2025年第45周数字取证与事件响应技术资讯盘点

赞助内容

Salesloft-Drift数据泄露内幕：对SaaS与身份安全的意义 本次会议由Permiso的CTO主讲，内容涵盖：

攻击者如何利用被盗的OAuth令牌从GitHub转移到AWS，再进入Salesforce。
为何这次“全机器”攻击为SaaS供应链和NHI（非人类身份）敲响了警钟。
在您的环境中检测和遏制类似威胁的实用步骤。 观看视频播客 由Permiso赞助

一如既往，感谢那些提供支持的朋友们！

取证分析

Akash Patel: 掌握云存储取证：Google Drive、OneDrive、Dropbox和Box的调查技术。
每位取证调查员都应了解这些常见的反取证擦除工具。
使用Bulk Extractor挖掘隐藏证据：记录恢复的力量。
Andrew Malec: LUKS、hashcat和隐藏卷。
Christian Peter: “过去、现在与未来之事——ALEX现已发布！”
Christopher Eng (Ogmini): BelkaGPT——数字取证与事件响应中的有效人工智能。
使用开源工具尝试ALEX——Android逻辑提取器。
SANS假日黑客挑战赛2025。
SANS假日黑客挑战赛2025——进度报告。
检查移动热点——Orbic Speed RC400L。
Oleg Afonin (Elcomsoft): 探索iPadOS、tvOS和audioOS 17及18设备：文件系统和钥匙串提取。
Forensafe: Android应用使用历史。
Iram Jack: 取证镜像、Autopsy、磁盘过滤、ExfilNode。
Mattia Epifani (Zena Forensics): 超越已知：对三星Android取证研究的呼吁。
Tasos Chatziefstratiou: IIS用户访问日志。
Dante Fazio (The Metadata Perspective): 元数据的重要性：法庭上的原始相机照片与截图。

