2025年第44周数字取证与事件响应动态:恶意软件、漏洞利用与威胁狩猎

本文是2025年第44周的数字取证与事件响应(DFIR)新闻摘要,汇总了恶意软件分析、漏洞利用活动、威胁狩猎技术、软件更新以及行业会议等关键动态,为安全从业者提供全面的技术情报参考。

赞助内容

Salesloft-Drift入侵事件解析:对SaaS与身份安全的意义 在本期内容中,Permiso的首席技术官将涵盖:

  • 攻击者如何利用被盗的OAuth令牌,从GitHub转移到AWS,再到Salesforce。
  • 为何这次“全机器”攻击为SaaS供应链和NHI敲响了警钟。
  • 在您环境中检测和遏制类似威胁的实用步骤。 观看视频播客 由Permiso赞助

一如既往,感谢那些给予支持并回馈社区的朋友们!

取证分析

  • Erik Pistelli @ Cerbero
    • 内存挑战 5:DumpMe
    • 内存挑战 6:Injector
  • Christopher Eng @ Ogmini
    • BelkaCTF 7 – AAR 变形记
    • BelkaCTF 7 – AAR 雷达
    • 家庭实验室 – Windows 应答文件(unattend.xml/autounattend.xml)
    • Windows 记事本 – Windows 25H2 – 版本 11.2507.26.0
    • Zeltser 挑战 – 第十个月成就
  • ForensafeAndroid 日历
  • Adam Hachem @ Hexordia:使用开源取证工具:从代码和Python脚本编译
  • Justin De Luna @ ‘The DFIR Spot’:利用QELP进行快速的ESXi分析

