2025年第44周数字取证与事件响应技术动态汇总

赞助内容

Salesloft-Drift入侵内幕：对SaaS和身份安全的意义 在本环节中，Permiso的首席技术官将涵盖：

攻击者如何利用被盗的OAuth令牌从GitHub移动到AWS再到SalesForce。
为何这种"全机器"攻击为SaaS供应链和NHIs敲响了警钟。
在您的环境中检测和遏制类似威胁的实用步骤。观看视频播客由Permiso赞助

一如既往，感谢那些给予支持的回馈者！

取证分析

Erik Pistelli at Cerbero

内存挑战5：DumpMe
内存挑战6：Injector

Christopher Eng at Ogmini

BelkaCTF 7 – AAR Metamorphosis
BelkaCTF 7 – AAR Radars
家庭实验室 – Windows应答文件（unattend.xml/autounattend.xml）
Windows记事本 – Windows 25H2 – 版本11.2507.26.0
Zeltser挑战 – 第十个月成果

Forensafe

Android日历

Adam Hachem at Hexordia

使用开源取证工具：从代码和Python脚本编译

Justin De Luna at ‘The DFIR Spot’

利用QELP进行快速ESXi分析

威胁情报/狩猎

0xMatheuZ

规避Elastic Security：Linux Rootkit检测绕过

360威胁情报中心

APT-C-60（False Hunter）的最新活动分析和技术演进

Faan Rossouw at Active Countermeasures

每日恶意软件 – 通过Google Workspace API进行命令和控制

Akash Patel

跟踪横向移动 – 命名管道、调度程序、服务、注册表和DCOM（事件ID）
跟踪横向移动：PowerShell远程处理、WMIC、显式凭据、NTLM中继攻击…
Sublime变得更智能：自动日历事件删除功能现已推出

Any.Run

2025年10月重大网络攻击：通过Google Careers和ClickUp进行钓鱼、Figma滥用、LockBit 5.0和TyKit

ASEC

Trigona威胁行为者最新攻击案例分析
隐藏在GUI中的The Beast勒索软件
使用易受攻击的随机数生成函数分析的Gunra勒索软件（以ELF格式分发给Linux环境）
2025年9月APT组织趋势
伪装成使用Ren’Py开发的游戏的Rhadamanthys恶意软件分发
利用ActiveMQ漏洞安装Sharpire（Kinsing）的案例

澳大利亚网络安全中心

不要从陌生人那里拿BADCANDY – 您的设备如何被植入以及应对措施

Maria Vasilevskaya at Auth0

凭据填充和MFA漏洞预防的日志检测

Bart Blaze

Earth Estries活跃且持续

Brian Krebs at ‘Krebs on Security’

Aisuru僵尸网络从DDoS转向住宅代理

CERT-AGID

针对Autostrade per l’Italia的短信钓鱼活动正在进行中
10月25日至31日恶意活动周总结

Chainalysis

从MSMT关于朝鲜网络行动的报告中得出的五个关键要点

Check Point

10月27日 – 威胁情报报告
Hezi Rash：新兴库尔德黑客行动组织瞄准全球网站

Takahiro Takeda, Jordyn Dunk, James Nutland, and Michael Szeliga at Cisco’s Talos

通过多个案例揭示Qilin攻击方法

Corelight

没有PoC？没问题：在细节稀疏时狩猎F5漏洞利用 | Corelight
宣布Corelight与CrowdStrike的威胁情报 | Corelight

CTF导航

APT追踪第一集：“神秘大象"APT组织攻击战术分析

Cybereason

从脚本到系统：全面审视Tangerine Turkey行动

Cyble

APT-C-60升级针对日本的SpyGlace活动，采用演进的恶意软件和高级规避TTP
针对关键基础设施的黑客行动主义攻击激增：Cyble报告
武器化军事文件向国防部门提供高级SSH-Tor后门