威胁情报/狩猎

❀✵Gootloader Details ✵❀: Gootloader卷土重来。
Adam (Hexacorn): cliconfg.exe的一个鲜为人知的秘密。
Charlie Eriksen (Aikido): 隐形Unicode恶意软件再次袭击OpenVSX。
Christine Barry (Barracuda): Nitrogen勒索软件：从分阶段加载器到全面勒索。
Victor Vrabie (Bitdefender): Curly COMrades：通过隐藏的Hyper-V虚拟机进行规避和持久化。
Brian Krebs (‘Krebs on Security’): 据称的Jabber Zeus程序员‘MrICQ’被美国拘留。
Cloudflare将Aisuru僵尸网络从顶级域名列表中清除。
Campaign and public sector information security: 危险的PDF程序。
CERT-AGID: 针对意大利银行的钓鱼活动正在进行中。针对AdE的钓鱼：虚假“加密货币税务申报”。11月1日至7日恶意活动概要总结。在意大利通过GLS主题ClickFix活动传播的Remcos RAT分析。
Check Point: 11月3日威胁情报报告。以速度击败XLoader：生成式AI作为逆向工程的倍增器。利用Microsoft Teams：暴露的冒充和欺骗漏洞。
Max Gannon (Cofense): 国际威胁——区域性钓鱼活动中使用的感染URL。
David Burkett (Corelight): 使用PEAK框架揭露Salt Typhoon | Corelight。
Crowdstrike: CrowdStrike 2025年欧洲威胁态势报告：勒索加剧，国家级活动升级。
Cyberbit: Scattered Spider、LAPSUS$和ShinyHunters合并为混乱的网络犯罪联盟。
Cyfirma: 每周情报报告 – 2025年11月7日。
Darktrace: 追踪一条龙：使用Darktrace调查DragonForce附属的勒索软件攻击。
Tesnim Hamdouni, Ian Kretz, Sebastian Obregoso (Datadog Security Labs): MUT-4831：特洛伊化的npm包分发Vidar信息窃取恶意软件。
DebugPrivilege: 您上次修补域控制器是什么时候？从供应商到ESC1。
Burak Karaduman (Detect FYI): Agentic检测创建：从Sigma到Splunk规则（或任何平台）。
Disconinja: 每周威胁基础设施调查（第44周）。
Erik Hjelmvik (Netresec): 优化IOC保留时间。
FalconFeeds: 全球信用卡欺诈生态系统：现代金融欺诈与地下基础设施的威胁情报概况（2024-2025展望）。泄露迷雾：虚假泄露声明和模仿者如何混淆归因。恶意软件多语言：语言线索如何揭示威胁组织的起源和目标。隐形战争：APT组织如何在不成为头条的情况下运作。网络犯罪卡特尔兴起：我们是否正进入有组织数字犯罪的新时代？规避之巅：分析窃取者恶意软件即服务生态系统的去中心化、AI和恶意演变（2025年10月）。网络犯罪手册：威胁行为者如何相互学习——TTP融合与CTI追踪分析。当恶意软件成为营销：勒索软件组织如何利用公关进行恐吓。对全球贸易的混合威胁：针对港口和海运路线的网络攻击激增。全球数字前线：政府网络安全事件分析，2024年10月–2025年9月。
Flashpoint: LockBit 5.0分析：对RaaS巨头最新升级的技术深度剖析。
g0njxa: 接近窃密程序开发者：与AURA的简短访谈。
Google Cloud Threat Intelligence: 为未来的威胁做准备：2026年网络安全预测。GTIG AI威胁追踪器：威胁行为者使用AI工具的进展。
GreyNoise: PHP加密货币挖矿活动：2025年10月/11月。
Group-IB: /proc中的幽灵：操作和时间线破坏。
HackTheBox: BianLian的无声入侵：1个漏洞如何击中日本制铁的供应链。Brickstorm入侵剖析：UNC5221为期12个月的间谍活动。逃离Scattered Spider的网：我们深度剖析的6个要点。
Hudson Rock: 日经新闻被入侵：信息窃取程序感染获得对17,000+名员工Slack聊天记录的访问权限。
Anna Pham (Huntress): Gootloader | 威胁检测概述。
Jeffrey Bellny (CatchingPhish): 通过钓鱼模拟工具进行钓鱼。
Yuma Masubuchi (JPCERT/CC): 威胁组织APT-C-60攻击活动更新。
Kevin Beaumont (DoublePulsar): CyberSlop——认识新的威胁行为者、MIT和Safe Security。
Kostas: DetectionStream：介绍Sigma培训平台。
Kroll: Kroll对话：会见数字取证与事件响应专家。
LevelBlue: SpiderLabs勒索软件追踪器2025年10月更新：Qlin加倍攻击力度。剖析和理解APT威胁组织活动。
Natto Thoughts: 一位研究员的敲门，给中国上了一堂关于管理漏洞和研究者的课。
