2025年第44周数字取证与事件响应技术动态全景

赞助内容

Salesloft-Drift入侵内幕：对SaaS和身份安全的意义 在本环节中，Permiso的CTO将涵盖：

攻击者如何利用被盗的OAuth令牌从GitHub→AWS→Salesforce移动
为何这种"全机器"攻击对SaaS供应链和NHI是一个警醒
在您的环境中检测和遏制类似威胁的实用步骤

观看视频播客由Permiso赞助

一如既往，感谢那些给予支持的人们！

取证分析

Cerbero的Erik Pistelli

内存挑战5：DumpMe
内存挑战6：Injector

Ogmini的Christopher Eng

BelkaCTF 7 – AAR Metamorphosis
BelkaCTF 7 – AAR Radars
家庭实验室 – Windows应答文件(unattend.xml/autounattend.xml)
Windows记事本 – Windows 25H2 – 版本11.2507.26.0
Zeltser挑战 – 第十个月成果

Forensafe

Android日历

Hexordia的Adam Hachem

使用开源取证工具：从代码和Python脚本编译

‘The DFIR Spot’的Justin De Luna

利用QELP进行快速ESXi分析

威胁情报/狩猎

0xMatheuZ

规避Elastic Security：Linux Rootkit检测绕过

360威胁情报中心

APT-C-60(False Hunter)的最新活动分析和技术演进

Active Countermeasures的Faan Rossouw

每日恶意软件 – 通过Google Workspace API进行命令与控制

Akash Patel

追踪横向移动—命名管道、调度程序、服务、注册表和DCOM(事件ID)
追踪横向移动：PowerShell远程处理、WMIC、显式凭据、NTLM中继攻击…
Sublime变得更智能：自动日历事件删除功能现已推出

Any.Run

2025年10月重大网络攻击：通过Google Careers和ClickUp进行钓鱼、Figma滥用、LockBit 5.0和TyKit

ASEC

Trigona威胁行为体最新攻击案例分析
隐藏在GUI中的The Beast勒索软件
使用易受攻击的随机数生成函数的Gunra勒索软件分析(以ELF格式为Linux环境分发)
2025年9月APT组织趋势
伪装成使用Ren’Py开发的游戏的Rhadamanthys恶意软件分发
利用ActiveMQ漏洞安装Sharpire(Kinsing)的案例

澳大利亚网络安全中心

不要从陌生人那里拿BADCANDY – 您的设备如何被植入以及应对措施

Auth0的Maria Vasilevskaya

用于凭据填充和MFA利用预防的日志检测

Bart Blaze

Earth Estries活跃且持续

‘Krebs on Security’的Brian Krebs

Aisuru僵尸网络从DDoS转向住宅代理

CERT-AGID

针对Autostrade per l’Italia的短信钓鱼活动正在进行中
10月25日至31日恶意活动周总结

Chainalysis

从MSMT关于朝鲜网络行动的报告中得出的五个关键要点

Check Point

10月27日 – 威胁情报报告
Hezi Rash：新兴库尔德黑客行动主义组织瞄准全球网站

Cisco Talos的Takahiro Takeda、Jordyn Dunk、James Nutland和Michael Szeliga

通过多个案例揭示Qilin攻击方法

Corelight

没有PoC？没问题：在细节稀少时狩猎F5漏洞利用 | Corelight
宣布Corelight与CrowdStrike的威胁情报 | Corelight

CTF导航

APT追踪第一集：“神秘大象"APT组织攻击战术分析

Cybereason

从脚本到系统：全面了解Tangerine Turkey行动

Cyble

APT-C-60升级SpyGlace活动，针对日本使用进化的恶意软件、高级规避TTP
对关键基础设施的黑客行动主义攻击激增：Cyble报告
武器化军事文件向国防部门提供高级SSH-Tor后门

Cyfirma

每周情报报告 – 2025年10月31日

Darktrace

Darktrace对CVE-2025-59287后期利用活动的分析

Datadog安全实验室的Kennedy Toomey

从最近的npm供应链泄露中吸取的教训

DebugPrivilege

失控的机器

Detect FYI的Sergio Albea

通过KQL查询对内部设备进行威胁狩猎

Disconinja

每周威胁基础设施调查(第43周)

