2025年第42周数字取证与事件响应技术动态盘点

本周技术动态涵盖Salesloft-Drift入侵事件分析、内存取证技术、威胁狩猎方法、恶意软件家族研究、数字取证工具更新等关键领域,为安全专业人员提供全面的技术参考和实践指南。

赞助内容

Salesloft-Drift入侵内幕:对SaaS和身份安全的意义
在本课程中,Permiso的CTO将涵盖:

  • 攻击者如何利用被盗OAuth令牌从GitHub→AWS→Salesforce横向移动
  • 为何这种"全机器"攻击为SaaS供应链和NHI敲响警钟
  • 在您的环境中检测和遏制类似威胁的实用步骤
    观看视频播客
    由Permiso赞助

取证分析

  • Hexacorn的Adam:过往取证技术回顾
  • Akash Patel:远程执行与Kansa——仍是最被低估的IR工具之一
  • 日志分析:关键不在于知晓,而在于关联
  • Kerberos和NTLM认证失败追踪与调查

视频取证工作流

  • Lucy Carey-Shields:Amped FIVE视频取证工作流第二部分:视频证据分析
  • Erik Pistelli:内存挑战3:隐形技术
  • Christopher Eng:Gmail应用–IMAP账户痕迹(消息日志记录)–第2部分

脚本与工具

  • 取证ADB脚本–adb-pull-stat.py
  • BSides NYC 0x05:通过开源贡献学习–构建DFIR专业知识

Elcomsoft技术指南

  • 提取Apple统一日志
  • 完美采集速查表(32位)
  • 有效磁盘映像:端口、集线器和电源
  • 所有USB线缆并非生而平等

加密货币取证

  • Elliptic:美国扣押的150亿美元源自伊朗/中国比特币矿工"盗窃"案
  • Prince Group因杀猪盘运营面临150亿美元加密货币扣押和制裁

实战演练

  • Forensafe:解构Magnet Virtual Summit 2025 CTF(Windows)
  • Hussam Shbib:成为更好的侦探#6解析Linux内存转储
  • Ian Whiffin:Safari浏览器取证演练
  • Iram Jack:补充内存与Linux内存分析

Windows取证专题

  • Matthew Plascencia:Windows取证的奇妙世界
  • Md. Abdullah Al Mamun:莫斯科黑客暴露的命令历史
  • OSINT团队:$UsnJrnl:探索NTFS USN日志追踪文件系统活动
  • Kirill Magaskin:Windows 10终止支持与Windows 11取证痕迹
  • Studio d’Informatica Forense:Le Iene节目原始或伪造电子邮件验证

威胁情报/狩猎

高级威胁分析

  • Abdul Mhanni:成为机器——虚拟账户完全控制指南
  • Faan Rossouw:威胁狩猎与假设违规哲学
  • Adam:help.exe、nslookup.exe、wsreset.exe的未知秘密

ASEC深度报告

  • Larva-25010——APT Down威胁参与者PC分析
  • 使用选择性加密算法的Qilin勒索软件分析
  • 2025年第三季度针对Linux SSH服务器的恶意软件统计报告
  • 2025年第三季度针对Windows数据库服务器的恶意软件统计报告

行业响应与研究

  • AttackIQ:Oracle安全警报咨询响应——Oracle E-Business Suite预认证RCE(CVE-2025-61882)
  • Deerendra Prasad:威胁聚焦——解构针对Microsoft 365的新型隐蔽钓鱼工具包
  • Jade Brown:Bitdefender威胁简报|2025年10月
  • Brian Krebs:2025年10月"Windows 10终结版"补丁星期二

勒索软件专题

  • BushidoToken:Capita遭受BlackBasta勒索软件攻击的经验教训
  • CERT Ukraine:UAC-0239使用OrcaC2框架和FILEMESS窃取程序进行网络攻击

全球威胁态势

  • 多家安全厂商发布针对意大利、PagoPA等的钓鱼活动分析
  • Check Point:10月13日威胁情报报告显示Microsoft在Q3 2025钓鱼冒充中占主导地位

技术检测方法

  • CISA ED 26-01:缓解F5设备中的漏洞
  • Vanja Svajcer和Michael Kelley:BeaverTail和OtterCookie通过新JavaScript模块进化
  • CloudSEK:IRGC关联APT35行动内幕第三集——恶意软件武器库与工具

新兴威胁技术

  • Cofense:武器化信任——Microsoft徽标作为技术支持诈骗入口
  • Ash Leslie等:Falcon防御Git漏洞CVE-2025-48384
  • Curated Intelligence:研究CTI的ASN日记

(以下部分继续按类似结构整理,保持技术细节的完整呈现…)

恶意软件分析

  • Any.Run:新恶意软件策略——SOC和MSSP的案例与检测技巧
  • Erik Pistelli:MSI格式包分析
  • Cyble:GhostBat RAT——安卓RTO主题恶意软件复苏内幕
  • Jeroen Beckers:修补安卓ARM64库初始化器以便Frida插桩和调试
  • Sekoia:解冻PolarEdge后门
  • Shubho57:恶意APK文件分析
  • Alan Sguigna:Microsoft WinDbg时间旅行调试与Intel处理器追踪对比
  • Zhassulan Zhussupov:macOS黑客第12部分——ARM(M1)反向shell

软件更新

  • Amped:FIVE更新38827——新过滤器预设、项目快照及多模块增强
  • Belkasoft:X v.2.9版本新功能
  • Cellebrite:2025年秋季发布——进入数字调查和移动网络安全新前沿
  • Elcomsoft:iOS取证工具包8.80增强逻辑采集,增加Apple统一日志支持
  • F-Response:8.7.1.36版本现已可用
  • MISP:2.5.23发布,增强基准测试、错误修复和文档更新
  • Passware:Kit 2025 v4现已可用
  • Xways:多个版本取证软件更新发布

本周内容汇总完毕!如果您认为我遗漏了什么,或希望我特别关注某些内容,请通过联系页面或社交媒体渠道与我联系!

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次