2025年第40周数字取证与事件响应技术动态盘点

本周技术动态涵盖Salesloft-Drift入侵分析、Android取证研究、内存分析技术、勒索软件追踪、恶意软件分析、云安全威胁检测、数字取证工具更新等关键领域,为安全专业人员提供全面的技术参考。

赞助内容

Salesloft-Drift入侵内幕:对SaaS与身份安全的意义 在本环节中,Permiso首席技术官将涵盖:

  • 攻击者如何利用被盗OAuth令牌从GitHub→AWS→Salesforce横向移动
  • 为何这种"全机器"攻击为SaaS供应链和NHI敲响警钟
  • 在您环境中检测和遏制类似威胁的实用步骤 观看视频播客 由Permiso赞助

取证分析

  • Brian Maloney:OneDrive离线分析
  • Chainalysis:朝鲜IT工作者:深入朝鲜加密货币洗钱网络
  • Christopher Eng:Android Pixel 7数字照片生命周期第2部分
  • Android取证:文件系统时间戳ADB脚本
  • Elcomsoft:iPhone 17:PWM闪烁的终结?
  • 密码管理器破解:从Bitwarden到Zoho Vault
  • 数字取证中的人工智能:工具而非神谕
  • Forensafe:iOS AllTrails分析
  • Iram Jack:内存分析入门
  • 内存获取技术
  • Magnet Forensics:通过自动分析使媒体认证更易理解
  • Magnet Forensics对iOS 26的支持
  • 关键证据:说明问题的搜索历史
  • Maltego:使用Maltego揭露杀猪盘操作
  • Matthew Plascencia:iOS 26定位功能与AI增强
  • iOS 26新证据II
  • Mattia Epifani:探索iOS设备数据提取:可访问数据及方法
  • OSINT团队:Volatility3:从内存映像导航SAM注册表配置单元
  • The DFIR Report:从单次点击开始:Lunar Spider如何实现近两个月的入侵