Cyfirma

每周情报报告 – 2025年10月31日

Darktrace

Darktrace对CVE-2025-59287后期利用活动的分析

Kennedy Toomey at Datadog Security Labs

从最近的npm供应链泄露中吸取的教训

DebugPrivilege

失控的机器

Sergio Albea at Detect FYI

通过KQL查询对内部设备进行威胁狩猎

Disconinja

每周威胁基础设施调查（第43周）

DomainTools Investigations

防火墙内部第一部分：转储

Elastic

通过AI驱动的威胁狩猎提升公共部门网络防御 | Elastic博客

Elastic Security Labs

TOR出口节点监控概述

Aaron Walton at Expel

认证OysterLoader：通过代码签名证书跟踪Rhysida勒索软件团伙活动

Eye Research

对抗影子AI：为了好的目的进行提示注入
野外的WSUS反序列化漏洞利用（CVE-2025-59287）

Flashpoint

数据勒索TTP的演变：从利用代码到利用人

Fortinet

被盗凭据和有效账户滥用仍然是经济动机入侵的重要组成部分
大规模云滥用

Gen

解密：Midnight勒索软件
VibeScams：AI网站构建器如何塑造互联网
Gen 2025年第三季度威胁报告
朝鲜的行动手册：Kimsuky的HttpTroy和Lazarus的新BLINDINGCAN变种

Genians

Qilin勒索软件分析

Bhavesh Dhake, Will Silverstone, Matthew Hitchcock, and Aaron Fletcher at Google Cloud Threat Intelligence

王国之钥：特权账户监控防御者指南

Group-IB

财富的幻觉：投资骗局平台的工程现实内幕
在传播前检测NPM供应链泄露

Paolo Coba and Lee Kirkpatrick at GuidePoint Security

寻找主密钥：如何在M365中狩猎恶意客户端密钥

Hudson Rock

Logins.zip利用Chromium零日：隐秘的信息窃取程序构建器承诺在12秒内实现99%的凭据窃取
俄罗斯当局捣毁Meduza信息窃取程序开发者：年轻黑客在重大网络犯罪打击行动中被拘留

Hunt IO

针对亚洲金融和政府组织的多语言ZIP钓鱼活动

Intrinsec

Global Group：勒索软件重塑品牌故事

Keisuke Shikano at JPCERT/CC

SUBAME报告溢出（2025年4月-6月）

David at ØSecurity

关于时间戳篡改的一些知识

Amy L. Robertson at MITRE ATT&CK

ATT&CK v18：检测策略，更多对手洞察，

Oleg Skulkin at ‘Know Your Adversary’

1. 同名，错误路径
1. Qilin滥用Cyberduck进行外泄
1. 狩猎CVE-2025-59287漏洞利用
1. 狩猎通过可移动介质复制
1. 对手滥用Microsoft Windows资源泄漏诊断工具进行内存转储
1. BRONZE BUTLER滥用云存储服务进行外泄

OSINT Team

威胁猎人如何思考：心态、工具和方法论
无文件加载器解释：攻击者如何在内存中运行代码
MonsterV2恶意软件即服务（MaaS）和TA585威胁组织的高级ClickFix活动…

Dan Green at Push Security

Push Security识别的新LinkedIn钓鱼活动

Qi’anxin X Lab

确凿证据发现：RPX中继在PolarEdge核心暴露

SANS互联网风暴中心

Kaitai Struct WebIDE，（10月26日，星期日）
DNS上的字节，（10月27日，星期一）
主题行中带有不可见字符的钓鱼邮件，（10月28日，星期二）
如何在Linux系统上收集仅内存文件系统，（10月29日，星期三）
X-Request-Purpose：识别"研究"和漏洞赏金相关扫描？，（10月30日，星期四）

