赞助内容：Salesloft-Drift 入侵内幕

在本次会议中，Permiso 的首席技术官将探讨：

• 攻击者如何利用窃取的 OAuth 令牌从 GitHub 转移到 AWS，再进入 Salesforce。
• 为何这种“全自动化”攻击为 SaaS 供应链和非人类身份（NHI）敲响了警钟。
• 在您的环境中检测和遏制类似威胁的实用步骤。 观看视频播客 由 Permiso 赞助

一如既往，感谢那些给予支持的朋友们！

取证分析

• Erik Pistelli at Cerbero
  • 内存挑战 5: DumpMe
  • 内存挑战 6: Injector
• Christopher Eng at Ogmini
  • BelkaCTF 7 – AAR Metamorphosis
  • BelkaCTF 7 – AAR Radars
  • 家庭实验室 – Windows 应答文件 (unattend.xml/autounattend.xml)
  • Windows 记事本 – Windows 25H2 – 版本 11.2507.26.0
  • Zeltser 挑战 – 第十个月成果
• ForensafeAndroid 日历
• Adam Hachem at Hexordia
  • 使用开源取证工具：从代码和 Python 脚本编译
• Justin De Luna at ‘The DFIR Spot’
  • 利用 QELP 进行快速 ESXi 分析

威胁情报/狩猎

• 0xMatheuZ
  • 规避 Elastic Security：Linux Rootkit 检测绕过
• 360 Threat Intelligence Centre
  • APT-C-60 (False Hunter) 近期活动分析及技术演变
• Faan Rossouw at Active Countermeasures
  • 每日恶意软件 – 通过 Google Workspace API 进行命令与控制
• Akash Patel
  • 追踪横向移动 – 命名管道、计划任务、服务、注册表和 DCOM（事件 ID）
  • 追踪横向移动：PowerShell 远程处理、WMIC、显式凭证、NTLM 中继攻击…
• Any.Run
  • 2025年10月主要网络攻击：通过 Google Careers 和 ClickUp 进行钓鱼、Figma 滥用、LockBit 5.0 以及 TyKit
• ASEC
  • Trigona 威胁组织最新攻击案例分析
  • 隐藏在 GUI 中的 Beast 勒索软件
  • 使用脆弱随机数生成函数的 Gunra 勒索软件分析（针对 Linux 环境以 ELF 格式分发）
  • 2025年9月 APT 组织趋势
  • 伪装成使用 Ren‘Py 开发的游戏的 Rhadamanthys 恶意软件分发
  • 利用 ActiveMQ 漏洞安装 Sharpire (Kinsing) 的案例
• Australian Cyber Security Centre
  • 不要接受陌生人的 BADCANDY – 您的设备如何被植入以及应对措施
• Maria Vasilevskaya at Auth0
  • 用于凭证填充和 MFA 利用预防的日志检测
• Bart Blaze
  • Earth Estries 仍然活跃
• Brian Krebs at ‘Krebs on Security’
  • Aisuru 僵尸网络从 DDoS 转向住宅代理
• CERT-AGID
  • 针对 Autostrade per l’Italia 的短信钓鱼正在进行中
  • 10月25日至31日恶意活动周度摘要
• Chainalysis
  • MSMT 关于朝鲜网络行动报告的五点关键启示
• Check Point
  • 10月27日 – 威胁情报报告
  • Hezi Rash：新崛起的库尔德黑客活动组织瞄准全球网站
• Takahiro Takeda, Jordyn Dunk, James Nutland, and Michael Szeliga at Cisco’s Talos
  • 通过多个案例揭示 Qilin 攻击方法
• Corelight
  • 没有 PoC？没问题：在细节模糊时狩猎 F5 漏洞利用 | Corelight
  • 宣布推出与 CrowdStrike 合作的 Corelight 威胁情报 | Corelight
• CTF导航
  • APT追踪第一集：“神秘大象”APT组织攻击战术分析
• Cybereason
  • 从脚本到系统：全面剖析 Tangerine Turkey 行动
• Cyble
  • APT-C-60 升级针对日本的 SpyGlace 活动，使用演化的恶意软件和先进的规避 TTP
  • 针对关键基础设施的黑客活动组织攻击激增：Cyble 报告
  • 武器化的军事文档向国防部门投递高级 SSH-Tor 后门
• Cyfirma
  • 每周情报报告 – 2025年10月31日
• Darktrace
  • Darktrace 对 CVE-2025-59287 漏洞利用后活动的分析
• Kennedy Toomey at Datadog Security Labs
  • 从最近的 npm 供应链攻击事件中吸取教训
• DebugPrivilege
  • 失控的机器
• Sergio Albea at Detect FYI
  • 通过 KQL 查询对内部设备进行威胁狩猎
• Disconinja
  • 每周威胁基础设施调查（第43周）
• DomainTools Investigations
  • 防火墙内部探秘 第一部分：数据转储
• Elastic
  • 通过 AI 驱动的威胁狩猎提升公共部门网络防御 | Elastic 博客
• Elastic Security Labs
  • TOR 出口节点监控概述
• Aaron Walton at Expel
  • 认证的 OysterLoader：通过代码签名证书追踪 Rhysida 勒索软件团伙活动
• Eye Research
  • 对抗影子 AI：用于善意的提示词注入
  • 野外利用的 WSUS 反序列化漏洞 (CVE‑2025‑59287)
• Flashpoint