Oleg Skulkin (‘Know Your Adversary’): 306. 对手修改注册表以启用远程调试。307. 追查Tar滥用。308. 对手滥用OpenAI Assistants API。309. 对手使用隐藏的Hyper-V虚拟机。310. 对手持续滥用不常见的RMM。311. 追查MSBuild滥用。312. 追查Certutil滥用。313. 真实对手如何滥用PowerShell进行侦查。
Picus Security: 剖析ValleyRAT：从加载器到RAT在定向活动中的执行。UNC6384的2025年PlugX活动解析。Gossamer Bear APT：Windows端点活动解析。Prophet Spider威胁行为者解析。多平台VanHelsing勒索软件分析。
Proofpoint: 远程访问，真实货物：针对卡车运输和物流的网络犯罪分子。交错线路：伊朗间谍活动和归因的案例研究。
Dan Green (Push Security): 迄今为止最先进的ClickFix变种？
Qi An Xin Threat Intelligence Center: Operation South Star：针对国产手机的0day间谍活动。
Recorded Future: 利用实时数据进行勒索软件检测 | Recorded Future。恶意基础设施在aurologic GmbH处找到稳定性。
Susannah Clark Matt (Red Canary): 防御者钓鱼指南。
Vladimir Pezo (ReversingLabs): PowerShell Gallery如何简化攻击。
Rohan Karnkoti: 中间代码：IR简介。
SANS互联网风暴中心: 扫描端口8530/8531。可能相关于WSUS漏洞CVE-2025-59287。XWiki SolrSearch漏洞利用尝试，链接至芝加哥帮派/说唱歌手。域名API更新。二进制面包屑：使用PowerShell关联恶意软件样本与蜜罐日志。蜜罐：对代码仓库的请求。
John Tuckner (Secure Annex): RansomVibing出现在VS Code扩展中。
Security Alliance: 从朝鲜IT工作者到IT招聘人员。
Sekoia: 针对Booking.com酒店和客户的“我付了两次款”钓鱼活动。
Subhajeet Singha (Seqrite): Operation Peek-a-Baku：Silent Lynx APT缓慢转向杜尚别。
Shantaciak: 构建逻辑。
Sky Blueteam: 分析sudo CVE-2025-32463的不安全chroot行为。
SOCRadar: Bulwark：解构重新定义恶意软件规避的打包器。
Ross McKerchar, Rafe Pilling, Sarah Kern, Angela Gunn, Jane Adams, Mindi McDowell, Ryan Westman (Sophos): 检测欺诈性的朝鲜雇佣人员：CISO指南。
Symantec Enterprise: 与中国相关的行为体持续关注影响美国政策的组织。
System Weakness: 窥探恶意软件的工具箱：REMnux入门。勒索软件101：这些数字劫匪如何运作以及为何备份是你最好的盾牌。从警报到行动：SOC分析师使用Elastic进行事件分流的指南。使用Elastic进行警报分流——TryHackMe。黑还是不黑：恶意软件的三位一体。SOC警报 => Lumma窃取程序——通过Click Fix钓鱼进行DLL侧加载。从噪音到信号：SOC分析师在Splunk中进行警报分流的指南。
Ryan G. Cox (The Cybersec Café): DataDog中的检测即代码：我如何测试检测规则。
The Raven File: CLOP勒索软件：剖析网络。
THOR Collective Dispatch: Ask-a-Thrunt3r：2025年10月Logtoberfest版。超越指标狩猎——第二部分。
Jack Wigley, Jason Trapp, Trevor Tucker (Triskele Labs): 威胁行为者使用Python窃取您的收件箱。
Trustwave SpiderLabs: Scattered LAPSUS$ Hunters：联邦网络犯罪品牌剖析。猫已出袋：通过MAD-CAT模拟的‘喵攻击’数据破坏活动。
Ugur Koc, Bert-Jan Pals (Kusto Insights): Kusto Insights – 十月更新。
Kenneth Kinion (Valdin): 使用Valdin查找相关的虚假“DMCA删除”域名。
Alexandra Martin (VirusTotal): 十一月是搜索月：使用 #MonthOfVTSearch 探索、学习和分享。
VMRay: 如何将Defender和Sentinel警报转化为可操作的威胁情报。
WeLiveSecurity: 分享即惊吓：你没看到的WhatsApp屏幕共享诈骗。ESET APT活动报告2025年Q2–Q3。
Блог Solar 4RAYS: 俄罗斯的Erudite Mogwai钓鱼活动。
Palo Alto Networks: 知彼先知己：以资产管理为代价的威胁情报。LANDFALL：针对三星设备的漏洞链中的新型商业级Android间谍软件。

