2025年第40周：数字取证与事件响应技术动态汇编

数字取证分析

Brian Maloney: OneDrive。我们来线下讨论这个。
Chainalysis: 朝鲜IT工作者：深入朝鲜加密货币洗钱网络内部。
Christopher Eng at Ogmini: Android Pixel 7手机数字照片的生命周期 - 第2部分。
Android Forensics – Filesystem Timestamps ADB Script: Android取证 - 文件系统时间戳ADB脚本。
Elcomsoft: iPhone 17：PWM频闪的终结？ | 破解密码管理器：从Bitwarden到Zoho Vault | 数字取证中的人工智能：是工具，而非神谕。
Forensafe: iOS AllTrails。
Iram Jack: 内存分析入门 | 内存获取。
Magnet Forensics: 通过自动化分析让媒体鉴证更易理解 | Magnet Forensics 对 iOS 26 的支持 | 那一份证据：说明问题的搜索历史。
Maltego: 利用Maltego揭露杀猪盘操作。
Matthew Plascencia: iOS 26 搭载更多AI功能开启定位服务 iOS 26 新证据 II。
Mattia Epifani at Zena Forensics: 探索从iOS设备提取数据：你可以访问哪些数据以及如何访问。
OSINT Team: Volatility3：从内存映像中导航SAM注册表配置单元。
The DFIR Report: 源于一次点击：Lunar Spider如何实现近两个月的入侵。

