2025年第42周:数字取证与事件响应技术周报深度解读

本周周报汇总了数字取证与事件响应领域的重要动态,涵盖Salesloft-Drift入侵分析、Kansa等取证工具应用、多种恶意软件分析、内存取证技术、Windows日志调查以及行业软件更新和即将举行的安全会议。

内部透视:Salesloft-Drift入侵事件及其对SaaS与身份安全的影响

本期由Permiso公司的CTO主讲,内容包括:

  • 攻击者如何利用被盗的OAuth令牌从GitHub转移到AWS,再进入Salesforce。
  • 为何这场“全自动化”攻击为SaaS供应链和NHIs敲响了警钟。
  • 在您自身环境中检测与遏制类似威胁的实用步骤。 观看视频播客(由Permiso赞助)

一如既往,感谢各位支持者的回馈!

取证分析

  • Adam @ Hexacorn:昔日取证 | 远程执行与Kansa——仍是最被低估的事件响应工具之一 | 日志分析——重点在于关联而非知晓 | 追踪Kerberos & NTLM认证失败与调查
  • Lucy Carey-Shields @ Amped:使用Amped FIVE的法证视频工作流程 – 第二部分:视频证据分析
  • Erik Pistelli @ Cerbero:内存挑战3:隐身
  • Christopher Eng @ Ogmini:Gmail应用 – IMAP账户痕迹(消息日志记录)- 第2部分 | 取证ADB脚本 – adb-pull-stat.py | BSides NYC 0x05 – 贡献以学习:通过开源构建DFIR专业知识
  • Elcomsoft:提取Apple统一日志 | 速查表:完美采集(32位)| 有效磁盘镜像:端口、集线器与电源 | 所有USB线缆生而平等,但有些更为平等
  • Elliptic:美国扣押的150亿美元源自伊朗/中国比特币矿工“盗窃”案 | Prince Group因“杀猪盘”操作面临150亿美元加密货币扣押与制裁
  • Forensafe:破解Magnet Virtual Summit 2025 CTF(Windows版)
  • Hussam Shbib @ Cyber Dose:成为更好的侦探 #6 解析Linux内存转储
  • Ian Whiffin @ DoubleBlak:Safari浏览器操作详解
  • Iram Jack:补充内存分析 | Linux内存分析
  • Matthew Plascencia:Windows取证的奇妙世界
  • Md. Abdullah Al Mamun:莫斯科黑客暴露的命令历史
  • OSINT团队:$UsnJrnl:探索NTFS USN日志以追踪文件系统活动
  • Kirill Magaskin @ Securelist:王权更迭!Windows 10 EOL与Windows 11取证痕迹
  • Studio d’Informatica Forense:为Le Iene验证原始或伪造电子邮件

