2025年第45周数字取证与事件响应技术动态综述

数字取证分析

Akash Patel

精通云存储取证：Google Drive、OneDrive、Dropbox 和 Box 的调查技术
每位取证调查员都应了解的常见反取证擦除工具
使用 Bulk Extractor 雕刻隐藏证据：记录恢复的力量

Andrew Malec

LUKS、hashcat 和隐藏卷

Christian Peter

“过去、现在与未来可能之事——ALEX 现已上线！”

Christopher Eng @ Ogmini

BelkaGPT – 数字取证与事件响应中有效的人工智能
使用开源工具
试用 ALEX – Android 逻辑提取器
SANS 节日黑客挑战赛 2025
SANS 节日黑客挑战赛 2025 – 进展
检查移动热点 – Orbic Speed RC400L

Oleg Afonin @ Elcomsoft

探索 iPadOS、tvOS 和 audioOS 17 及 18 设备：文件系统和钥匙串提取

Forensafe

Android 应用使用历史

Iram Jack

取证镜像
Autopsy
磁盘过滤
ExfilNode

Mattia Epifani @ Zena Forensics

超越已知：对三星 Android 取证工件研究的呼吁

Tasos Chatziefstratiou

IIS 用户访问日志

Dante Fazio @ The Metadata Perspective

元数据的重要性：法庭上的相机原始照片与截图

威胁情报/狩猎

Gootloader Details

Gootloader 卷土重来

Adam @ Hexacorn

cliconfg.exe 的一个鲜为人知的秘密

Charlie Eriksen @ Aikido

隐形 Unicode 恶意软件再次攻击 OpenVSX

Christine Barry @ Barracuda

Nitrogen 勒索软件：从阶段性加载器到全面勒索

Victor Vrabie @ Bitdefender

Curly COMrades：通过隐藏的 Hyper-V 虚拟机进行规避和持久化

Brian Krebs @ ‘Krebs on Security’

据称的 Jabber Zeus 编码员 ‘MrICQ’ 被美国拘留
Cloudflare 从顶级域名列表中清除了 Aisuru 僵尸网络

Campaign and public sector information security

危险的 PDF 程序

CERT-AGID

针对意大利银行的网络钓鱼活动正在进行中
针对 AdE 的网络钓鱼：虚假“加密货币税务申报”
11月1日至7日恶意活动周报摘要
在意大利通过 GLS 主题的 ClickFix 活动传播的 Remcos RAT 分析

