2025年第45周数字取证与事件响应(DFIR)技术动态综述

本文汇总了2025年第45周在数字取证、事件响应、威胁情报、恶意软件分析、云安全、移动取证、漏洞利用、安全工具更新等领域的最新研究、技术文章、播客及会议信息,为安全从业者提供全面的技术视野。

数字取证分析

  • Akash Patel: 《精通云存储取证:Google Drive、OneDrive、Dropbox 和 Box 调查技术》
  • Andrew Malec: 《LUKS、hashcat 和隐藏卷》
  • Christian Peter: 《曾经是、现在是、将来可能是——ALEX 现已推出!》
  • Christopher Eng (Ogmini): 《BelkaGPT – DFIR 中有效的人工智能》(使用开源工具;尝试 ALEX – Android 逻辑提取器)
  • SANS Holiday Hack Challenge 2025(进度更新)
  • Examining Mobile Hotspots – Orbic Speed RC400L
  • Oleg Afonin (Elcomsoft): 《探索 iPadOS、tvOS 和 audioOS 17 和 18 设备:文件系统和钥匙串提取》
  • Forensafe: 《Android 应用使用历史》
  • Iram Jack: 《取证镜像;Autopsy;磁盘过滤;ExfilNode》
  • Mattia Epifani (Zena Forensics): 《超越已知:对三星 Android 取证工件的研究呼吁》
  • Tasos Chatziefstratiou: 《IIS 用户访问日志记录 (UAL)》
  • Dante Fazio (The Metadata Perspective): 《法庭上的元数据问题:原始相机照片与屏幕截图》