威胁情报/狩猎

  • Abdul Mhanni:化身机器:虚拟账户的完全控制指南
  • Faan Rossouw @ Active Countermeasures:威胁狩猎与“已遭入侵”假设哲学
  • Adam @ Hexacorn:help.exe的一个鲜为人知的秘密 | nslookup.exe的一个鲜为人知的秘密,第二部分 | wsreset.exe的一个鲜为人知的秘密
  • ASEC:Larva-25010 – APT Down威胁组织PC分析 | 使用选择性加密算法的Qilin勒索软件分析 | 2025年第三季度针对Linux SSH服务器的恶意软件统计报告 | 2025年第三季度针对Windows数据库服务器的恶意软件统计报告
  • AttackIQ:对Oracle安全警报公告的响应:Oracle电子商务套件预认证RCE(CVE-2025-61882)
  • Deerendra Prasad @ Barracuda:威胁聚焦:剖析针对Microsoft 365的新型隐秘钓鱼工具包
  • Jade Brown @ Bitdefender:Bitdefender威胁简报 | 2025年10月
  • Brian Krebs @ ‘Krebs on Security’:2025年10月补丁星期二 – ‘终结Windows 10’版 | 邮件炸弹利用Zendesk宽松的身份验证
  • BushidoToken:BlackBasta勒索软件攻击Capita的教训
  • CERT Ukraine:“对抗俄罗斯破坏小组”:UAC-0239利用OrcaC2框架和FILEMESS窃密程序进行网络攻击(CERT-UA#17691)
  • CERT-AGID:针对意大利外国公民的居留许可核查钓鱼攻击 | 针对PagoPA的钓鱼滥用Google开放重定向 | 2025年10月11日至17日恶意活动综合摘要
  • Check Point:10月13日 – 威胁情报报告 | Microsoft在2025年第三季度主导网络钓鱼冒充对象
  • CISA:ED 26-01:缓解F5设备中的漏洞
  • Vanja Svajcer和Michael Kelley @ Cisco Talos:BeaverTail和OtterCookie通过新的Javascript模块进化
  • CloudSEK:IRGC关联的APT35行动内幕观察:Ep3 – 恶意软件库与工具集
  • Cofense:武器化的信任:Microsoft标识作为技术支持诈骗的入口 | “隐私”与“奖品”:来自恶意浏览器扩展的奖励
  • Ash Leslie, Doug Brown, Mitch Datka @ CrowdStrike:Falcon防御Git漏洞CVE-2025-48384
  • Curated Intelligence:精选情报日记:为CTI研究ASN
  • Cyfirma:每周情报报告 – 2025年10月10日
  • Dark Atlas:威胁行为者可疑滥用ScreenConnect
  • Detect FYI:重写剧本——以检测驱动的事件响应方法 | 使用KQL查询识别通过RDP会话的文件外泄(亡灵节特别版)| 狩猎WMI事件订阅持久化 | 检测工程的关键资产分析
  • Disconinja:每周威胁基础设施调查(第41周)
  • DomainTools Investigations:安全零食:端掉仓库 – NPM钓鱼
  • Dreadnode:LOLMIL:就地取材的模型与推理库
  • Magdalena Karwat @ EclecticIQ:扩展STIX:自定义对象如何赋能您的智能工作
  • Paul Asadoorian @ Eclypsium:炸弹外壳:隐藏在Framework设备明处的已签名后门
  • Sai Molige @ Forescout:一年之后,Interlock勒索软件持续升级
  • Pei Han Liao @ Fortinet:追踪恶意软件与攻击扩散:一个黑客组织在亚洲的旅程
  • Google Cloud Threat Intelligence:朝鲜采用EtherHiding:国家支持恶意软件藏身区块链 | 新晋组织:UNC5142利用EtherHiding分发恶意软件
  • GreyNoise:GreyNoise近期围绕F5的观察
  • Group-IB:对抗支付欺诈的新武器:反欺诈团队的独特威胁情报 | 东西向张力:NDR供应商是否监控了错误的流量?
  • Hunt IO:Odyssey窃密程序和AMOS活动通过伪造工具瞄准macOS开发者
  • Harlan Carvey和Lindsey O’Donnell-Welch @ Huntress:破除勒索软件部署迷思
  • Jeffrey Bellny @ CatchingPhish:通过ChatGPT代理模式进行数据外泄 | 混淆医院的故事
  • Kasada:2025年第三季度威胁情报报告
  • Adam Goss @ Kraven Security:你想成为一名CTI分析师吗?终极职业指南
  • Cris Tomboc @ LevelBlue:SocGholish:将应用程序更新变成恼人的感染
  • Amy Hogan-Burney @ Microsoft Security:敲诈和勒索软件驱动了过半的网络攻击
  • Oleg Skulkin @ ‘Know Your Adversary’:286. Astaroth就是这样滥用GitHub | 287. 对手滥用Dpaste存储恶意文件 | 288. ClickFix, FileFix… 那又怎样? | 289. 狩猎伪装行为 | 290. 对手就是这样使用PowerShell进行互斥体检测 | 291. 对手持续滥用Microsoft控制台调试器 | 292. 狩猎PhantomVAI Loader的行为
  • OSINT团队:映射网络对手:MITRE ATT&CK如何帮助您在攻击发生前洞察
  • Marcelo Ruano @ Outpost24:信用卡诈骗生态系统:传统金融网络犯罪的衰落
  • Palo Alto Networks:PhantomVAI Loader投递多种信息窃取程序 | 攻击剖析:全球设备制造商的“BlackSuit闪电战” | 威胁简报:国家行为者窃取F5源代码和未公开漏洞
  • Picus Security:散落的LAPSUS$猎人:2025年最危险的网络犯罪超级集团 | Lazarus组织(APT38)详解:时间线、TTPs与主要攻击
  • Proofpoint:当怪物咬人时:追踪TA585及其武器库
  • Qi’anxin X Lab:StealthServer:来自南亚APT组织的跨平台后门
  • Recorded Future:如何缓解供应链攻击
  • Jesse Griggs @ Red Canary:命令注意力:对手如何滥用AI CLI工具
  • Resecurity:Qilin勒索软件与幽灵防弹托管集团
  • Rexor:Vc0CTI 暗影斗篷
  • SANS互联网风暴中心:注意:对ESAFENET CDG V5的扫描,(10月13日,周一)| Python信息窃取程序中的剪贴板图片外泄,(10月15日,周三)| TikTok视频推广恶意软件安装,(10月17日,周五)| 新的DShield支持Slack,(10月16日,周四)
  • Securelist:神秘大象:日益增长的威胁 | 特立独行者:滥用WhatsApp进行大规模分发的新型银行木马 | 现在也通过npm投递的后期利用框架
  • Seqrite:司法通知钓鱼瞄准哥伦比亚用户 – .SVG附件投递信息窃取恶意软件 | 操作 Silk Lure:计划任务被武器化用于DLL侧加载(投递ValleyRAT)| 操作 MotorBeacon:威胁行为者使用.NET植入物瞄准俄罗斯汽车行业
  • Shantaciak:蓝队在何处停止反应并开始设计 | 激发好奇心:检测工程生命周期
  • Kirill Boychenko @ Socket:131个针对WhatsApp的垃圾邮件扩展程序泛滥Chrome应用商店
  • Sophos:威胁情报执行报告 – 2025年第5卷
  • Soumyadeep Basu @ Soumyadeep Basu:检测AWS X-Ray C2滥用
  • Michael Haag @ Splunk:失落的载荷:MSIX复活
  • Squiblydoo:DeceptionPro:走在网络犯罪前面
  • Sublime Security:模仿Google Careers的凭据钓鱼骗局,变化无穷 | 模仿知名公司的Facebook凭据钓鱼与招聘骗局
  • Gabriel Barbosa @ Sucuri:联系表单垃圾邮件攻击:一个无辜功能引发的大问题
  • SuspectFile:未曾存在的联盟:对ReliaQuest 2025年第三季度勒索软件报告的批判性分析 | Allardyce Bower Consulting数据泄露:网络安全保险未激活,原因仍不明朗 | 为什么Allardyce Bower Consulting的勒索软件保险没有如预期生效
  • Symantec Enterprise:Jewelbug:中国APT组织扩大对俄罗斯的触及范围
  • Synacktiv:LinkPro:eBPF rootkit分析
  • System Weakness:LetsDefend – SOC模拟器 – 事件ID:44/ EN版 | CyberTalents数字取证:“Just Smile”题解 | CyberTalents数字取证:“Hack a nice day”题解 | CyberTalents数字取证:“XMEN-Files”题解
  • THOR Collective Dispatch:实战Sliver BOFs:将Sliver Armory BOFs引入紫队演练 | 调整风险管理与威胁知情防御实践(第一部分)
  • Maulik Maheta @ Trellix:Active Directory中的无声威胁:AS-REP Roasting如何悄无声息地窃取密码及Trellix NDR的快速检测
  • Junestherry Dela Cruz @ Trend Micro:地下世界的变化:Water Kurita(Lumma Stealer)人肉搜索的影响
  • Stephen Kowski @ Varonis:收件箱渗透:您忽略的文件类型
  • Vasilis Orlof @ Cyber Intelligence Insights:映射最新的Lumma基础设施 | 情报投放 #3
  • Vectra AI:Qilin的2025年剧本及其暴露的安全漏洞,作者 Lucie Cardiet | 从Conti到Black Basta再到DevMan:无尽的勒索软件品牌重塑,作者 Lucie Cardiet
  • Rami McCarthy @ Wiz:拆除VSCode扩展市场中的关键供应链风险
  • Darshit Ashara, Pratik Kadam, Michael Wylie @ ZScaler:搜索、点击、窃取:伪造的Ivanti VPN客户端站点的隐蔽威胁