威胁情报/狩猎

Faan Rossouw at Active Countermeasures: 每日恶意软件 – 通过SMB进行的代理间通信 (AdaptixC2)。
Adam at Hexacorn: 使用.LNK文件作为lolbins。
ASEC: 在MS-SQL服务器攻击案例中发现XiebroC2。
Ayelen Torello at AttackIQ: 勒索软件故事：第四卷 – 模拟Rhysida、Charon和Dire Wolf勒索软件。
Chi Tran, Charlie Bacon, and Nirali Desai at AWS Security: 防御类似Chalk/Debug和Shai-Hulud蠕虫的供应链攻击。
BI.Zone: Cavalry Werewolf利用信任关系攻击袭击俄罗斯公共部门。
c-APT-ure: 使用NetBIOS名称进行横向移动和威胁聚类。
CERT Ukraine: UAC-0245使用CABINETRAT后门针对乌克兰教育机构进行定向网络攻击 (CERT-UA#17479)。
CERT-AGID: 2025年9月27日至10月3日恶意活动汇总摘要。
Check Point: 9月29日 – 威胁情报报告。
Joey Chen at Cisco’s Talos: UAT-8099：中文网络犯罪组织针对高价值IIS服务器进行SEO欺诈。
codetodeploy: 深入VMware CVE集群：枚举、提权与暴露。
Ben Reardon at Corelight: 在黑帽美国大会2025上狩猎GTPDOOR | Corelight。
CyberBoo: Microsoft Defender for Identity 深度解析：第一部分。
Cyberdom: 解锁Microsoft Sentinel MCP。
Cyfirma: 每周情报报告 – 2025年10月3日。
Dark Atlas: 威胁画像：Conti勒索软件组织。
Darktrace: 使用Darktrace检测供应商入侵和信任关系滥用。
Detect FYI: MDR中缺失的一环。提示，它始于检测工程框架。 | 通过AuthenticationProcessingDetails在AADSignInEventsBeta上进行威胁狩猎 | 使用KQL发现非推荐TLS参数（基于IANA）。
Disconinja: 每周威胁基础设施调查（第39周）。
DomainTools Investigations: SecuritySnack: 18+电子犯罪。
Paul Asadoorian at Eclypsium: 追寻红色十一月：针对网络边缘设备的深度打击。
Elastic Security Labs: FlipSwitch：一种新颖的系统调用挂钩技术 | WARMCOOKIE一年后：新功能与最新见解。
FalconFeeds: 数字断层线：地区网络冲突中种族与宗教紧张关系的武器化 | 网络空间中的代理人战争：通过威胁行为者联盟追踪国家影响力。
Guillaume Valadon and Carole Winqwist at GitGuardian: Red Hat GitLab 入侵：Crimson Collective的攻击。
Omar ElAhdan, Matthew McWhirt, Michael Rudden, Aswad Robinson, Bhavesh Dhake, and Laith Al at Google Cloud Threat Intelligence: 前线网络犯罪观察：UNC6040主动加固建议。
GreyNoise: 9月28日协调一致的Grafana漏洞利用尝试 | Palo Alto扫描量在48小时内激增约500%，达到90天高点。
HackTheBox: Sandworm unleashed：深入APT44受《沙丘》启发的网络破坏行动。
Hunt IO: Operation SouthNet: SideWinder在南亚扩展钓鱼和恶意软件行动。
Huntress: 无需担心ClickFix技术：变种与检测演进 | 2025年来自深度伪造、ClickFix和ViewState漏洞利用的顶级网络威胁趋势。
Infoblox: Detour Dog：DNS恶意软件驱动Strela窃取程序活动。
Kijo Ninja at Kijo Ninja: Rclone C2数据外泄技术。
Adam Goss at Kraven Security: 停止淹没在数据中：免费构建你自己的CTI聚合器。
Doug Olenick at LevelBlue: SpiderLabs 勒索软件跟踪器更新 2025年9月：Qilin, Akira 位居勒索软件攻击者前列。
Idan Cohen at Mitiga: ShinyHunters 和 UNC6395：深入Salesforce和Salesloft入侵事件。
Netscout: Keymous+ 威胁行为者画像。
NVISO Labs: 任你命名，VMware为你提权（CVE-2025-41244） | Lunar Spider 通过 FakeCaptcha 扩张其网络 | 攻击者读了什么？MailItemAccessed告诉你。
Oleg Skulkin at ‘Know Your Adversary’: 271. 对手是否需要安装RMM？ | 272. 这是另一个可用于狩猎的有趣暂存文件夹 | 273. PDB路径如何帮助揭露恶意文件 | 274. Phantom Taurus 就是这样滥用Exchange管理外壳的 | 275. 搜寻可疑URL | 276. 搜寻可疑IIS模块 | 277. 对手滥用免费请求记录服务作为C2 | 278. 搜寻可疑XLL文件。
Palo Alto Networks: Phantom Taurus：一个新的中文APT组织及NET-STAR恶意软件套件的发现 | 多域可见性的理由。
Art Ukshini at Permiso: P0LR Espresso – 提取云实时响应和高级分析报告。
Picus Security: Crypto24勒索软件揭秘：隐身、持久性和企业级影响 | 2025年蓝色报告：如何对1600万次攻击模拟结果采取行动 | RomCom威胁行为者演进（2023–2025）。
Resecurity: ShinyHunters启动数据泄露网站：Trinity of Chaos宣布新的勒索软件受害者。
Ashlee Benge at ReversingLabs: 使用Spectra Analyze狩猎SharpHounds。
Sandfly Security: Sandfly 5.5.4 – 中国Rootkit显形。
SANS: 狩猎SaaS威胁：来自FOR589课程关于网络犯罪活动的见解 | 记录常态以发现异常：来自真实犯罪和网络攻击的教训。
SANS Internet Storm Center: 针对Palo Alto Global Protect漏洞（CVE-2024-3400）的扫描增加，（9月29日，周一） | [访客日记] 将蜜罐密码与HIBP进行比较，（10月1日，周三） | “user=admin”。有时你甚至无需登录。，（9月30日，周二） | 更多的.well-known扫描，（10月2日，周四）。
Cristian Souza at Securelist: 取证之旅：在AmCache中狩猎邪恶。
Ayush Anand at Securityinbits: 使用nltest、net和whoami进行发现。
Jeremy Scion and Marc N. at Sekoia: 沉默的短信钓鱼：蜂窝路由器API的隐秘滥用。
Seqrite: 勒索软件活动中利用合法远程访问工具。
Shantaciak: 调查电子邮件威胁：为何收件箱仍是前门。
Siddhant Mishra: Kimsuky/APT43钓鱼基础设施：技术演进。
SOCRadar: 暗网画像：零散的Lapsus$猎手。
Claudia Preciado at Stairwell: 基于CISA的Salt Typhoon YARA规则构建：Stairwell发现637个新变种。
Brandon Webster and Bryan Campbell at Sublime Security: 冒充Evite和Punchbowl邀请用于凭证钓鱼和恶意软件分发。
Kyle Knight at Sucuri: 使用SSH密钥认证增强文件传输安全。
System Weakness: Windows凭据窃取检测 | 日志基础 | TryHackMe Write-Up | SIEM简介 | TryHackMe Write-Up | KK TAN的反向工程第二课 ~ 真实世界案例研究 CVE-2025-8088 [经验分享] | HTB Holmes CTF Writeup：The Card | SOC127 – 检测到SQL注入 – LetsDefend – 解决方案。
THOR Collective Dispatch: 询问Thrunt3r：2025年9月回顾 | 代理式威胁狩猎，第2部分：启动狩猎仓库。
Niranjan Hegde and Sijo Jacob at Trellix: XWorm V6：探索关键插件。
Richard Grainger at Triskele Labs: Qilin崛起：澳大利亚组织需要知道什么。
Jean-Francois Gobin at Truesec: 她在海边卖网页 shells（第一部分）。
Elliot Roe at Valdin: 引入YARA规则：使用YARA搜索和监控互联网基础设施。
Joseliyo Sánchez at VirusTotal: 高级威胁狩猎：使用LLM自动化大规模操作。
Vishal Thakur: 引入TLP:Black – 新的保密层级。