Sojun Ryu and Omar Amin at Securelist

浪费的加密货币：BlueNoroff的资金和工作幽灵幻影

Sathwik Ram Prakki at Seqrite

Operation SkyCloak：针对俄罗斯和白俄罗斯军队的Tor活动

Silent Push

Silent Push发现AdaptixC2与俄罗斯犯罪世界的联系，追踪利用开源工具进行恶意负载的威胁行为者

Socket

10个npm仿冒包部署多阶段凭据收集器
安全社区抨击麻省理工学院关联报告声称AI驱动80%的勒索软件

Sophos

Phake钓鱼：基础还是愚蠢？
BRONZE BUTLER利用日本资产管理软件漏洞

Stephan Berger

今天学到了：binfmt_misc

Symantec Enterprise

乌克兰组织仍然是俄罗斯攻击的重灾区

System Weakness

CSI: Linux – 在Ironshade房间中狩猎持久性 ️‍
检测工程培训：检测浏览器凭据盗窃攻击
钓鱼剖析：我们如何从"尼日利亚王子"到现代骗局

Sydney Marrone at THOR Collective Dispatch

Dispatch汇报：2025年10月

Trend Micro

勒索软件聚焦：DragonForce

Oddvar Moe at TrustedSec

Hack-cessibility：当DLL劫持遇到Windows助手

Varonis

认识Atroposia：隐秘功能丰富的RAT
沉默的攻击者：利用VPC端点暴露AWS账户的S3存储桶而不留痕迹

Vasilis Orlof at Cyber Intelligence Insights

情报发布 #4

Vxdb

伪装成免费视频游戏作弊工具的信息窃取程序

Iván Cabrera at White Knight Labs

逆向易受攻击的Killer驱动程序的方法论

Ben Powell (高级网络内容撰稿人) at ZScaler

理解威胁狩猎生命周期

Palo Alto Networks

Microsoft WSUS远程代码执行（CVE-2025-59287）在野外被积极利用（10月28日更新）
疑似国家资助的威胁行为者在供应链攻击中使用新的Airstalk恶意软件
当AI代理失控：A2A系统中的代理会话走私攻击