Check Point

11月3日 – 威胁情报报告
在速度上击败 XLoader：生成式AI作为逆向工程的力倍增器
利用 Microsoft Teams：暴露的冒充和欺骗漏洞

Max Gannon @ Cofense

国际威胁 – 区域网络钓鱼活动中使用的感染 URL

David Burkett @ Corelight

使用 PEAK 框架揭露 Salt Typhoon | Corelight

Crowdstrike

CrowdStrike 2025 年欧洲威胁态势报告：勒索加剧，国家黑客活动升级

Cyberbit

Scattered Spider、LAPSUS$ 和 ShinyHunters 联合形成混乱的网络犯罪合并

Cyfirma

每周情报报告 – 2025年11月7日

Darktrace

追踪恶龙：使用 Darktrace 调查 DragonForce 相关的勒索软件攻击

Tesnim Hamdouni, Ian Kretz, 和 Sebastian Obregoso @ Datadog Security Labs

MUT-4831：被植入木马的 npm 包传播 Vidar 信息窃取恶意软件

DebugPrivilege

您上次修补域控制器是什么时候？
从供应商到 ESC1

Burak Karaduman @ Detect FYI

代理检测创建：从 Sigma 到 Splunk 规则（或任何平台）

Disconinja

每周威胁基础设施调查（第44周）

Erik Hjelmvik @ Netresec

优化 IOC 保留时间

FalconFeeds

全球信用卡欺诈生态系统：现代金融欺诈和地下基础设施的威胁情报画像（2024-2025展望）
泄露的迷雾：虚假数据泄露声明和模仿者如何混淆归因
恶意软件多语言化：语言线索如何揭示威胁组织的起源和目标
隐形战争：APT 组织如何在不引起关注的情况下运作
网络犯罪集团的崛起：我们是否正进入有组织数字犯罪的新时代？
规避之巅：分析窃取者恶意软件即服务生态系统的去中心化、AI 和恶意演化（2025年10月）
网络犯罪剧本：威胁行为者如何相互学习——TTP 趋同和 CTI 追踪分析
当恶意软件成为营销：勒索软件组织如何利用 PR 进行恐吓
对全球贸易的混合威胁：针对港口和海运路线的网络攻击激增
全球数字前线：政府网络事件分析，2024年10月–2025年9月

Flashpoint

LockBit 5.0 分析：对勒索软件即服务巨头最新升级的技术深度剖析

g0njxa

接触窃密软件开发者：与 AURA 的简短访谈

Google Cloud Threat Intelligence

为即将到来的威胁做准备：2026年网络安全预测
GTIG AI 威胁追踪器：威胁行为者使用 AI 工具的进展

GreyNoise

PHP 加密货币挖矿活动：2025年10月/11月

Group-IB

/proc 中的幽灵：操纵和时间线破坏

HackTheBox

BianLian 的无声入侵：1 个漏洞如何击中日本制铁的供应链
Brickstorm 入侵事件剖析：UNC5221 为期 12 个月的间谍行动
逃离 Scattered Spider 的网络：我们深度剖析的 6 个要点

Hudson Rock

日经新闻被入侵：信息窃取者感染导致可访问超过 17,000 名员工的 Slack 聊天记录

Anna Pham @ Huntress

Gootloader | 威胁检测概览

Jeffrey Bellny @ CatchingPhish

通过网络钓鱼模拟工具进行的网络钓鱼

Yuma Masubuchi @ JPCERT/CC

威胁组织 APT-C-60 攻击活动更新

Kevin Beaumont @ DoublePulsar

CyberSlop – 认识新的威胁行为者，MIT 和 Safe Security

Kostas

DetectionStream：Sigma 培训平台介绍

Kroll

Kroll 对话：会见数字取证与事件响应专家

LevelBlue

SpiderLabs 勒索软件追踪器 2025年10月更新：Qlin 加倍攻击
剖析和理解 APT 威胁组织活动

Natto Thoughts

一位研究人员来敲门，并给中国上了一课：如何管理漏洞——以及研究人员

Oleg Skulkin @ ‘Know Your Adversary’

306. 攻击者修改注册表以启用远程调试
307. 狩猎 Tar 滥用
308. 攻击者滥用 OpenAI Assistants API
309. 攻击者使用隐藏的 Hyper-V 虚拟机
310. 攻击者继续滥用不常见的 RMM
311. 狩猎 MSBuild 滥用
312. 狩猎 Certutil 滥用
313. 真实攻击者如何滥用 PowerShell 进行发现

Picus Security

剖析 ValleyRAT：从加载器到 RAT 执行的目标活动
UNC6384 的 2025 年 PlugX 活动详解
Gossamer Bear APT：Windows 端点活动详解
Prophet Spider 威胁行为者详解
多平台 VanHelsing 勒索软件分析

Proofpoint

远程访问，真实货物：针对卡车运输和物流的网络犯罪
线路交错：伊朗间谍活动和归因的案例研究

Dan Green @ Push Security

迄今为止最先进的 ClickFix？

Qi An Xin Threat Intelligence Center

Operation South Star：针对国产手机的 0day 间谍活动

Recorded Future

使用实时数据进行勒索软件检测 | Recorded Future
恶意基础设施在 aurologic GmbH 找到稳定性

Susannah Clark Matt @ Red Canary

防御者的网络钓鱼指南

Vladimir Pezo @ ReversingLabs

PowerShell Gallery 如何简化攻击

Rohan Karnkoti

中间代码：IR 简介

SANS Internet Storm Center

扫描端口 8530/8531。可能与 WSUS 漏洞 CVE-2025-59287 相关
XWiki SolrSearch 漏洞利用尝试与芝加哥帮派/说唱歌手链接
Domainname API 更新
二进制面包屑：使用 PowerShell 将恶意软件样本与蜜罐日志关联
蜜罐：对（代码）仓库的请求