  • 数据勒索 TTP 的演变：从利用代码到利用人
• Fortinet
  • 被盗凭证和有效账户滥用仍然是经济动机入侵的关键部分
  • 大规模的云服务滥用
• Gen
  • 解密：Midnight 勒索软件
  • VibeScams：AI 建站工具如何塑造互联网
  • Gen 2025年第三季度威胁报告
  • 朝鲜的行动手册：Kimsuky 的 HttpTroy 和 Lazarus 的新 BLINDINGCAN 变种
• Genians
  • Qilin 勒索软件分析
• Bhavesh Dhake, Will Silverstone, Matthew Hitchcock, and Aaron Fletcher at Google Cloud Threat Intelligence
  • 王国的钥匙：特权账户监控防御指南
• Group-IB
  • 财富的幻觉：投资骗局平台工程现实的内部
  • 在 NPM 供应链攻击扩散之前将其检测出来
• Paolo Coba and Lee Kirkpatrick at GuidePoint Security
  • 寻找主密钥：如何在 M365 中狩猎恶意的客户端密钥
• Hudson Rock
  • Logins.zip 利用 Chromium 零日漏洞：隐秘的信息窃取程序构建器承诺在 12 秒内窃取 99% 的凭证
  • 俄罗斯当局捣毁 Meduza 信息窃取程序开发者：年轻黑客在重大网络犯罪打击行动中被拘留
• Hunt IO
  • 针对亚洲金融和政府组织的多语言 ZIP 钓鱼活动
• Intrinsec
  • Global Group：勒索软件改头换面的故事
• Keisuke Shikano at JPCERT/CC
  • TSUBAME 报告溢出 (2025年4月-6月)
• David at ØSecurity
  • 关于时间戳伪造
• Amy L. Robertson at MITRE ATT&CK
  • ATT&CK v18：检测策略，更多对手洞察，
• Oleg Skulkin at ‘Know Your Adversary’
  • 300. 同名，错误路径
  • 301. Qilin 滥用 Cyberduck 进行数据外泄
  • 302. 狩猎 CVE-2025-59287 漏洞利用活动
  • 303. 狩猎通过可移动介质进行的复制
  • 304. 对手滥用 Microsoft Windows 资源泄漏诊断工具转储内存
  • 305. BRONZE BUTLER 滥用云存储服务进行数据外泄
• OSINT Team
  • 威胁狩猎者如何思考：心态、工具和方法论
  • 无文件加载器解析：攻击者如何在内存中运行代码
  • MonsterV2 恶意软件即服务和 TA585 威胁组织的高级 ClickFix 活动…
• Dan Green at Push Security
  • Push Security 识别出新的 LinkedIn 钓鱼活动
• Qi’anxin X Lab
  • 铁证曝光：RPX 中继暴露 PolarEdge 核心
• SANS Internet Storm Center
  • Kaitai Struct WebIDE，(10月26日，周日)
  • DNS 上的字节传输，(10月27日，周一)
  • 主题行中带有不可见字符的钓鱼邮件，(10月28日，周二)
  • 如何在 Linux 系统上收集仅存于内存的文件系统，(10月29日，周三)
  • X-Request-Purpose: 识别“研究”和漏洞赏金相关的扫描？，(10月30日，周四)
• Sojun Ryu and Omar Amin at Securelist
  • 被浪费的加密货币：BlueNoroff 的资金和就业幽灵幻象
• Sathwik Ram Prakki at Seqrite
  • 行动 SkyCloak：针对俄罗斯和白俄罗斯军方的 Tor 活动
• Silent Push
  • Silent Push 发现 AdaptixC2 与俄罗斯犯罪地下世界的联系，追踪利用开源工具投放恶意载荷的威胁行为者
• Socket
  • 10个 npm 域名抢注包部署多阶段凭证窃取程序
  • 安全社区抨击声称 AI 驱动 80% 勒索软件的 MIT 关联报告
• Sophos
  • 假冒钓鱼：基本原则还是愚蠢行为？
  • BRONZE BUTLER 利用日本资产管理软件漏洞
• Stephan Berger
  • 今日新知：binfmt_misc
• Symantec Enterprise
  • 乌克兰组织仍然是俄罗斯攻击的重点目标
• System Weakness
  • CSI: Linux – 在 Ironshade 房间中狩猎持久化机制
  • 检测工程培训：检测浏览器凭证窃取攻击
  • 钓鱼邮件剖析：如何从“尼日利亚王子”演变到现代骗局
• Sydney Marrone at THOR Collective Dispatch
  • Dispatch 简报：2025年10月
• Trend Micro
  • 勒索软件聚焦：DragonForce
• Oddvar Moe at TrustedSec
  • 攻击可达性：当 DLL 劫持遇到 Windows 助手
• Varonis
  • 认识 Atroposia：功能齐全的隐秘 RAT
  • 沉默的攻击者：利用 VPC 端点不留痕迹地暴露 AWS 账户和 S3 存储桶
• Vasilis Orlof at Cyber Intelligence Insights
  • 情报速递 #4
• Vxdb
  • 伪装成免费游戏作弊工具的信息窃取程序
• Iván Cabrera at White Knight Labs
  • 逆向分析有漏洞的 Killer 驱动程序的方法论
• Ben Powell (Sr. Web Content Writer) at ZScaler
  • 理解威胁狩猎生命周期
• Palo Alto Networks
  • 微软 WSUS 远程代码执行漏洞 (CVE-2025-59287) 在野积极利用（10月28日更新）
  • 疑似国家背景威胁行为者在供应链攻击中使用新的 Airstalk 恶意软件
  • 当 AI 智能体失控：A2A 系统中的智能体会话走私攻击