威胁情报/狩猎

  • 0xMatheuZ:规避弹性安全:Linux Rootkit检测绕过
  • 360威胁情报中心:APT-C-60(False Hunter)近期活动分析及技术演变
  • Faan Rossouw @ Active Countermeasures:每日恶意软件 – 通过Google Workspace API进行命令与控制
  • Akash Patel
    • 追踪横向移动 — 命名管道、计划任务、服务、注册表和DCOM(事件ID)
    • 追踪横向移动:PowerShell远程处理、WMIC、显式凭据、NTLM中继攻击…
  • Sublime:Sublime变得更智能了:自动日历事件删除功能现已推出
  • Any.Run:2025年10月重大网络攻击:通过Google Careers和ClickUp的钓鱼攻击、Figma滥用、LockBit 5.0和TyKit
  • ASEC
    • Trigona威胁行为者最新攻击案例分析
    • 隐藏在GUI中的The Beast勒索软件
    • 使用脆弱随机数生成函数的Gunra勒索软件分析(为Linux环境以ELF格式分发)
    • 2025年9月APT组织趋势
    • 伪装成使用Ren‘Py开发的游戏的Rhadamanthys恶意软件分发
    • 利用ActiveMQ漏洞安装Sharpire(Kinsing)的案例
  • 澳大利亚网络安全中心:不要拿陌生人的BADCANDY – 您的设备可能如何被植入及应对措施
  • Maria Vasilevskaya @ Auth0:凭证填充和多因素认证(MFA)漏洞利用防御的日志检测
  • Bart Blaze:Earth Estries活跃依旧
  • Brian Krebs @ ‘Krebs on Security’:Aisuru僵尸网络从DDoS转向住宅代理
  • CERT-AGID
    • 针对Autostrade per l’Italia的短信钓鱼活动正在进行中
    • 10月25日至31日恶意活动摘要
  • Chainalysis:从MSMT关于朝鲜网络行动的报告中得出的五个关键要点
  • Check Point
    • 10月27日威胁情报报告
    • Hezi Rash:新兴库尔德黑客行动主义团体攻击全球网站
  • Takahiro Takeda, Jordyn Dunk, James Nutland, 和 Michael Szeliga @ Cisco Talos:通过多个案例揭示的Qilin攻击方法
  • Corelight
    • 没有PoC?没问题:在细节匮乏时搜寻F5漏洞利用 | Corelight
    • 宣布与CrowdStrike合作的Corelight威胁情报 | Corelight
  • CTF导航:APT追踪第一集:“神秘大象”APT组织攻击战术分析
  • Cybereason:从脚本到系统:全面审视Tangerine Turkey行动
  • Cyble
    • APT-C-60升级针对日本的SpyGlace活动,使用进化的恶意软件和高级规避TTP
    • 针对关键基础设施的黑客行动主义攻击激增:Cyble报告
    • 武器化的军事文档向国防部门投递高级SSH-Tor后门
  • Cyfirma:每周情报报告 – 2025年10月31日
  • Darktrace:Darktrace对CVE-2025-59287后利用活动的分析
  • Kennedy Toomey @ Datadog Security Labs:从最近的npm供应链入侵事件中吸取的教训
  • DebugPrivilege:失控的机器
  • Sergio Albea @ Detect FYI:通过KQL查询对内部设备进行威胁狩猎
  • Disconinja:每周威胁基础设施调查(第43周)
  • DomainTools调查:防火墙之内第一部分:转储数据
  • Elastic:利用AI驱动的威胁狩猎提升公共部门网络防御 | Elastic博客
  • Elastic安全实验室:TOR出口节点监控概述
  • Aaron Walton @ Expel:经过认证的OysterLoader:通过代码签名证书追踪Rhydsa勒索软件团伙活动
  • Eye Research
    • 对抗影子AI:为善的提示注入
    • 野外利用的WSUS反序列化漏洞(CVE‑2025‑59287)
  • Flashpoint:数据勒索TTP的演变:从利用代码到利用人
  • Fortinet
    • 被盗凭据和合法账户滥用仍然是经济动机入侵不可或缺的部分
    • 大规模云滥用
  • Gen
    • 解密:Midnight勒索软件
    • VibeScams:AI网站构建器如何塑造互联网
    • Gen 2025年第三季度威胁报告
    • 朝鲜的行动手册:Kimsuky的HttpTroy和Lazarus的新BLINDINGCAN变种
  • Genians:Qilin勒索软件分析
  • Bhavesh Dhake, Will Silverstone, Matthew Hitchcock, 和 Aaron Fletcher @ Google Cloud Threat Intelligence:王国钥匙:特权账户监控防御者指南
  • Group-IB
    • 财富的幻觉:投资诈骗平台的工程化现实内幕
    • 在扩散前检测NPM供应链入侵
  • Paolo Coba 和 Lee Kirkpatrick @ GuidePoint Security:寻找主密钥:如何狩猎M365中的恶意客户端密钥
  • Hudson Rock
    • Logins.zip利用Chromium零日漏洞:隐蔽的信息窃取程序构建器承诺在12秒内窃取99%的凭证
    • 俄罗斯当局捣毁Meduza信息窃取程序开发者:年轻黑客在一次重大网络犯罪打击中被拘留
  • Hunt IO:针对亚洲金融和政府组织的多语言ZIP钓鱼活动
  • Intrinsec:Global Group:勒索软件改名故事
  • Keisuke Shikano @ JPCERT/CC:TSUBAME报告溢出(2025年4月至6月)
  • David @ ØSecurity:关于时间篡改的一点说明
  • Amy L. Robertson @ MITRE ATT&CK:ATT&CK v18:检测策略、更多对手洞察
  • Oleg Skulkin @ ‘Know Your Adversary’
      1. 同名,错误路径
      1. Qilin滥用Cyberduck进行数据外泄
      1. 搜寻CVE-2025-59287漏洞利用
      1. 搜寻通过可移动介质进行的复制
      1. 对手滥用Microsoft Windows资源泄漏诊断工具来转储内存
      1. BRONZE BUTLER滥用云存储服务进行数据外泄
  • OSINT团队
    • 威胁猎手如何思考:心态、工具和方法论
    • 无文件加载器详解:攻击者如何在内存中运行代码
    • MonsterV2恶意软件即服务(MaaS)和TA585威胁组织的高级ClickFix活动…
  • Dan Green @ Push Security:Push Security识别出新的LinkedIn钓鱼活动
  • 奇安信X实验室:铁证曝光:RPX中继位于PolarEdge核心
  • SANS互联网风暴中心
    • Kaitai Struct WebIDE,(10月26日,周日)
    • DNS上的字节传输,(10月27日,周一)
    • 主题行包含不可见字符的钓鱼邮件,(10月28日,周二)
    • 如何在Linux系统上收集仅存在于内存中的文件系统,(10月29日,周三)
    • X-Request-Purpose:识别“研究”和漏洞赏金相关的扫描?,(10月30日,周四)
  • Sojun Ryu 和 Omar Amin @ Securelist:浪费的加密货币:BlueNoroff的资金和工作幻影
  • Sathwik Ram Prakki @ Seqrite:Operation SkyCloak:针对俄罗斯和白俄罗斯军队的Tor活动
  • Silent Push:Silent Push发现AdaptixC2与俄罗斯犯罪世界的联系,追踪利用开源工具投递恶意载荷的威胁行为者
  • Socket
    • 10个npm域名抢注包部署多阶段凭证窃取器
    • 安全社区抨击麻省理工学院关联报告声称AI驱动了80%的勒索软件
  • Sophos
    • 假冒钓鱼:基础还是愚蠢?
    • BRONZE BUTLER利用日本资产管理软件漏洞
  • Stephan Berger:今日所学:binfmt_misc
  • Symantec企业版:乌克兰组织仍是俄罗斯攻击的主要目标
  • System Weakness
    • CSI:Linux — 在Ironshade Room中搜寻持久化机制 ️‍
    • 检测工程培训:检测浏览器凭证窃取攻击
    • 钓鱼邮件剖析:从“尼日利亚王子”到现代骗局的演变
  • Sydney Marrone @ THOR Collective Dispatch:Dispatch汇报:2025年10月
  • Trend Micro:勒索软件聚焦:DragonForce
  • Oddvar Moe @ TrustedSec:黑客无障碍化:当DLL劫持遇到Windows辅助工具
  • Varonis
    • 认识Atroposia:功能丰富的隐形远程访问木马(RAT)
    • 静默攻击者:利用VPC端点暴露AWS账户的S3存储桶,不留痕迹
  • Vasilis Orlof @ Cyber Intelligence Insights:情报更新 #4
  • Vxdb:伪装成免费游戏作弊工具的信息窃取程序
  • Iván Cabrera @ White Knight Labs:逆向分析存在漏洞的Killer驱动程序的方法论
  • Ben Powell(高级网络内容撰写员)@ ZScaler:理解威胁狩猎生命周期
  • Palo Alto Networks
    • Microsoft WSUS远程代码执行漏洞(CVE-2025-59287)在野外被积极利用(10月28日更新)
    • 疑似国家资助的威胁行为者在供应链攻击中使用新的Airstalk恶意软件
    • 当AI代理失控:A2A系统中的代理会话走私攻击