威胁情报/狩猎

  • ❀✵Gootloader 详情✵❀: 《Gootloader 回来了(再次回来)》
  • Adam (Hexacorn): 《cliconfg.exe 的一个鲜为人知的秘密》
  • Charlie Eriksen (Aikido): 《隐形 Unicode 恶意软件再次袭击 OpenVSX》
  • Christine Barry (Barracuda): 《Nitrogen 勒索软件:从分阶段加载器到全面勒索》
  • Victor Vrabie (Bitdefender): 《卷曲的 COMrades:通过隐藏的 Hyper-V 虚拟机进行规避和持久化》
  • Brian Krebs (‘Krebs on Security’): 《据称的 Jabber Zeus 编码者 ‘MrICQ’ 在美国被拘留》
  • Cloudflare 将 Aisuru 僵尸网络从顶级域名列表中清除
  • Campaign and public sector information security: 《危险的 PDF 程序》
  • CERT-AGID:
    • 《针对意大利银行的网络钓鱼活动正在进行中》
    • 《针对 AdE 的网络钓鱼:虚假的“加密货币纳税申报表”》
    • 《11月1日至7日恶意活动摘要》
    • 《通过 GLS 主题 ClickFix 活动在意大利传播的 Remcos RAT 分析》
  • Check Point:
    • 《11月3日 – 威胁情报报告》
    • 《在速度上击败 XLoader:生成式 AI 作为逆向工程的效能倍增器》
    • 《利用 Microsoft Teams:曝光的冒充和欺骗漏洞》
  • Max Gannon (Cofense): 《国际威胁 – 区域网络钓鱼活动中使用的感染 URL》
  • David Burkett (Corelight): 《使用 PEAK 框架揭露 Salt Typhoon | Corelight》
  • Crowdstrike: 《CrowdStrike 2025 年欧洲威胁态势报告:勒索增加,国家活动加剧》
  • Cyberbit: 《Scattered Spider、LAPSUS$ 和 ShinyHunters 联合组成混乱的网络犯罪合并》
  • Cyfirma: 《每周情报报告 – 2025年11月7日》
  • Darktrace: 《追踪巨龙:使用 Darktrace 调查与 DragonForce 相关的勒索软件攻击》
  • Tesnim Hamdouni, Ian Kretz, Sebastian Obregoso (Datadog Security Labs): 《MUT-4831:被木马化的 npm 包分发 Vidar 信息窃取恶意软件》
  • DebugPrivilege:
    • 《您上次修补域控制器是什么时候?》
    • 《从供应商到 ESC1》
  • Burak Karaduman (Detect FYI): 《代理检测创建:从 Sigma 到 Splunk 规则(或任何平台)》
  • Disconinja: 《每周威胁基础设施调查(第44周)》
  • Erik Hjelmvik (Netresec): 《优化 IOC 保留时间》
  • FalconFeeds:
    • 《全球卡片生态系统:现代金融欺诈和地下基础设施的威胁情报概况(2024-2025展望)》
    • 《泄露迷雾:虚假泄密声明和模仿者如何混淆归因》
    • 《恶意软件多语言:语言线索如何揭示威胁组织的起源和目标》
    • 《隐形战争:APT组织如何在不上头条的情况下运作》
    • 《网络犯罪卡特尔崛起:我们是否正进入有组织数字犯罪的新时代?》
    • 《规避的顶点:分析窃密软件即服务的分散化、人工智能和恶意演变(2025年10月)》
    • 《网络犯罪剧本:威胁行为者如何相互学习——TTP 融合和 CTI 追踪技巧分析》
    • 《当恶意软件成为营销手段:勒索软件组织如何利用公关进行恐吓》
    • 《全球贸易面临的混合威胁:对港口和海运路线的网络攻击激增》
    • 《全球数字前线:政府网络事件分析,2024年10月–2025年9月》
  • Flashpoint: 《LockBit 5.0 分析:对 RaaS 巨头最新升级的技术深入探讨》
  • g0njxa: 《接近窃密软件开发人员:与 AURA 的简短访谈》
  • Google Cloud Threat Intelligence:
    • 《为即将到来的威胁做准备:2026年网络安全预测》
    • 《GTIG AI 威胁追踪器:威胁行为者使用 AI 工具的进展》
  • GreyNoise: 《PHP 加密货币挖矿活动:2025年10月/11月》
  • Group-IB: 《/proc 中的幽灵:操作和时间线损坏》
  • HackTheBox:
    • 《BianLian 的静默入侵:1个漏洞如何攻击新日铁的供应链》
    • 《Brickstorm 入侵:UNC5221 为期 12 个月的间谍活动剖析》
    • 《逃离 Scattered Spider 的网络:我们深入研究的 6 个要点》
  • Hudson Rock: 《日经新闻遭入侵:信息窃取感染允许访问超过 1.7 万名员工的 Slack 聊天记录》
  • Anna Pham (Huntress): 《Gootloader | 威胁检测概述》
  • Jeffrey Bellny (CatchingPhish): 《通过钓鱼模拟工具进行网络钓鱼》
  • Yuma Masubuchi (JPCERT/CC): 《关于威胁组织 APT-C-60 攻击的最新情况》
  • Kevin Beaumont (DoublePulsar): 《CyberSlop – 遇见新的威胁行为者、MIT 和 Safe Security》
  • Kostas: 《DetectionStream:介绍 Sigma 培训平台》
  • Kroll: 《Kroll 对话:会见 DFIR 专家》
  • LevelBlue:
    • 《SpiderLabs 勒索软件追踪器 2025年10月更新:Qlin 加强攻击》
    • 《剖析和理解 APT 威胁组织活动》
  • Natto Thoughts: 《一位研究员敲门,给中国上了一课:如何管理漏洞和研究》
  • Oleg Skulkin (‘Know Your Adversary’):
    • 《306. 对手修改注册表以启用远程调试》
    • 《307. 狩猎 Tar 滥用》
    • 《308. 对手滥用 OpenAI Assistants API》
    • 《309. 对手使用隐藏的 Hyper-V 虚拟机》
    • 《310. 对手持续滥用不常见的 RMM》
    • 《311. 狩猎 MSBuild 滥用》
    • 《312. 狩猎 Certutil 滥用》
    • 《313. 真实的对手如何滥用 PowerShell 进行发现》
  • Picus Security:
    • 《剖析 ValleyRAT:从加载器到 RAT 执行的目标性活动》
    • 《UNC6384 的 2025 年 PlugX 活动解析》
    • 《Gossamer Bear APT:Windows 终端活动解析》
    • 《Prophet Spider 威胁行为者解析》
    • 《多平台 VanHelsing 勒索软件 (RaaS) 分析》
  • Proofpoint:
    • 《远程访问,真实货物:网络犯罪分子瞄准卡车运输和物流》
    • 《交叉线路:伊朗间谍活动和归因案例研究》
  • Dan Green (Push Security): 《最先进的 ClickFix?》
  • Qi An Xin Threat Intelligence Center: 《南星行动:针对国产手机的 0day 间谍活动》
  • Recorded Future:
    • 《使用实时数据进行勒索软件检测 | Recorded Future》
    • 《恶意基础设施在 aurologic GmbH 找到稳定性》
  • Susannah Clark Matt (Red Canary): 《防御者网络钓鱼指南》
  • Vladimir Pezo (ReversingLabs): 《PowerShell Gallery 如何简化攻击》
  • Rohan Karnkoti: 《中间代码:IR 简介》
  • SANS 互联网风暴中心:
    • 《扫描端口 8530/8531 (TCP)。可能与 WSUS 漏洞 CVE-2025-59287 相关,(11月2日,周日)》
    • 《XWiki SolrSearch 利用尝试 (CVE-2025-24893) 链接到芝加哥帮派/说唱歌手,(11月3日,周一)》
    • 《域名 API 更新,(11月5日,周三)》
    • 《二进制面包屑:使用 PowerShell 将恶意软件样本与蜜罐日志关联 [访客日记],(11月5日,周三)》
    • 《蜜罐:对(代码)仓库的请求,(11月8日,周六)》
  • John Tuckner (Secure Annex): 《RansomVibing 出现在 VS Code 扩展中》
  • Security Alliance: 《从朝鲜 IT 工作者到 IT 招聘人员》
  • Sekoia: 《针对 Booking.com 酒店和客户的“我付了两次钱”网络钓鱼活动》
  • Subhajeet Singha (Seqrite): 《躲猫猫行动:Silent Lynx APT 缓慢转向杜尚别》
  • Shantaciak: 《构建逻辑》
  • Sky Blueteam: 《分析 sudo CVE-2025-32463 的不安全 chroot 行为》
  • SOCRadar: 《Bulwark:解包重新定义恶意软件规避的打包器》
  • Ross McKerchar, Rafe Pilling, Sarah Kern, Angela Gunn, Jane Adams, Mindi McDowell, Ryan Westman (Sophos): 《检测欺诈性朝鲜雇佣:CISO 行动手册》
  • Symantec Enterprise: 《与中国相关的行为者持续关注影响美国政策的组织》
  • System Weakness:
    • 《窥视恶意软件工具箱:REMnux 简介》
    • 《勒索软件 101:这些数字劫匪如何工作以及为什么备份是您最好的盾牌 ️》
    • 《从告警到行动:SOC 分析师使用 Elastic 进行分流指南 ️》
    • 《使用 Elastic 进行告警分流 – TryHackMe》
    • 《入侵与否:恶意软件的三位一体》
    • 《[ SOC 告警 => Lumma 窃密软件 – 通过 Click Fix 钓鱼进行 DLL 侧加载 ] 作者 LetsDefend / EventID…》
    • 《从噪声到信号:SOC 分析师在 Splunk 中进行告警分流指南》
  • Ryan G. Cox (The Cybersec Café): 《DataDog 中的检测即代码(第二部分):我如何测试检测》
  • The Raven File: 《CLOP 勒索软件:网络剖析》
  • THOR Collective Dispatch:
    • 《Ask-a-Thrunt3r:2025年10月 Logtoberfest 版》
    • 《超越指标狩猎 – 第 2 部分》
  • Jack Wigley, Jason Trapp, Trevor Tucker (Triskele Labs): 《威胁行为者使用 Python 窃取您的收件箱》
  • Trustwave SpiderLabs:
    • 《分散的 LAPSUS$ 猎人:一个联合网络犯罪品牌剖析》
    • 《猫已出袋:通过 MAD-CAT 进行“喵攻击”数据损坏活动模拟》
  • Ugur Koc, Bert-Jan Pals (Kusto Insights): 《Kusto Insights – 十月更新》
  • Kenneth Kinion (Valdin): 《使用 Valdin 查找相关的虚假“DMCA 下架”域名》
  • Alexandra Martin (VirusTotal): 《十一月是搜索月:通过 #MonthOfVTSearch 探索、学习和分享》
  • VMRay: 《如何将 Defender & Sentinel 告警转化为可操作的威胁情报》
  • WeLiveSecurity:
    • 《分享即恐吓:您未曾察觉的 WhatsApp 屏幕共享骗局》
    • 《ESET APT 活动报告 2025年第二季度–第三季度》
  • Блог Solar 4RAYS: 《俄罗斯的 Erudite Mogwai 网络钓鱼活动》
  • Palo Alto Networks:
    • 《在了解敌人之前了解自己:以资产管理为代价的威胁情报》
    • 《LANDFALL:针对三星设备的漏洞链中新出现的商业级 Android 间谍软件》