即将举行的活动

Black Hills Information Security: Talkin’ Bout [infosec] News 2025-11-10。
Cqure Academy: 现场网络研讨会 检测和防御威胁的十大技术。
Cybersecurity Mentors Podcast: Inside Mandiant：Charles Carmakal谈全球网络战前线。
Huntress: 现场入侵Microsoft 365。Tradecraft Tuesday | 回顾（及展望）钓鱼战术。
Magnet Forensics: AI Unpacked #6：你想知道的一切——别怕提问。
Spur: The Spur Relay — Q4 2025：新代理威胁、SDK滥用与检测。

演讲/播客

Hexordia: Truth in Data: EP17：数字取证不断变化的角色：未来的数字侦探。
Adversary Universe Podcast: 勒索升级与国家级活动加剧：CrowdStrike 2025年欧洲威胁态势报告。
Anuj Soni: 正确设置您的恶意软件分析实验室。
Behind the Binary (Google Cloud Security): EP18 一万个DLL和太多数学——与FLARE团队总结FLARE-On 12。
Cellebrite: Tip Tuesday：2025年CTF圆满结束。
Chainalysis: FBI的雇凶加密调查：播客第173集。
Cloud Security Podcast (Google): EP250 “收集一切”的终结？从集中化转向数据访问。
Compass Security: Windows访问令牌——从身份验证到利用。
Endace: The Packet Forensic Files, Ep 64，与Steve Fink探讨构建有效和有弹性的SOC。
Flare: 身份攻击：剖析2025年微软数字防御报告。
John Hammond: Windows批处理恶意软件分析！虚假DMCA恶意软件骗局。
Logzio: 使用Logz.io调查SIEM事件。
Magnet Forensics: Legal Unpacked E2：超越应用图标：起草反映数据真实存储方式的移动设备搜查令。更智能的移动调查：当今取证服务提供商的工具。
Microsoft Threat Intelligence Podcast: 超越AI安全炒作：网络防御中真正重要的东西。
MITRE: ATT&CKcon 6.0。
Monolith Forensics: 在Monolith中为用户分配案件。
MSAB: #MSABMonday – XAMN Pro导出选项。
MyDFIR: 真实的SOC分析师调查 | 电子邮件钓鱼。从教师到网络安全：Nigel如何转向SOC职业。
OALabs: IDA Free逆向工程——逐步EXE分析。
Paraben Corporation: 将Passware设备解锁导入E3。在E3中捕获和审查Steam数据。在内存转储中使用Zandra AI处理数据。
Parsing the Truth: One Byte at a Time: 数字取证25年的动荡。
Permiso Security: Permiso的AI安全能力概述——识别AI用户、构建者和代理。Permiso如何识别AI暴露。为任何身份识别AI用户、构建者和代理。Permiso如何为AI用户、构建者和代理身份创建徽章。
Proofpoint: 选举更多黑客：改变现实世界的技术技能。
Richard Bejtlich (TaoSecurity): 我正在主持一个新播客。
Sandfly Security: Linux隐形Rootkit狩猎视频演示。
SANS: 现代威胁如何与Paul Chichester一起重新定义防御规则。
Security Onion: Security Onion Conference 2025录制内容现已上线！
SentinelOne: LABScon25回放 | 现身的LLM赋能恶意软件。
Studio d’Informatica Forense: MSAB在罗马的网络取证和数字调查研讨会。
Sumuri: TALINO Talk第18集。如何提名执法机构参与SUMURI回馈2025计划。
THE Security Insights Show: THE Security Insights Show第279集：Security Copilot更新。
The Weekly Purple Team: CVE-2025-59287：针对关键WSUS RCE漏洞的紫队演练。
Uriel Kosayev: 给认真的人——MAoS——增强型恶意软件分析。