DomainTools调查

防火墙内幕第一部分：转储

Elastic

通过AI驱动的威胁狩猎提升公共部门网络防御 | Elastic博客

Elastic安全实验室

TOR出口节点监控概述

Expel的Aaron Walton

认证OysterLoader：通过代码签名证书追踪Rhysida勒索软件团伙活动

Eye Research

对抗影子AI：用于善意的提示注入
野外WSUS反序列化漏洞利用(CVE-2025-59287)

Flashpoint

数据勒索TTP的演变：从利用代码到利用人

Fortinet

被盗凭据和有效账户滥用仍然是经济动机入侵的组成部分
大规模云滥用

Gen

解密：Midnight勒索软件
VibeScams：AI网站构建器如何塑造互联网
Gen 2025年第三季度威胁报告
朝鲜剧本：Kimsuky的HttpTroy和Lazarus的新BLINDINGCAN变种

Genians

Qilin勒索软件分析

Google云威胁情报的Bhavesh Dhake、Will Silverstone、Matthew Hitchcock和Aaron Fletcher

王国之钥：特权账户监控防御者指南

Group-IB

财富的幻觉：投资骗局平台的工程现实内幕
在传播前检测NPM供应链泄露

GuidePoint安全的Paolo Coba和Lee Kirkpatrick

寻找主密钥：如何在M365中狩猎恶意客户端密钥

Hudson Rock

Logins.zip利用Chromium零日：隐秘的信息窃取程序构建器承诺在12秒内实现99%的凭据窃取
俄罗斯当局捣毁Meduza信息窃取程序开发者：年轻黑客在重大网络犯罪打击中被拘留

Hunt IO

针对亚洲金融和政府组织的多语言ZIP钓鱼活动

Intrinsec

Global Group：勒索软件重塑品牌故事

JPCERT/CC的Keisuke Shikano

SUBAME报告溢出(2025年4月-6月)

ØSecurity的David

关于时间戳篡改的一些知识

MITRE ATT&CK的Amy L. Robertson

ATT&CK v18：检测策略，更多对手洞察

‘Know Your Adversary’的Oleg Skulkin

1. 同名，错误路径
1. Qilin滥用Cyberduck进行外泄
1. 狩猎CVE-2025-59287漏洞利用
1. 狩猎通过可移动介质复制
1. 对手滥用Microsoft Windows资源泄漏诊断工具进行内存转储
1. BRONZE BUTLER滥用云存储服务进行外泄

OSINT团队

威胁狩猎者如何思考：心态、工具和方法论
无文件加载器详解：攻击者如何在内存中运行代码
MonsterV2恶意软件即服务(MaaS)和TA585威胁组织的高级ClickFix活动…

Push Security的Dan Green

Push Security识别的新LinkedIn钓鱼活动

奇安信X实验室

确凿证据发现：RPX中继在PolarEdge核心暴露

SANS互联网风暴中心

Kaitai Struct WebIDE，(10月26日，星期日)
DNS上的字节，(10月27日，星期一)
主题行中带有不可见字符的钓鱼邮件，(10月28日，星期二)
如何在Linux系统上收集仅内存文件系统，(10月29日，星期三)
X-Request-Purpose：识别"研究"和漏洞赏金相关扫描？，(10月30日，星期四)