即将举行的活动

Cellebrite: 在线被剥削，离线被困：亚太地区的诈骗园区和人口贩卖。
Cyber Social Hub: Cyber Social Hub正在发生的变化。
Magnet Forensics: 向领先的媒体取证专家学习审查和分析媒体证据的技巧和最佳实践 | Cyber Unpacked S2:E4 // 来自一线的声音：DFIR的趋势、挑战与未来。
Simply Defensive: 动手防御：Markus Schober谈DFIR、实验室和打造更好的蓝队成员 | S5 E1。

演示/播客

Alexis Brignoni: DIgital Forensics Now 播客 S3 – E0。
Behind the Binary by Google Cloud Security: EP16 机器学习在反向工程中的革命 with Hahna Kane Latonick。
Patterson Cake at Black Hills Information Security: 使用Hayabusa & SOF-ELK处理Windows事件日志（第2部分）。
Cellebrite: 周二小贴士：C2C用户峰会征文最后召集。
Erik Pistelli at Cerbero: 内存挑战1：揭秘。
Cyber Social Hub: FTK Imager Pro 游戏规则改变者。
InfoSec_Bret: SA – SOC211-161 – Utilman.exe Winlogon 漏洞利用尝试。
John Hammond: 初学者反向工程。
Magnet Forensics: Legal Unpacked E1：数字证据的搜查令：数据驱动方法。
Monolith Forensics: 与Relay用户共享文件和报告 | Monolith中的案件详情。
MSAB: XAMN 早期访问。
MyDFIR: SOC自动化项目2.0：如何在你的SOC工作流程中使用AI。
Parsing the Truth: One Byte at a Time: 商业电子邮件诈骗。
The Cyber Mentor: PowerShell入门：调查Windows进程。
Three Buddy Problem: Oracle cl0p勒索软件危机、欧盟无人机目击事件、Cisco引导工具包后续影响。