John Tuckner @ Secure Annex

RansomVibing 出现在 VS Code 扩展中

Security Alliance

从朝鲜 IT 工作者到 IT 招聘人员

Sekoia

针对 Booking.com 酒店和客户的“我付了两次款”网络钓鱼活动

Subhajeet Singha @ Seqrite

Operation Peek-a-Baku：Silent Lynx APT 缓慢转向杜尚别

Shantaciak

构建逻辑

Sky Blueteam

分析 sudo CVE-2025-32463 的不安全 chroot 行为

SOCRadar

Bulwark：剖析重新定义恶意软件规避的加壳器

Ross McKerchar, Rafe Pilling, Sarah Kern, Angela Gunn, Jane Adams, Mindi McDowell, 和 Ryan Westman @ Sophos

检测欺诈性的朝鲜雇佣人员：CISO 行动手册

Symantec Enterprise

中国背景的黑客组织持续关注影响美国政策的组织

System Weakness

窥探恶意软件工具箱：REMnux 简介
勒索软件 101：这些数字劫匪如何运作以及为什么备份是你最好的盾牌
从告警到行动：SOC 分析师的 Elastic 告警分类指南
使用 Elastic 进行告警分类 – TryHackMe
入侵与否：恶意软件的不神圣三位一体
通过 LetsDefend / EventID 的 [ SOC 告警 => Lumma Stealer – 通过 Click Fix 网络钓鱼进行 DLL 侧加载 ]
从噪音到信号：SOC 分析师的 Splunk 告警分类指南

Ryan G. Cox @ The Cybersec Café

DataDog 中的代码化检测：我如何测试检测规则

The Raven File

CLOP 勒索软件：网络剖析

THOR Collective Dispatch

Ask-a-Thrunt3r：2025年10月 Logtoberfest 版
超越指标狩猎 – 第二部分

Jack Wigley, Jason Trapp 和 Trevor Tucker @ Triskele Labs

威胁行为者使用 Python 窃取您的收件箱

Trustwave SpiderLabs

Scattered LAPSUS$ Hunters：一个联合网络犯罪品牌的剖析
猫已出袋：通过 MAD-CAT 模拟的‘喵攻击’数据破坏活动

Ugur Koc 和 Bert-Jan Pals @ Kusto Insights

Kusto Insights – 2025年10月更新

Kenneth Kinion @ Valdin

使用 Validin 查找相关的虚假“DMCA 下架”域名

Alexandra Martin @ VirusTotal

十一月是搜索月：使用 #MonthOfVTSearch 探索、学习和分享

VMRay

如何将 Defender 和 Sentinel 告警转化为可操作的威胁情报

WeLiveSecurity

分享即惊吓：您没看到的 WhatsApp 屏幕共享骗局
ESET APT 活动报告 2025年第二季度 – 第三季度

Блог Solar 4RAYS

在俄罗斯的 Erudite Mogwai 网络钓鱼活动

Palo Alto Networks

在了解敌人之前先了解自己：以资产管理为代价的威胁情报
LANDFALL：针对三星设备的漏洞利用链中的新型商业级 Android 间谍软件

即将举行的活动

Black Hills Information Security

Talkin’ Bout [infosec] News 2025-11-10

Cqure Academy

直播网络研讨会：检测和防御威胁的十大技巧

Cybersecurity Mentors Podcast

走进 Mandiant：Charles Carmakal 谈全球网络战争前线

Huntress

现场黑客入侵 Microsoft 365 与 Kyle Hanslovan
Tradecraft Tuesday | Shadiest Catch：回顾（并展望）网络钓鱼策略