Securelist的Sojun Ryu和Omar Amin

浪费的加密货币：BlueNoroff的资金和工作幽灵幻影

Seqrite的Sathwik Ram Prakki

Operation SkyCloak：针对俄罗斯和白俄罗斯军队的Tor活动

Silent Push

Silent Push发掘AdaptixC2与俄罗斯犯罪世界的联系，追踪利用开源工具进行恶意负载的威胁行为者

Socket

10个npm仿冒包部署多阶段凭据收割器
安全社区抨击MIT相关报告声称AI驱动80%的勒索软件

Sophos

Phake钓鱼：根本性还是愚蠢？
BRONZE BUTLER利用日本资产管理软件漏洞

Stephan Berger

今天学到了：binfmt_misc

Symantec Enterprise

乌克兰组织仍被俄罗斯攻击 heavily targeted

System Weakness

CSI: Linux – 在Ironshade房间中狩猎持久性 ️‍
检测工程培训：检测浏览器凭据窃取攻击
钓鱼剖析：我们如何从"尼日利亚王子"到现代骗局

THOR Collective Dispatch的Sydney Marrone

Dispatch汇报：2025年10月

Trend Micro

勒索软件聚焦：DragonForce

TrustedSec的Oddvar Moe

Hack-cessibility：当DLL劫遇到Windows助手时

Varonis

认识Atroposia：隐秘功能齐全的RAT
沉默的攻击者：利用VPC端点无痕迹暴露AWS账户的S3存储桶

Cyber Intelligence Insights的Vasilis Orlof

情报投放#4

Vxdb

伪装成免费游戏作弊工具的信息窃取程序

White Knight Labs的Iván Cabrera

逆向易受攻击的Killer驱动程序的方法论

ZScaler的Ben Powell(高级网络内容作家)

理解威胁狩猎生命周期

Palo Alto Networks

微软WSUS远程代码执行(CVE-2025-59287)在野外被积极利用(10月28日更新)
疑似国家资助的威胁行为者在供应链攻击中使用新的Airstalk恶意软件
当AI代理失控时：A2A系统中的代理会话走私攻击