威胁情报/狩猎

  • Faan Rossouw:每日恶意软件 - 通过SMB进行的代理间通信(AdaptixC2)
  • Adam:使用.LNK文件作为lolbins
  • ASEC:在MS-SQL服务器攻击案例中识别XiebroC2
  • Ayelen Torello:勒索故事第四卷 - 模拟Rhysida、Charon和Dire Wolf勒索软件
  • Chi Tran等:防御类似Chalk/Debug和Shai-Hulud蠕虫的供应链攻击
  • BI.Zone:Cavalry Werewolf通过信任关系攻击袭击俄罗斯公共部门
  • c-APT-ure:使用NetBIOS名称进行 pivoting 和威胁聚类
  • CERT Ukraine:UAC-0245使用CABINETRAT后门进行针对性网络攻击
  • CERT-AGID:9月27日-10月3日恶意活动汇总
  • Check Point:9月29日威胁情报报告
  • Joey Chen:UAT-8099:中文网络犯罪组织针对高价值IIS进行SEO欺诈
  • codetodeploy:VMware CVE集群内幕:枚举、提权和暴露
  • Ben Reardon:在黑帽USA 2025狩猎GTPDOOR
  • CyberBoo:Microsoft Defender for Identity深度剖析第一部分
  • Cyberdom:解锁Microsoft Sentinel MCP
  • Cyfirma:10月3日每周情报报告
  • Dark Atlas:威胁画像:Conti勒索软件组织
  • Darktrace:使用Darktrace检测供应商泄露和信任关系滥用
  • Detect FYI:MDR中缺失的一环,从检测工程框架开始
  • 通过AuthenticationProcessingDetails进行AADSignInEventsBeta威胁狩猎
  • 使用KQL显示非推荐TLS参数(基于IANA)
  • Disconinja:第39周威胁基础设施调查
  • DomainTools Investigations:SecuritySnack:18+电子犯罪
  • Paul Asadoorian:寻找RedNovember:对网络边缘设备的深度打击
  • Elastic Security Labs:FlipSwitch:新型系统调用挂钩技术
  • WARMCOOKIE一年后:新功能和最新洞察
  • FalconFeeds:数字断层线:地区网络冲突中民族和宗教紧张关系的武器化
  • 网络空间代理战争:通过威胁行为者联盟追踪国家影响力
  • Guillaume Valadon等:Red Hat GitLab泄露:Crimson Collective的攻击
  • Omar ElAhdan等:前线网络犯罪观察:UNC6040主动加固建议
  • GreyNoise:9月28日协调的Grafana利用尝试
  • Palo Alto扫描在48小时内激增约500%,达到90天高点
  • HackTheBox:Sandworm unleashed:深入APT44受《沙丘》启发的网络破坏
  • Hunt IO:Operation SouthNet:SideWinder在南亚扩展钓鱼和恶意软件操作
  • Huntress:不要担心ClickFix技术:变种与检测演进
  • 2025年顶级网络威胁趋势:从深度伪造、ClickFix到ViewState利用
  • Infoblox:Detour Dog:DNS恶意软件为Strela窃取程序活动提供动力
  • Kijo Ninja:Rclone C2数据外泄技术
  • Adam Goss:停止在数据中溺水:免费构建自己的CTI聚合器
  • Doug Olenick:SpiderLabs勒索软件追踪器2025年9月更新
  • Idan Cohen:ShinyHunters和UNC6395:Salesforce和Salesloft泄露内幕
  • Netscout:Keymous+威胁行为者画像
  • NVISO Labs:VMware权限提升漏洞(CVE-2025-41244)
  • Lunar Spider通过FakeCaptcha扩展网络
  • 攻击者读取了什么?MailItemAccessed告诉您
  • Oleg Skulkin:对手是否需要安装RMM?
  • 另一个可用于狩猎的有趣暂存文件夹
  • PDB路径如何帮助发现恶意文件
  • Phantom Taurus如何滥用Exchange管理Shell
  • 狩猎可疑URL
  • 狩猎可疑IIS模块
  • 对手滥用免费请求记录服务作为C2
  • 狩猎可疑XLL文件
  • Palo Alto Networks:Phantom Taurus:新的中国关联APT和NET-STAR恶意软件套件的发现
  • 多域可见性的案例
  • Art Ukshini:P0LR Espresso - 云实时响应与高级分析
  • Picus Security:Crypto24勒索软件揭秘:隐蔽性、持久性和企业级影响
  • 2025年蓝色报告:如何对1600万次攻击模拟结果采取行动
  • RomCom威胁行为者演进(2023-2025)
  • Resecurity:ShinyHunters启动数据泄露网站
  • Ashlee Benge:使用Spectra Analyze狩猎SharpHounds
  • Sandfly Security:Sandfly 5.5.4 - 中国Rootkit揭露
  • SANS:狩猎SaaS威胁:来自FOR589课程的网络犯罪活动洞察
  • 记录正常以发现异常:真实犯罪和网络攻击的教训
  • SANS互联网风暴中心:Palo Alto GlobalProtect漏洞(CVE-2024-3400)扫描增加
  • 比较蜜罐密码与HIBP
  • “user=admin"有时甚至无需登录
  • 更多.well-known扫描
  • Cristian Souza:取证之旅:在AmCache中狩猎恶意活动
  • Ayush Anand:使用nltest、net和whoami进行发现
  • Jeremy Scion等:Silent Smishing:蜂窝路由器API的隐蔽滥用
  • Seqrite:勒索软件活动中利用合法远程访问工具
  • Shantaciak:调查电子邮件威胁:为何收件箱仍是前门
  • Siddhant Mishra:Kimsuky/APT43钓鱼基础设施:技术演进
  • SOCRadar:暗网画像:Scattered Lapsus$ Hunters
  • Claudia Preciado:基于CISA的Salt Typhoon YARA规则:Stairwell发现637个新变种
  • Brandon Webster等:冒充Evite和Punchbowl邀请用于凭证钓鱼和恶意软件分发
  • Kyle Knight:通过SSH密钥认证增强文件传输安全
  • System Weakness:Windows凭证窃取检测
  • 日志基础 | TryHackMe记录
  • SIEM入门 | TryHackMe记录
  • KK TAN逆向工程第2次会议 ~ CVE-2025-8088实际案例研究
  • HTB Holmes CTF记录:The Card
  • SOC127 - SQL注入检测 - LetsDefend - 解决方案
  • THOR Collective Dispatch:Ask-a-Thrunt3r:2025年9月回顾
  • 代理威胁狩猎第2部分:启动狩猎仓库
  • Niranjan Hegde等:XWorm V6:探索关键插件
  • Richard Grainger:Qilin崛起:澳大利亚组织需要知道什么
  • Jean-Francois Gobin:她在海边出售Web Shells(第一部分)
  • Elliot Roe:引入YARA规则:使用YARA搜索和监控互联网基础设施
  • Joseliyo Sánchez:高级威胁狩猎:使用LLM自动化大规模操作
  • Vishal Thakur:引入TLP:Black - 新的保密层级

即将举行的活动

  • Cellebrite:在线剥削,离线困陷:亚太地区的诈骗园区和人口贩运
  • Cyber Social Hub:Cyber Social Hub的变化
  • Magnet Forensics:从领先的媒体取证专家学习审查和分析媒体证据的技巧和最佳实践
  • Cyber Unpacked S2:E4 // 来自现场的声音:DFIR趋势、挑战和未来
  • Simply Defensive:实践防御:Markus Schober谈DFIR、实验室和培养更好的蓝队成员