即将举行的活动

• Black Hills Information Security
  • 聊聊 [信息安全] 新闻 2025-11-03 #infosec #新闻
• Brett Shavers
  • 对抗市政厅：来自自我辩护原告的 DF/IR 经验教训。一项判决，节省两年时间，五十万个值得的理由。
• Cellebrite
  • Cellebrite + Corellium：数字取证与移动安全的交汇点
• Cybersecurity mentors podcast
  • 从澳大利亚国立大学泄露事件中吸取的教训 w/Suthagar Seevaratnam P2 | CMP S5 E4
• Simply Defensive
  • 平衡教育与现实世界网络安全：与 SOC 分析师学生一起 | Simply Defensive S5 E4
• Magnet Forensics
  • 法律解读 E2: 超越应用图标：起草反映数据真实存储方式的移动设备搜查令
  • 更智能的移动设备调查：当今取证服务提供商的工具
• SANS
  • SANS 2025 年度杰出贡献者奖
• Silent Push
  • 研讨会 – 检测：为预防性网络防御强化集成：SIEM 篇
  • 网络研讨会 – 解锁域名搜索和基于 PADNS 的预防性检测的力量 – Silent Push
• Sygnia
  • 从泄露事件中幸存：从过去事件中吸取的教训

演示/播客

• AhmedS Kasmani
  • Cobalt Strike 加载器内部原理：从加载器到 Shellcode 执行
• Alexis Brignoni
  • Digital Forensics Now 播客 S3 – 1
• Cloud Security Podcast by Google
  • EP249 数据优先：什么真正让您的 SOC 准备好迎接 AI？
• Cyber Social Hub
  • 人工智能 vs. 人类直觉
• InfoSec_Bret
  • 挑战 – 隐藏的后门
• John Dwyer
  • 恶意软件分析演练 – JavaScript 信息窃取程序
• Kevin Pagano at Stark 4N6
  • Truth in Data 播客特辑 – CTFs
• Magnet Forensics
  • Mobile Unpacked S3:E10 // 剖析密码：确定设备解锁方法
• Monolith Forensics
  • 在 Monolith 中为案件添加联系人
• MSAB
  • #MSABMonday – XAMN Pro 上下文
• MyDFIR
  • SOC 告警分类解释：大多数初学者错在哪里
• Off By One Security
  • ReVault！被您的安全 SoC 入侵 w/ Philippe Laulheret
  • 通过静态分析和文档排序扩展基于 LLM 的漏洞研究
• Parsing the Truth: One Byte at a Time
  • More with Larry on the Thing About Pam
• Permiso Security
  • Permiso 演示网络研讨会 | 2025年10月30日
• Richard Davis at 13Cubed
  • Linux 内存分析的简易方法
• SANS Cloud Security
  • 2025 SANS CloudSecNext 峰会
• Security BSides Dublin
  • Security BSides Dublin 2025
• The Cyber Mentor
  • 直播： HTB Sherlocks！ | 网络安全 | 蓝队
  • PowerShell 入门：狩猎网络活动。
• Three Buddy Problem
  • OpenAI 的 Dave Aitel 谈论 Aardvark，以及利用 LLM 进行漏洞挖掘的经济学