Magnet Forensics

AI 揭秘 #6：您想知道的一切——以及不怕问的问题

Spur

Spur Relay — 2025年第四季度：新代理威胁、SDK 滥用与检测

演讲/播客

Hexordia

数据真相：EP17：数字取证的未来：未来的数字侦探

Adversary Universe Podcast

勒索加剧和国家黑客活动升级：CrowdStrike 2025 年欧洲威胁态势报告

Anuj Soni

正确设置您的恶意软件分析实验室

Behind the Binary by Google Cloud Security

EP18 10,000 个 DLL 和太多的数学 – 与 FLARE 团队一起完成 FLARE-On 12

Cellebrite

周二小贴士：2025 年 CTF 圆满结束

Chainalysis

FBI 的加密货币雇凶杀人调查：播客第 173 集

Cloud Security Podcast by Google

EP250 “收集一切”的终结？从集中化到数据访问？

Compass Security

Windows 访问令牌 – 从认证到利用

Endace

数据包取证档案，第 64 集，与 Steve Fink 探讨构建有效且具有弹性的 SOC

Flare

身份攻击：剖析 2025 年微软数字防御报告

John Hammond

Windows 批处理恶意软件分析！
虚假 DMCA 恶意软件骗局

Logzio

使用 Logz.io 调查 SIEM 事件

Magnet Forensics

法律揭秘 E2：超越应用图标：起草反映数据真实存储方式的移动设备搜查令
更智能的移动调查：当今取证服务提供商的工具

Microsoft Threat Intelligence Podcast

超越 AI 用于安全的炒作：网络防御中真正重要的是什么

MITRE

ATT&CKcon 6.0

Monolith Forensics

在 Monolith 中为用户分配案件

MSAB

#MSABMonday – XAMN Pro 导出选项

MyDFIR

真实 SOC 分析师调查 | 电子邮件网络钓鱼 | MYDFIR SOC 社区
从教师到网络安全：Nigel 如何转向 SOC 职业

OALabs

IDA Free 逆向工程 – 分步 EXE 分析

Paraben Corporation

将 Passware 设备解锁导入 E3
在 E3 中捕获和审查 Steam 数据
Zandra AI 处理内存转储中的数据

Parsing the Truth: One Byte at a Time

数字取证 25 年的动荡

Permiso Security

Permiso AI 安全功能概述 – 识别 AI 用户、构建者和代理
Permiso 如何识别 AI 风险敞口
为任何身份识别 AI 用户、构建者和代理
Permiso 如何为 AI 用户、构建者和代理的身份创建徽章