演示/播客

  • Alexis Brignoni:数字取证现在播客S3 - E0
  • Behind the Binary:EP16 逆向工程中的机器学习革命
  • Patterson Cake:使用Hayabusa和SOF-ELK处理Windows事件日志(第2部分)
  • Cellebrite:提示星期二:C2C用户峰会最终征文
  • Erik Pistelli:内存挑战1:揭示
  • Cyber Social Hub:FTK Imager Pro游戏改变者
  • InfoSec_Bret:SOC211-161 - Utilman.exe Winlogon利用尝试
  • John Hammond:初学者逆向工程
  • Magnet Forensics:法律解读E1:数字证据搜查令:数据驱动方法
  • Monolith Forensics:与Relay用户共享文件和报告
  • Monolith中的案例详情
  • MSAB:XAMN早期访问
  • MyDFIR:SOC自动化项目2.0:如何在SOC工作流中使用AI
  • Parsing the Truth:Business Email Compromise
  • The Cyber Mentor:PowerShell入门:调查Windows进程
  • Three Buddy Problem:Oracle cl0p勒索软件危机、欧盟无人机目击事件、Cisco bootkit余波

恶意软件

  • Mauro Eldritch:FunkSec的FunkLocker:AI如何推动下一波勒索软件
  • hasherezade:Rhadamanthys 0.9.x - 更新详解
  • Cleafy:Klopatra:揭露植根于土耳其的新Android银行木马操作
  • Dr Josh Stroschein:IDA Pro基础 - 轻松折叠函数文件夹
  • Dr. Web:Dr.Web 2025年第三季度病毒活动回顾
  • Dr.Web 2025年第三季度移动设备病毒活动回顾
  • Cara Lin:Confucius间谍活动:从窃取程序到后门
  • Nicole Fishbein:恶意软件分析和逆向工程初学者指南
  • Uma Madasamy:Patchwork APT分析
  • Marc Messer等:FANCY BEAR GONEPOSTAL - 间谍工具提供Microsoft Outlook后门访问
  • OSINT团队:打开一罐XWorms
  • Shubho57:JavaScript文件分析导致Koi Loader窃取程序
  • Puja Srivastava:WordPress网站上的恶意广告活动隐藏于众目睽睽之下
  • ThreatFabric:Datzbro:隐藏在老年旅游诈骗背后的RAT
  • Jeffrey Francis Bonaobra等:通过WhatsApp传播的自传播恶意软件,针对巴西用户
  • Daniel Kelley:MatrixPDF通过恶意PDF附件使Gmail用户面临风险
  • 勒索软件摘要:Lamia

其他

  • CyberCX:快速调查的案例
  • Belkasoft:BelkaGPT:DFIR中有效的人工智能
  • Djordje Lukic:为什么检测浏览器存储的密码能增强网络弹性
  • Cyber Codex:深入探讨勒索软件时间线及其影子帝国
  • Dr. Brian Carrier:数字取证和调查的AI原则
  • Josibel Mendoza:DFIR工作更新 - 09/29/25
  • Elan:技术安全与数字取证会议:2025年10月27-29日
  • Forensic Focus:Oxygen Analytic Center v.1.6:更智能、更快速、更安全的调查
  • 数字取证工作汇总,2025年9月29日
  • 打击儿童剥削内幕 - Debbie Garner的领导力和健康经验
  • Howard Oakley:统一日志内部3:日志存储和损耗
  • 解释器:inodes和inode编号
  • Kenneth G. Hartman:为罪犯辩护:辩护律师、调查人员和专家是否在为黑暗面工作?
  • Magnet Forensics:企业DFIR现状如何?在我们的调查中分享您的见解!
  • Passware:关于PDF解密的全部内容
  • Sandfly Security:Sandfly现已在Microsoft Azure市场上提供

软件更新

  • Datadog Security Labs:GuardDog v2.7.0
  • Digital Sleuth:winfor-salt v2025.11.0
  • Elcomsoft:Elcomsoft分布式密码恢复新增对8个密码管理应用的支持
  • Google:Timesketch 20250929
  • MALCAT:0.9.11发布:ARM和MachO分析
  • Metaspike:Forensic Email Collector变更日志 - 4.2.579.104
  • Forensic Email Intelligence - 2.2.579
  • Microsoft:msticpy - Defender的OAuth v2.0修复
  • MISP:MISP 2.5.22发布,包含改进和错误修复
  • MSAB:2025年第三季度主要版本现已可用
  • OpenCTI:6.8.2
  • Phil Harvey:ExifTool 13.38
  • radare2:6.0.4
  • Sigma:发布r2025-10-01
  • WithSecure Labs:Chainsaw v2.13.0

以上就是本周的全部内容!如果您认为我遗漏了什么,或者希望我特别报道某些内容,请通过联系页面或社交媒体渠道与我联系!

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次