即将举行的活动

  • Black Hills Information Security:谈论[信息安全]新闻 2025-11-03 #infosec #news
  • Brett Shavers:对抗市政府:来自一位自诉原告的DF/IR教训。一场判决,节省了两年时间,五十万个值得的理由。
  • Cellebrite:Cellebrite + Corellium:数字取证遇见移动安全
  • 网络安全导师播客:澳大利亚国立大学数据泄露事件的经验教训 w/Suthagar Seevaratnam P2 | CMP S5 E4
  • Simply Defensive:平衡教育与实践网络安全:与一位SOC分析师学生一起 | Simply Defensive S5 E4
  • Magnet Forensics
    • 法律拆解 E2:超越应用图标:起草反映数据真实存储方式的移动设备搜查令
    • 更智能的移动设备调查:面向当今取证服务提供商的工具
  • SANS:SANS杰出贡献者奖 2025
  • Silent Push
    • 研讨会 – 检测:加强集成以实现先发制人的网络防御:SIEM版
    • 网络研讨会 – 解锁域名搜索和基于PADNS的先发制人检测能力 – Silent Push
  • Sygnia:在数据泄露中生存:从过往事件中吸取的教训

演示/播客

  • AhmedS Kasmani:Cobalt Strike加载器内部原理:从加载器到Shellcode执行
  • Alexis Brignoni:数字取证现在播客 S3 – 1
  • Google云安全播客:EP249 数据优先:什么真正让您的SOC“AI就绪”?
  • Cyber Social Hub:A.I. 与人类直觉
  • InfoSec_Bret:挑战 – 隐藏的后门
  • John Dwyer:恶意软件分析演练 – JavaScript信息窃取程序
  • Kevin Pagano @ Stark 4N6:数据中的真相播客特辑 – CTF
  • Magnet Forensics:Mobile Unpacked S3:E10 // 剖析密码:确定设备解锁方法
  • Monolith Forensics:在Monolith中向案件添加联系人
  • MSAB:#MSABMonday – XAMN Pro 上下文
  • MyDFIR:SOC告警分类解释:大多数初学者容易犯的错误
  • Off By One Security
    • ReVault!被您的安全SoC入侵(与Philippe Laulheret对话)
    • 通过静态分析和文档排序扩展基于LLM的漏洞研究
  • Parsing the Truth: One Byte at a Time:与Larry进一步探讨关于Pam的事情
  • Permiso Security:Permiso演示网络研讨会 | 2025年10月30日
  • Richard Davis @ 13Cubed:分析Linux内存的简易方法
  • SANS云安全:2025 SANS CloudSecNext峰会
  • Security BSides Dublin:Security BSides Dublin 2025
  • The Cyber Mentor
    • 直播:HTB Sherlocks!| 网络安全 | 蓝队
    • PowerShell入门:狩猎网络活动
  • Three Buddy Problem:OpenAI的Dave Aitel谈论Aardvark,以及使用LLM进行漏洞狩猎的经济学