即将举行的活动

  • Black Hills Information Security:谈论[信息安全]新闻 2025-10-20 #直播 #信息安全 #新闻
  • Dragos:夺旗赛 2025
  • Magnet Forensics:克服工作场所调查中的移动取证挑战
  • Simply Cyber:从服务台到SOC:KevTech如何在没有认证的情况下进入网络安全领域 | 纯防御S5 E3
  • Spur:从平壤到您的SaaS:在Zoom和Slack中发现朝鲜战术

演示/播客

  • Adversary Universe Podcast:勒索软件简史
  • Black Hills Information Security:谈论[信息安全]新闻 2025-10-13 #直播 #信息安全 #信息安全新闻
  • Brett Shavers:除法官席外的所有座位
  • Cellebrite:周二小贴士:Cellebrite 2025年秋季发布 | 特别周二小贴士:注册Cellebrite CTF | Cellebrite CTF 2025注册已开放
  • Amy Ciminnisi @ Cisco Talos:Laura Faria:前线上的同理心
  • Google的云安全播客:EP247 不断演变的CISO:从安全警察到云与AI冠军
  • Cyber from the Frontlines:E18 AI威胁方程:从模型到恶意软件
  • InfoSec_Bret:SA – SOC235 事件ID:197(Atlassian Confluence 权限控制破坏0-day CVE-2023-22515)
  • John Hammond:基于脚本的恶意软件分析!| 窃取密码
  • Magnet Forensics:云还是本地?为何不两者兼得——发现新的Nexus混合代理 | 用Magnet Graykey Fastrak和Magnet Automate消除移动设备积压和瓶颈
  • Monolith Forensics:Monolith中的证据详情
  • MSAB:#MSAB星期一 – XRY 11.2.0中的哈希树构建器更新(选择)| 法证修复第23集
  • MyDFIR:将您的实验室转化为真实SOC经验(助您脱颖而出)
  • Parsing the Truth: One Byte at a Time:关于Pam Hupp和Russ Faria重审案的事(第二部分)
  • Three Buddy Problem:JAGS LABScon 2025主题演讲:迈向网络生态学的步骤