Proofpoint

选举更多黑客：现实世界变革的技术技能

Richard Bejtlich @ TaoSecurity

我正在主持一个新播客

Sandfly Security

Linux 隐形 Rootkit 狩猎视频演示

SANS

现代威胁如何重新定义防御规则，与 Paul Chichester 一起

Security Onion

Security Onion 大会 2025 录制现已可用！

SentinelOne

LABScon25 回放 | 野外的 LLM 赋能恶意软件

Studio d’Informatica Forense

在罗马举行的 MSAB 网络取证和数字调查研讨会

Sumuri

TALINO Talk 第 18 集
如何为 2025 年 SUMURI Gives Back 提名执法机构

THE Security Insights Show

THE Security Insights Show 第 279 集：Security Copilot 更新

The Weekly Purple Team

CVE-2025-59287：对严重 WSUS RCE 漏洞进行紫队演练

Uriel Kosayev

仅限严肃人士 – MAoS – 增强型恶意软件分析

恶意软件

ASEC

一支百发百中的长矛：Cephalus 勒索软件分析

Kacper Ratajczak @ CERT Polska

NGate 恶意软件活动分析

Cybereason

Tycoon 2FA 网络钓鱼工具包分析

Dr. Web

Cavalry Werewolf 黑客组织攻击俄罗斯国家机构

Microsoft Security

SesameOp：新型后门使用 OpenAI Assistants API 进行命令和控制
Whisper Leak：针对远程语言模型的新型旁道攻击

Ovi Liber

新的 Kimsuky 恶意软件“EndClient RAT”：第一份技术报告和 IOC

Pulsedive

剖析感染链：Kimsuky JavaScript 滴管的技术分析

Shikha Sangwan @ Securonix

CHAMELEON#NET：对利用反射加载和自定义解密进行隐蔽操作的多阶段 .NET 恶意软件的深度剖析

Shubho57

Ares RAT 分析

Kush Pandya @ Socket

9 个恶意 NuGet 包投递定时破坏性载荷

Ben Martin @ Sucuri

Slot Gacor：在线赌场垃圾邮件的兴起

Quentin Roland @ Synacktiv

Site Unseen：枚举和攻击 Active Directory 站点

Bernardo.Quintero @ VirusTotal

大规模逆向工程：针对 Apple 二进制文件的 AI 驱动恶意软件检测

István Márton @ Wordfence

Post SMTP WordPress 插件中的账户接管漏洞影响 400,000 个 WordPress 站点

Zhassulan Zhussupov

恶意软件开发技巧 54：通过合法的 Angelcam API 窃取数据。简单的 C 语言示例。

Will Seaton, Viral Gandhi, Himanshu Sharma, 和 Yesenia Barajas @ Zscaler

行业攻击激增，移动恶意软件蔓延：ThreatLabz 2025 年移动、物联网和 OT 报告

Шифровальщики-вымогатели The Digest “Crypto-Ransomware”

Monkey

其他

Ahmed K. Ali

使用 CH341A 编程器提取和刷写硬盘 PCB 固件

Belkasoft

使用 Belkasoft X 制作数字取证与事件响应报告

Brett Shavers

撕掉数字取证/事件响应的创可贴

Cellebrite

AI 优势：自信地管理调查

Decrypting a Defense

城市开始放弃 Flock，纽约警察局摄像头诉讼，儿童性虐待材料与私人搜查原则，面向证人社交媒体的 OSINT 介绍等

Josibel Mendoza @ DFIR Dominican

数字取证与事件响应职位更新 – 2025/11/03

DomainTools Investigations

长城防火墙内部探秘第二部分：技术基础设施

Forensic Focus

驾驭数字调查的新时代：思想领导力视角
GMDSOFT MD 系列第三季度发布说明亮点
Carol Brooks，网络心理学家，Platinum 3P
数字取证周报，2025年11月05日
国家层面的数字取证与事件响应人员福祉：为何生活经验必须影响政策
Forensic Focus 文摘，2025年11月07日

HackTheBox

全新的 HTB Academy：为学习者打造，由您的反馈驱动
停止告警过载：如何像真的遭受攻击一样进行训练

Howard Oakley @ ‘The Eclectic Light Company’

统一日志内部探秘 7：Claude 诊断日志

Kevin Pagano @ Stark 4N6

取证 StartMe 更新（2025年11月）

Oxygen Forensics

远程数据收集中解锁切实的投资回报率

Security Onion

Security Onion 文档印刷版现已更新至 2.4.190 版本！

Cameron Paddy @ Triskele Labs

独立网络调查的必要性

Vxdb

地下 Minecraft 账户市场

软件更新

Airbus Cybersecurity

IRIS-Web v2.4.24

Brian Maloney

OneDrive 更新

Didier Stevens

更新：cs-parse-traffic.py 版本 0.0.6

Digital Sleuth

winfor-salt v2025.13.3

Doug Metz @ Baker Street Forensics

CyberPipe v5.3：增强的 PowerShell 兼容性和可靠性

Elcomsoft

iOS Forensic Toolkit 8.81 增加对 iOS 17 和 18 的 checkm8 提取支持

Microsoft

msticpy – Defender 数据提供程序针对 API 更改的更新

MISP

MISP v2.5.24 – 安全与稳定性更新

MobilEdit

新版本：MOBILedit Forensic 9.7 — Exynos 绕过、多用户 Android 分析等功能！

Phil Harvey

ExifTool 13.41

Xways

查看器组件
X-Ways Forensics 21.5 SR-10
X-Ways Forensics 21.6 SR-2
X-Ways Forensics 21.7 Preview 2

本周内容就是这些！如果您认为我遗漏了什么，或者希望我特别报道某些内容，请通过联系页面或社交媒体联系我！