恶意软件

  • Arctic Wolf:UNC6384利用ZDI-CAN-25373漏洞向匈牙利和比利时外交实体部署PlugX
  • Bobby Rauch:剖析Google Drive钓鱼骗局 – 完全安全还是完全骗局?
  • Abdallah Elnoty @ eln0ty:SpyNote C2模拟器
  • ReversingLabs
    • 评估用于在Spectra Analyze中狩猎macOS恶意软件的YARA规则
    • 追踪一个不断演变的基于Discord的RAT家族
  • John Tuckner @ Secure Annex:那是哪个宝可梦?是Monero!
  • John Tuckner @ Secure Annex:SleepyDuck恶意软件通过Open VSX入侵Cursor
  • Security Onion:诡异的恶意软件分析!
  • Shubho57:Latrodectus变种(msi安装程序)分析
  • The Reverser’s Draft:PEB遍历剖析
  • ThreatFabric:新型安卓恶意软件Herodotus模仿人类行为以规避检测
  • Jeffrey Francis Bonaobra, Joe Soares, 和 Emmanuel Panopio @ Trend Micro:通过WhatsApp传播的Active Water Saci活动具有多向量持久性和复杂的C&C
  • Wordfence
    • 100,000个WordPress网站受Anti-Malware Security and Brute-Force Firewall插件任意文件读取漏洞影响
    • 恶意WordPress插件在伪造的PNG文件中隐藏多层信用卡盗刷器
    • 攻击者积极利用WP Freeio插件中的严重漏洞
  • YUCA:恶意软件操作挑战 9:Katz窃取程序分析报告

杂项

  • Cellebrite
    • 演员、主持人、艺术家及反人口贩运倡导者Terry Crews将主持2026年Cellebrite C2C用户峰会
    • 找到您的调查路径
    • 分享即是关怀:转变数字调查工作流的范式
    • 解锁AI在数字调查中的战略优势
    • Endpoint Inspector:为您的组织提供的现代化、灵活且用户友好的解决方案
  • CyberBoo
    • Microsoft Defender for Endpoint 第三部分:告警管理与调查基础
    • Microsoft Defender for Endpoint 第四部分:事件管理与攻击过程分析
  • Josibel Mendoza @ DFIR Dominican:DFIR职位更新 – 2025年10月27日
  • Forensic Focus
    • 数字取证职位汇总,2025年10月27日
    • 2025年9月Oxygen Tech Bytes
    • 数字取证汇总,2025年10月29日
    • MSAB白皮书 – 调查移动设备中的RAM
    • GMDSOFT技术通讯 第15卷:分析位置伪造应用留下的反取证痕迹
  • HackTheBox:Scattered Spider:为期90天的恢复计划,以构建更好的韧性
  • Iram Jack:冷系统取证入门
  • Lykos Defence:白皮书:从混乱到能力
  • Magnet Forensics
    • Magnet Witness 1.10版本中简化的启动和导出
    • 从扣押到判决:用清晰、可采纳的数字证据加强起诉
    • 当实验室永不眠
    • 用您可以验证的云安全保护敏感媒体证据
    • 新!Magnet认证准备
  • Patrick Siewert @ ‘The Philosophy of DFIR’:推销科学:DF/IR服务的市场营销
  • Raymond Roethof:Microsoft Defender for Identity 建议操作:非特权账户可能修改GPO

软件更新

  • Arkime:v5.8.2
  • Arsenal Recon:Arsenal Image Mounter v3.12.331新功能快速导览
  • Didier Stevens:更新:dnsresolver.py 版本 0.0.4
  • Digital Detective:NetAnalysis® v4.1 – 解密Firefox v144
  • Digital Sleuth:winfor-salt v2025.12.1
  • Maxim Suhanov:dfir_ntfs 文件系统解析器 1.1.20
  • OpenCTI:6.8.10
  • Sigmar:2025-11-01
  • Vound:Intella 3.0.1 发行说明
  • Xways
    • X-Ways Forensics 21.7 预览版
    • X-Ways Forensics 21.6 SR-1
    • X-Ways Forensics 21.5 SR-10
    • Viewer组件

YARA

  • YARA:v4.5.5

这就是本周的全部内容!如果您认为我遗漏了什么,或者希望我特别报道某些内容,请通过联系页面或社交媒体与我联系! 使用代码 PM15 或点击此链接享受您的下一个Hexordia课程15%折扣。 与我一起上课! 使用折扣码 thisweekin4n6 享受Cyber5w任何课程15%折扣。

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次