恶意软件

  • Any.Run:新型恶意软件策略:面向SOC和MSSP的案例与检测技巧
  • Erik Pistelli @ Cerbero:MSI格式包
  • Cyble:GhostBat RAT:安卓RTO主题恶意软件复苏内幕
  • Jeroen Beckers @ NVISO Labs:修补Android ARM64库初始化器以便于Frida插桩和调试
  • Sekoia:解冻PolarEdge的后门
  • Shubho57:恶意APK文件分析
  • Alan Sguigna @ White Knight Labs:Microsoft WinDbg时间旅行调试 vs Intel处理器追踪
  • Zhassulan Zhussupov:macOS黑客攻防第12部分:ARM(M1)的反向Shell。简单汇编(M1)示例
  • بانک اطلاعات تهدیدات بدافزاری پادویش:ShrinkLocker

其他

  • Anton Chuvakin:SIEM、初创公司与IT惯性之谜(现实?):一位改革派分析师对SIEM MQ 2025的思考
  • Brett Shavers:当调查迷失在机器中
  • Brett Shavers @ DFIR.Training:如果您的案件败诉,很可能不是工具的错
  • Josibel Mendoza @ DFIR Dominican:DFIR职位更新 – 2025/10/13
  • Michael Karsyan @ Event Log Explorer blog:Windows事件日志API漏洞毁掉了大多数事件日志软件
  • F-Response:了解您的F-Response版本…
  • Forensic Focus:Oxygen Forensics发布Oxygen Remote Explorer v1.9.1 | FMLA诉讼中拒绝第三方手机取证镜像 | 数字取证职位汇总,2025年10月13日 | Matthew Plascencia,数字取证调查员,Exhibit A Cyber | Passware Kit 2025v4发布:解锁Transcend便携式SSD | 数字取证汇总,2025年10月15日 | Amped Software推出新的三部分博客系列:基于真实案例的Amped FIVE法证视频工作流程 | Oxygen Forensics培训 – 盒子里的提取(XiB)| Detego Global与Raven建立战略合作伙伴关系,通过技术打击儿童剥削
  • Hornet Security:英国勒索软件支付禁令对您的企业意味着什么
  • Howard Oakley @ ‘The Eclectic Light Company’:统一日志内部解析5:导航 | 统一日志内部解析6:艰难时期
  • Mahmoud Soheem:开始使用DFiR Galaxy工作站 | DFiR Galaxy工作站:DFIR调查的瑞士军刀 | DFiR Galaxy工作站中可用的工具
  • MISP:MISP性能调优
  • Oxygen Forensics:为您的数字调查添加最佳翻译 | 如何从ChatGPT提取和解析数据
  • Ryan G. Cox @ The Cybersec Café:安全事件后如何改善安全状况

软件更新

  • Amped:Amped FIVE 更新 38827:新滤镜预设、项目快照,以及对转换DVR、注释、压缩分析、高级文件信息等的改进
  • Belkasoft:Belkasoft X v.2.9 的新功能
  • Cellebrite:2025年秋季发布:进入数字调查和移动网络安全的新前沿
  • Doug Metz @ Baker Street Forensics:使用CyberPipe 5.2 简化数字证据收集
  • Elcomsoft:iOS Forensic Toolkit 8.80 增强逻辑采集,增加对Apple统一日志的支持
  • F-Response:F-Response 8.7.1.36 现已可用
  • Logisek:ThreatHunting – Windows事件日志威胁狩猎工具包
  • Manabu Niseki:Mihari v8.2.1
  • MISP:MISP 2.5.23 发布,增强基准测试,修复多个错误并更新文档
  • North Loop Consulting:KeyProgrammerParser v4.1
  • OpenCTI:6.8.6
  • Passware:Passware Kit 2025 v4 现已可用
  • Xways:X-Ways用户论坛:X-Ways Forensics 21.2 SR-13 | X-Ways用户论坛:X-Ways Forensics 21.3 SR-12 | X-Ways用户论坛:X-Ways Forensics 21.4 SR-8 | X-Ways用户论坛:X-Ways Forensics 21.5 SR-9 | X-Ways用户论坛:X-Ways Forensics 21.6 Beta 7

以上就是本周的全部内容!如果您认为我遗漏了什么,或者希望我专门报道某些内容,请通过联系页面或社交媒体联系我! 使用代码 PM15 或点击此链接,享受您下一节Hexordia课程15%的折扣 与我一起上课!使用折扣码 thisweekin4n6,在 Cyber5w 的任何课程享受15% off。

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次