即将举行的活动

Black Hills信息安全

谈论[信息安全]新闻 2025-11-03 #信息安全 #新闻

Brett Shavers

对抗市政府：来自自诉原告的DF/IR经验教训。一项判决，节省两年时间，五十万个理由证明这是值得的。

Cellebrite

Cellebrite + Corellium：数字取证遇见移动安全

网络安全导师播客

从澳大利亚国立大学泄露中吸取的经验教训 w/Suthagar Seevaratnam P2 | CMP S5 E4

Simply Defensive

平衡教育与现实世界网络安全与SOC分析师学生 | Simply Defensive S5 E4

Magnet Forensics

法律解包 E2：超越应用图标：起草反映数据真实存储方式的移动设备授权令
更智能的移动调查：当今取证服务提供商的工具

SANS

SANS Difference Makers Awards 2025

Silent Push

研讨会 – 检测加强集成以实现先发制人的网络防御：SIEM版
网络研讨会 – 解锁域搜索和基于PADNS的先发制人检测的力量 – Silent Push

Sygnia

在泄露中生存：从过去泄露中吸取的经验教训

演示/播客

AhmedS Kasmani

Cobalt Strike加载器内部结构：从加载器到Shellcode执行

Alexis Brignoni

数字取证现在播客 S3 – 1

Google的云安全播客

EP249 数据优先：什么真正使您的SOC"AI就绪”？

Cyber Social Hub

A.I. vs. 人类直觉

InfoSec_Bret

挑战 – 隐藏后门

John Dwyer

恶意软件分析演练 – JavaScript信息窃取程序

Stark 4N6的Kevin Pagano

数据真相播客特辑 – CTF

Magnet Forensics

Mobile Unpacked S3:E10 // 剖析密码：确定设备解锁方法

Monolith Forensics

在Monolith中向案例添加联系人

MSAB

#MSABMonday – XAMN Pro上下文

MyDFIR

SOC警报分类解释：大多数初学者做错了什么

Off By One Security

ReVault! 被您的安全SoC入侵 with Philippe Laulheret
通过静态分析和文档排名扩展基于LLM的漏洞研究

Parsing the Truth: One Byte at a Time

与Larry关于Pam之事的更多内容

Permiso Security

Permiso演示网络研讨会 | 2025年10月30日

13Cubed的Richard Davis

分析Linux内存的简单方法

SANS云安全

2025 SANS CloudSecNext峰会

Security BSides Dublin

Security BSides Dublin 2025

The Cyber Mentor

直播：HTB Sherlocks! | 网络安全 | 蓝队
PowerShell入门：狩猎网络活动

Three Buddy Problem

OpenAI的Dave Aitel谈论Aardvark，使用LLM进行漏洞狩猎的经济学

恶意软件

Arctic Wolf

UNC6384武器化ZDI-CAN-25373漏洞向匈牙利和比利时外交实体部署PlugX

Bobby Rauch

剖析Google Drive钓鱼骗局 – 全面安全还是全面骗局？

eln0ty的Abdallah Elnoty

SpyNote C2模拟器

ReversingLabs

评估用于macOS恶意软件狩猎的YARA规则在Spectra Analyze中
追踪不断演变的基于Discord的RAT家族

Secure Annex的John Tuckner

那是哪个宝可梦？是Monero！
SleepyDuck恶意软件通过Open VSX入侵Cursor

Security Onion

可怕的恶意软件分析！

Shubho57

Latrodectus变种(msi安装程序)分析

The Reverser’s Draft

PEB Walk剖析

ThreatFabric

新Android恶意软件Herodotus模仿人类行为以规避检测

Trend Micro的Jeffrey Francis Bonaobra、Joe Soares和Emmanuel Panopio

通过WhatsApp传播的Active Water Saci活动具有多向量持久性和复杂C&C

Wordfence

100,000个WordPress网站受Anti-Malware Security and Brute-Force Firewall WordPress插件中任意文件读取漏洞影响
恶意WordPress插件在虚假PNG文件中隐藏多层信用卡窃取程序
攻击者积极利用WP Freeio插件中的关键漏洞

YUCA

Malops挑战9：Katz窃取程序解析

杂项

Cellebrite

演员、主持人、艺术家和反人口贩运倡导者Terry Crews将主持Cellebrite C2C用户峰会2026
找到您的调查路径
分享即关怀：转变数字调查工作流程的范式
解锁AI在数字调查中的战略优势
端点检查器：为您的组织提供现代、灵活和用户友好的解决方案

CyberBoo

Microsoft Defender for Endpoint第3部分：警报管理和调查基础
Microsoft Defender for Endpoint第4部分：事件管理和攻击故事分析

DFIR Dominican的Josibel Mendoza

DFIR工作更新 – 2025年10月27日

Forensic Focus

数字取证工作汇总，2025年10月27日
2025年9月Oxygen技术字节
数字取证汇总，2025年10月29日
MSAB白皮书 – 在移动设备中调查RAM
GMDSOFT技术通讯第15卷。分析位置欺骗应用留下的反取证痕迹

HackTheBox

Scattered Spider：构建更好恢复能力的90天恢复计划

Iram Jack

冷系统取证入门

Lykos Defence

白皮书：从混乱到能力

Magnet Forensics

Magnet Witness 1.10中简化的启动和导出
从扣押到判决：用清晰、可采纳的数字证据加强起诉
当实验室永不眠时
用可验证的云安全保护敏感媒体证据
新！Magnet认证准备

‘The Philosophy of DFIR’的Patrick Siewert

推销科学：DF/IR服务的市场营销

Raymond Roethof

Microsoft Defender for Identity推荐操作：GPO可由非特权账户修改

软件更新

Arkime v5.8.2
Arsenal Recon：Arsenal Image Mounter v3.12.331新功能快速浏览
Didier Stevens：更新：dnsresolver.py版本0.0.4
Digital Detective：NetAnalysis® v4.1 – 解密Firefox v144
Digital Sleuth：winfor-salt v2025.12.1
Maxim Suhanov：dfir_ntfs文件系统解析器1.1.20
OpenCTI 6.8.10
Sigmar 2025-11-01
Vound：Intella 3.0.1发布说明
Xways：
- X-Ways Forensics 21.7预览版
- X-Ways Forensics 21.6 SR-1
- X-Ways Forensics 21.5 SR-10
- 查看器组件
YARA v4.5.5

这就是本周的全部内容！如果您认为我遗漏了什么，或者希望我特别报道某些内容，请通过联系页面或社交媒体渠道与我联系！使用折扣码thisweekin4n6在Cyber5w的任何课程中享受15%折扣。使用代码PM15或点击此链接在您的下一个Hexordia课程中享受15%折扣。与我一起上课！