恶意软件

ASEC: 精准长矛：Cephalus勒索软件分析。
Kacper Ratajczak (CERT Polska): NGate恶意软件活动分析。
Cybereason: Tycoon 2FA钓鱼工具包分析。
Dr. Web: Cavalry Werewolf黑客组织攻击俄罗斯国家机构。
Microsoft Security: SesameOp：新型后门利用OpenAI Assistants API进行命令和控制。Whisper Leak：针对远程语言模型的新型侧信道攻击。
Ovi Liber: 新的Kimsuky恶意软件“EndClient RAT”：首份技术报告和IOC。
Pulsedive: 剖析感染链：Kimsuky JavaScript Dropper的技术分析。
Shikha Sangwan (Securonix): CHAMELEON#NET：利用反射加载和自定义解密实现隐秘操作的多阶段.NET恶意软件深度剖析。
Shubho57: Ares RAT分析。
Kush Pandya (Socket): 9个恶意NuGet包分发延时破坏性载荷。
Ben Martin (Sucuri): Slot Gacor：在线赌场垃圾邮件的兴起。
Quentin Roland (Synacktiv): 看不见的站点：枚举和攻击Active Directory站点。
Bernardo.Quintero (VirusTotal): 大规模逆向：针对Apple二进制文件的AI驱动恶意软件检测。
István Márton (Wordfence): 400,000个WordPress站点受Post SMTP插件账户接管漏洞影响。
Zhassulan Zhussupov: 恶意软件开发技巧54：通过合法的Angelcam API窃取数据。简单的C示例。
Will Seaton, Viral Gandhi, Himanshu Sharma, Yesenia Barajas (Zscaler): 行业攻击激增，移动恶意软件扩散：ThreatLabz 2025年移动、物联网和OT报告。
Шифровальщики-вымогатели The Digest “Crypto-Ransomware”: Monkey。

其他

Ahmed K. Ali: 使用CH341A编程器提取和刷写硬盘PCB固件。
Belkasoft: 使用Belkasoft X生成数字取证与事件响应报告。
Brett Shavers: 撕下数字取证/事件响应的创可贴。
Cellebrite: AI优势：充满信心地管理调查。
Decrypting a Defense: 城市开始摒弃Flock，纽约警察局摄像头诉讼，CSAM与私人搜查原则，证人社交媒体OSINT简介等。
Josibel Mendoza (DFIR Dominican): 数字取证与事件响应职位更新 – 2025年11月3日。
DomainTools Investigations: 防火墙内幕第二部分：技术基础设施。
Forensic Focus: 驾驭数字调查的下一个时代：思想领导力视角。GMDSOFT MD系列Q3发布说明亮点。Carol Brooks，网络心理学家，Platinum 3P。数字取证周报，2025年11月5日。国家层面的数字取证与事件响应福祉：为何生活经验必须塑造政策。Forensic Focus摘要，2025年11月7日。
HackTheBox: 全新的HTB学院：为学习者打造，由您的反馈驱动。停止警报过载：如何像真正遭受攻击一样训练。
Howard Oakley (‘The Eclectic Light Company’): 深入统一日志7：Claude诊断日志。
Kevin Pagano (Stark 4N6): 取证StartMe更新。
Oxygen Forensics: 在远程数据收集中解锁切实的投资回报率。
Security Onion: Security Onion文档印刷版现已更新至2.4.190版本！
Cameron Paddy (Triskele Labs): 独立网络调查的必要性。
Vxdb: 地下Minecraft账户市场。

软件更新

Airbus Cybersecurity: IRIS-Web v2.4.24。
Brian Maloney: OneDrive更新。
Didier Stevens: 更新：cs-parse-traffic.py 版本 0.0.6。
Digital Sleuth: winfor-salt v2025.13.3。
Doug Metz (Baker Street Forensics): CyberPipe v5.3：增强的PowerShell兼容性和可靠性。
Elcomsoft: iOS Forensic Toolkit 8.81增加对iOS 17和18的checkm8提取支持。
Microsoft: msticpy – 针对API更改的Defender数据提供程序更新。
MISP: MISP v2.5.24 – 安全与稳定性更新。
MobilEdit: 新版本：MOBILedit Forensic 9.7 — Exynos绕过、多用户Android分析等更多功能！
Phil Harvey: ExifTool 13.41。
Xways: Viewer组件。X-Ways Forensics 21.5 SR-10。X-Ways Forensics 21.6 SR-2。X-Ways Forensics 21.7 Preview 2。

这就是本周的全部内容！如果您认为我遗漏了什么，或者希望我特别报道某个内容，请通过联系页面或社交媒体渠道与我联系！

使用折扣码 PM15 或点击此链接享受您的下一节Hexordia课程15%优惠。与我一起上课！使用折扣码 thisweekin4n6 在Cyber5w享受任何课程15%优惠。