恶意软件

• Arctic Wolf
  • UNC6384 武器化 ZDI-CAN-25373 漏洞对匈牙利和比利时外交实体部署 PlugX
• Bobby Rauch
  • 剖析 Google Drive 钓鱼骗局 – 全面安全还是全面骗局？
• Abdallah Elnoty at eln0ty
  • SpyNote C2 模拟器
• ReversingLabs
  • 在 Spectra Analyze 中评估用于 macOS 恶意软件狩猎的 YARA 规则
  • 追踪一个不断演变的基于 Discord 的 RAT 家族
• John Tuckner at Secure Annex
  • 那是什么宝可梦？是门罗币！
  • SleepyDuck 恶意软件通过 Open VSX 入侵 Cursor
• Security Onion
  • 令人毛骨悚然的恶意软件分析！
• Shubho57
  • Latrodectus 变种分析（msi 安装程序）
• The Reverser’s Draft
  • PEB Walk 解剖
• ThreatFabric
  • 新的 Android 恶意软件 Herodotus 模仿人类行为以规避检测
• Jeffrey Francis Bonaobra, Joe Soares, and Emmanuel Panopio at Trend Micro
  • 活跃的 Water Saci 活动通过 WhatsApp 传播，具有多向量持久性和复杂的 C&C
• Wordfence
  • 100,000 个 WordPress 网站受 Anti-Malware Security and Brute-Force Firewall WordPress 插件中的任意文件读取漏洞影响
  • 流氓 WordPress 插件在虚假 PNG 文件中隐藏多层信用卡窃取程序
  • 攻击者积极利用 WP Freeio 插件中的关键漏洞

其他

• Cellebrite
  • 演员、主持人、艺术家和反人口贩卖倡导者 Terry Crews 将出席 Cellebrite C2C 用户峰会 2026
  • 寻找您的调查路径
  • 分享即关怀：转变数字调查工作流程的模式
  • 解锁 AI 在数字调查中的战略优势
  • Endpoint Inspector：为您的组织提供的现代化、灵活且用户友好的解决方案
• CyberBoo
  • Microsoft Defender for Endpoint 第 3 部分：告警管理与调查基础
  • Microsoft Defender for Endpoint 第 4 部分：事件管理与攻击故事分析
• Josibel Mendoza at DFIR Dominican
  • DFIR 职位更新 – 10/27/25
• Forensic Focus
  • 数字取证职位汇总，2025年10月27日
  • Oxygen Tech Bytes 2025年9月
  • 数字取证汇总，2025年10月29日
  • MSAB 白皮书 – 调查移动设备中的 RAM
  • GMDSOFT 技术通讯 Vol 15. 分析位置欺骗应用留下的反取证痕迹
• HackTheBox
  • Scattered Spider：一个建立更好韧性的 90 天恢复计划
• Iram Jack
  • 冷系统取证入门
• Lykos Defence
  • 白皮书：从混乱到能力
• Magnet Forensics
  • Magnet Witness 1.10 中简化的启动和导出
  • 从查封到判决：用清晰、可采纳的数字证据加强起诉
  • 当实验室永不休眠
  • 用您可以验证的云安全保护敏感媒体证据
  • 新！Magnet 认证准备
• Patrick Siewert at ‘The Philosophy of DFIR’
  • 推销科学：DF/IR 服务的市场营销
• Raymond Roethof
  • Microsoft Defender for Identity 建议操作：非特权账户可修改 GPO

软件更新

• Arkime v5.8.2
• Arsenal Recon
  • Arsenal Image Mounter v3.12.331 新功能快速导览
• Didier Stevens
  • 更新：dnsresolver.py 版本 0.0.4
• Digital Detective
  • NetAnalysis® v4.1 – 解密 Firefox v144
• Digital Sleuth
  • winfor-salt v2025.12.1
• Maxim Suhanov
  • dfir_ntfs 文件系统解析器 1.1.20
• OpenCTI 6.8.10
• Sigmar 2025-11-01
• Vound
  • Intella 3.0.1 发行说明
• Xways
  • X-Ways Forensics 21.7 预览版
  • X-Ways Forensics 21.6 SR-1
  • X-Ways Forensics 21.5 SR-10
  • 查看器组件
• YARA v4.5.5

这就是本周的全部内容！如果您认为我遗漏了什么，或者希望我特别报道某些内容，请通过联系页面或社交媒体联系我！ 使用代码 PM15 或点击此链接，在您下一次的 Hexordia 课程中享受 15% 折扣。 和我一起上课！在 Cyber5w 的任何课程中使用折扣码 thisweekin4n6 享受 15% 折扣。