恶意软件

Mauro Eldritch at Any.Run: FunkSec的FunkLocker：AI如何驱动下一波勒索软件。
hasherezade at Check Point: Rhadamanthys 0.9.x – 详解更新内容。
Cleafy: Klopatra：揭露一个根植于土耳其的新Android银行木马行动。
Dr Josh Stroschein: IDA Pro基础 – 轻松折叠函数文件夹的方法。
Dr. Web: Dr.Web 2025年第三季度病毒活动回顾 | Dr.Web 2025年第三季度移动设备病毒活动回顾。
Cara Lin at Fortinet: Confucius Espionage：从窃取器到后门。
Nicole Fishbein at Intezer: 恶意软件分析和反向工程初学者指南。
Uma Madasamy at K7 Labs: Patchwork APT 剖析。
Marc Messer and Dave Truman at Kroll: FANCY BEAR GONEPOSTAL – 间谍工具提供对Microsoft Outlook的后门访问。
OSINT Team: 打开一罐XWorms。
Shubho57: 分析一个导致Koi Loader窃取程序的javascript文件。
Puja Srivastava at Sucuri: 恶意广告活动隐藏在WordPress网站上。
ThreatFabric: Datzbro：隐藏在老年旅行诈骗背后的RAT。
Jeffrey Francis Bonaobra, Maristel Policarpio, Sophia Nilette Robles, Cj Arsley Mateo, Jacob Santos, and Paul John Bardon at Trend Micro: 通过WhatsApp传播的自我繁殖恶意软件，针对巴西用户。
Daniel Kelley at Varonis: MatrixPDF通过恶意PDF附件将Gmail用户置于风险之中。
Шифровальщики-вымогатели The Digest “Crypto-Ransomware”: Lamia。

其他

CyberCX: 快速调查的理由。
Belkasoft: [点播课程] BelkaGPT：DFIR中有效的人工智能。
Djordje Lukic at Binalyze: 为何检测浏览器存储的密码能增强网络弹性。
Cyber Codex: 深入探究勒索软件时间线及其影子帝国 | Cyber Codex。
Dr. Brian Carrier at Cyber Triage: 数字取证与调查（DFIR）的人工智能原则。
Josibel Mendoza at DFIR Dominican: DFIR职位更新 – 2025/09/29。
Elan at DFIR Diva: 技术安全与数字取证会议：2025年10月27-29日。
Forensic Focus: Oxygen Analytic Center v.1.6：更智能、更快速、更安全的调查 | 数字取证职位汇总，2025年9月29日 | 打击儿童剥削内部 – 来自Debbie Garner的领导力与健康经验。
Howard Oakley at ‘The Eclectic Light Company’: 深入统一日志 3：日志存储与损耗 | 解释器：inode和inode编号。
Kenneth G. Hartman at Lucid Truth Technologies: 为罪犯辩护：辩护律师、调查员和专家在为黑暗面工作吗？
Magnet Forensics: 当今企业DFIR的现状如何？在我们的调查中分享你的见解！
Passware: 关于PDF解密的一切。
Sandfly Security: Sandfly 现已登陆 Microsoft Azure 市场。

软件更新

Datadog Security Labs: GuardDog v2.7.0。
Digital Sleuth: winfor-salt v2025.11.0。
Elcomsoft: Elcomsoft分布式密码恢复增加对8款密码管理应用的支持。
Google: Timesketch 20250929。
MALCAT: 0.9.11 发布：ARM 和 MachO 分析。
Metaspike: 取证邮件收集器 (FEC) 更新日志 – 4.2.579.104 | 取证邮件情报 – 2.2.579。
Microsoft: msticpy – Defender的OAuth v2.0修复。
MISP: MISP 2.5.22 发布，包含改进和错误修复。
MSAB: 2025年第三季度主要版本现已发布。
OpenCTI: 6.8.2。
Phil Harvey: ExifTool 13.38。
radare2: 6.0.4。
Sigma: 发布 r2025-10-01。
WithSecure Labs: Chainsaw v2.13.0。

这就是本周的全部内容！如果你认为我遗漏了什么，或者希望我特别报道某个内容，请通过联系页面或社交媒体联系我！跟我上课！使用折扣码 thisweekin4n6 在 Cyber5w 的任何课程享受 85 折优惠。使用代码 PM15 或点击此链接在 Hexordia 下一堂课享受 85 折优惠。