即将举行的活动

Black Hills Information Security

谈论[信息安全]新闻 2025-11-03 #信息安全 #新闻

Brett Shavers

对抗市政厅：来自自诉原告的DF/IR经验教训。一项判决，节省两年时间，五十万个理由证明这是值得的。

Cellebrite

Cellebrite + Corellium：数字取证遇见移动安全

网络安全导师播客

从澳大利亚国立大学泄露中吸取的经验教训 w/Suthagar Seevaratnam P2 | CMP S5 E4

Simply Defensive

平衡教育和现实世界网络安全与SOC分析师学生 | Simply Defensive S5 E4

Magnet Forensics

法律解读 E2：超越应用图标：起草反映数据真实存储方式的移动设备搜查令
更智能的移动调查：当今取证服务提供商的工具

SANS

SANS Difference Makers Awards 2025

Silent Push

研讨会 – 检测加强集成以进行先发制人的网络防御：SIEM版
网络研讨会 – 解锁域搜索和基于PADNS的先发制人检测的力量 – Silent Push

Sygnia

在泄露中生存：从过去泄露中吸取的经验教训

演示/播客

AhmedS Kasmani

Cobalt Strike加载器内部：从加载器到Shellcode执行

Alexis Brignoni

数字取证现在播客 S3 – 1

Google的云安全播客

EP249 数据优先：什么真正使您的SOC"AI就绪”？

Cyber Social Hub

AI vs. 人类直觉

InfoSec_Bret

挑战 – 隐藏后门

John Dwyer

恶意软件分析演练 – JavaScript信息窃取程序

Kevin Pagano at Stark 4N6

数据真相播客特辑 – CTF

Magnet Forensics

Mobile Unpacked S3:E10 // 剖析密码：确定设备解锁方法

Monolith Forensics

在案例中添加联系人

MSAB

#MSABMonday – XAMN Pro上下文

MyDFIR

SOC警报分类解释：大多数初学者做错了什么

Off By One Security

ReVault！被您的安全SoC入侵 with Philippe Laulheret
通过静态分析和文档排名扩展基于LLM的漏洞研究

Parsing the Truth: One Byte at a Time

与Larry更多关于Pam的事情

Permiso Security

Permiso演示网络研讨会 | 2025年10月30日

Richard Davis at 13Cubed

分析Linux内存的简单方法

SANS云安全

2025 SANS CloudSecNext峰会

Security BSides Dublin

Security BSides Dublin 2025

The Cyber Mentor

直播： HTB Sherlocks！ | 网络安全 | 蓝队
PowerShell入门：狩猎网络活动。

Three Buddy Problem

OpenAI的Dave Aitel谈论Aardvark，使用LLM进行漏洞狩猎的经济学

恶意软件

Arctic Wolf

UNC6384利用ZDI-CAN-25373漏洞向匈牙利和比利时外交实体部署PlugX

Bobby Rauch

剖析Google Drive钓鱼骗局 – 全面安全还是全面骗局？

Abdallah Elnoty at eln0ty

SpyNote C2模拟器

ReversingLabs

评估用于macOS恶意软件狩猎的YARA规则在Spectra Analyze中
追踪不断演变的基于Discord的RAT家族

John Tuckner at Secure Annex

那是哪个宝可梦？是Monero！
SleepyDuck恶意软件通过Open VSX入侵Cursor

Security Onion

恐怖的恶意软件分析！

Shubho57

Latrodectus变种（msi安装程序）分析

The Reverser’s Draft

PEB Walk剖析

ThreatFabric

新Android恶意软件Herodotus模仿人类行为以规避检测

Jeffrey Francis Bonaobra, Joe Soares, and Emmanuel Panopio at Trend Micro

通过WhatsApp传播的Active Water Saci活动具有多向量持久性和复杂的C&C

Wordfence

100,000个WordPress网站受Anti-Malware Security and Brute-Force Firewall WordPress插件中的任意文件读取漏洞影响
流氓WordPress插件在虚假PNG文件中隐藏多层信用卡窃取程序
攻击者积极利用WP Freeio插件中的关键漏洞

YUCA

Malops挑战9：Katz窃取程序解析

其他

Cellebrite

演员、主持人、艺术家和反人口贩运倡导者Terry Crews将主持Cellebrite C2C用户峰会2026
找到您的调查路径
分享即关怀：转变数字调查工作流程的范式
解锁AI在数字调查中的战略优势
端点检查器：为您的组织提供现代、灵活和用户友好的解决方案

CyberBoo

Microsoft Defender for Endpoint第3部分：警报管理和调查基础
Microsoft Defender for Endpoint第4部分：事件管理和攻击故事分析

Josibel Mendoza at DFIR Dominican

DFIR工作更新 – 2025年10月27日

Forensic Focus

数字取证工作汇总，2025年10月27日
2025年9月Oxygen Tech Bytes
数字取证汇总，2025年10月29日
MSAB白皮书 – 在移动设备中调查RAM
GMDSOFT技术通讯第15卷。分析位置欺骗应用留下的反取证痕迹

HackTheBox

Scattered Spider：建立更好韧性的90天恢复计划

Iram Jack

冷系统取证入门

Lykos Defence

白皮书：从混乱到能力

Magnet Forensics

Magnet Witness 1.10中简化的启动和导出
从扣押到判决：用清晰、可采纳的数字证据加强起诉
当实验室永不眠
用可验证的云安全保护敏感媒体证据
新！Magnet认证准备

Patrick Siewert at ‘The Philosophy of DFIR’

推销科学：DF/IR服务的市场营销

Raymond Roethof

Microsoft Defender for Identity推荐操作：GPO可由非特权账户修改

软件更新

Arkime v5.8.2
Arsenal Recon：Arsenal Image Mounter v3.12.331新功能快速浏览
Didier Stevens：更新：dnsresolver.py版本0.0.4
Digital Detective：NetAnalysis® v4.1 – 解密Firefox v144
Digital Sleuth：winfor-salt v2025.12.1
Maxim Suhanov：dfir_ntfs文件系统解析器1.1.20
OpenCTI 6.8.10
Sigmar 2025-11-01
Vound：Intella 3.0.1发布说明
Xways：
- X-Ways Forensics 21.7预览版
- X-Ways Forensics 21.6 SR-1
- X-Ways Forensics 21.5 SR-10
- 查看器组件
YARA v4.5.5

这就是本周的全部内容！如果您认为我遗漏了什么，或者希望我特别报道某些内容，请通过联系页面或社交媒体渠道与我联系！跟我上课！使用折扣码thisweekin4n6在Cyber5w的任何课程中享受15%折扣。使用代码PM15或点击此链接在您的下一个Hexordia课程中享受15%折扣