SVG钓鱼利用Amatera窃密程序、PureMiner攻击乌克兰
G Data Software
- BlockBlasters：受感染的Steam游戏下载伪装成补丁的恶意软件
Intrinsec
- Acreed分析，一个正在崛起的窃密程序
Priyadharshini at K7 Labs
- 从LNK到RAT：深入分析LNK恶意软件感染链
Kyle Cucci at SecurityLiterate
- 沙盒中的大象：分析DBatLoader的沙盒规避技术
Pieter Arntz at Malwarebytes
- 新的基于SVG的网络钓鱼活动是灾难的配方
Ghanashyam Satpathy and Xinjun Zhang at Netskope
- 超越签名：利用ML驱动的沙箱检测Lumma窃密程序
OSINT Team
- 恶意软件分析：HTB Sherlocks Writeup- Loggy
- Python开发者当心：这些无辜的PyPI包秘密地用致命RAT劫持您的系统！
- 恶意软件分析 – 介绍与工具
- 安卓恶意软件在假冒政府服务应用中的传播
- 第61天- 威胁情报和OSINT入门基础
Palo Alto Networks
- Operation Rewrite：中文威胁行为体大规模部署BadIIS进行SEO投毒攻击
- Bookworm与Stately Taurus：使用Unit 42归因框架
Shubho57
- 恶意网络IP导致Nanocore RAT的JavaScript文件分析
Siddhant Mishra
- Kimsuky / APT43泄露文件的初步文件列表分析
Liran Tal at Snyk
- npm上的恶意MCP服务器postmark-mcp窃取电子邮件
Socket
- 恶意fezbox npm包通过创新QR码隐写技术从Cookie窃取浏览器密码
- 两个恶意Rust Crate冒充热门记录器窃取钱包密钥
Gabor Szappanos and Steeve Gaudreault at Sophos
- HeartCrypt的全面冒充行动
Puja Srivastava at Sucuri
- 创建管理员账户的隐藏WordPress后门
Sarah Pearl Camiling and Jacob Santos at Trend Micro
- 新LockBit 5.0攻击Windows、Linux、ESXi
Jason Reaves at Walmart
- 提供代理软件和变现方案的NodeJS后门
Zhassulan Zhussupov
- 恶意软件开发：持久化 – 第29部分。添加Windows Terminal配置文件。简单的C语言示例。
ZScaler
- Zloader更新的技术分析
- YiBackdoor：一个与IcedID和Latrodectus有联系的新恶意软件家族
- COLDRIVER用BAITSWITCH和SIMPLEFIX更新其武器库

其他

Anton Chuvakin
- 解耦SIEM：我认为我们目前的状况？
Kyle Shields and Matt Meck at AWS Security
- 利用AWS安全事件响应优化安全运营
Belkasoft
- BelkaGPT和BelkaGPT Hub：真正适用于DFIR的AI
Brett Shavers
- DF/IR中的AI：谁最先拉动拉环？
Cellebrite
- 重新思考数字证据共享：摒弃旧习惯，适应现代警务
- 掌握数字取证案件作证的5个最佳实践
Cybereason
- 经历7000+次事件响应后：11项必要的网络安全控制措施
DFIR Dominican
- DFIR职位更新 – 09/22/25
- 如何进入DFIR领域（5部分之5）– 专业方向
Forensic Focus
- Atola Insight Forensic 5.7引入新逻辑镜像模块以实现更快的证据获取
- S21 GAD与调查员福祉专题会议总结 – 我们涵盖的内容
- 数字取证周报，2025年9月24日
- Magnet Forensics推出新的Magnet Nexus混合收集代理
- Amped Software在最新版Amped Replay中通过新标签、多ROI运动检测和关键帧复用简化编辑
- 即将举行的网络研讨会 – 超越AI炒作：Exterro Intelligence交付您可信任的成果
Debbie Garner at Hexordia
- 培训一线响应人员处理数字证据：如何保护您的部门免遭案件毁灭性错误
Howard Oakley at ‘The Eclectic Light Company’
- 深入统一日志 1：目标与架构
- 深入统一日志 2：为何浏览日志？
Magnet Forensics
- 介绍新的Magnet Nexus混合收集代理
- 超越按钮式取证：取证自动化的现实
- 私营部门数字伪造、欺诈和伪造品成本上升
MobilEdit
- 新的Apple Watch读取器已发布！从最新的Apple Watch设备获取数据
Amber Schroader at Paraben Corporation
- 为何OSINT + DFIR是终极强力组合
Security Onion
- Security Onion文档印刷版现已更新至Security Onion 2.4.180！
Sygnia
- 构建高性能事件响应团队：关键角色、职责与结构
The Cybersec Café
- 安全工程师入门指南：云安全

软件更新

Arkime
- v5.8.0
Brian Maloney
- OneDriveExplorer v2025.09.24
Digital Sleuth
- winfor-salt v2025.10.11
Microsoft
- msticpy – M365身份验证修复、Bokeh修复、RRCF异常值、Prisma Cloud…
OpenCTI
- 6.8.0
Phil Harvey
- ExifTool 13.37
PuffyCid
- Artemis v0.16.0 – 已发布！
The Metadata Perspective
- HEART：健康事件与活动报告工具
Volatility Foundation
- Volatility 3 2.26.2
Yamato Security
- Hayabusa v3.6.0 – Nezamezuki Release

这就是本周的全部内容！如果您认为我遗漏了什么，或者希望我特别报道某些内容，请通过联系页面或社交媒体渠道联系我！

参加我的课程！ 在Cyber5w的任何课程中使用折扣码 thisweekin4n6 可享受15%优惠。使用代码 PM15 或点击此链接，在您的下一个Hexordia课程中享受15%优惠。