恶意软件

  • ASEC: 《百发百中的长矛:Cephalus 勒索软件分析》
  • Kacper Ratajczak (CERT Polska): 《NGate 恶意软件活动分析(NFC 中继)》
  • Cybereason: 《Tycoon 2FA 网络钓鱼工具包分析》
  • Dr. Web: 《Cavalry Werewolf 黑客组织攻击俄罗斯国家机构》
  • Microsoft Security:
    • 《SesameOp:使用 OpenAI Assistants API 进行命令和控制的新型后门》
    • 《​​Whisper 泄露:针对远程语言模型的新型侧信道攻击》
  • Ovi Liber: 《新 Kimsuky 恶意软件“EndClient RAT”:首次技术报告和 IOC》
  • Pulsedive: 《剖析感染链:Kimsuky JavaScript 投放器的技术分析》
  • Shikha Sangwan (Securonix): 《CHAMELEON#NET:利用反射加载和自定义解密进行隐秘操作的多阶段 .NET 恶意软件深度剖析》
  • Shubho57: 《Ares RAT 分析 (elf 文件)》
  • Kush Pandya (Socket): 《9 个恶意 NuGet 包分发具有时间延迟的破坏性载荷》
  • Ben Martin (Sucuri): 《Slot Gacor:在线赌场垃圾邮件的兴起》
  • Quentin Roland (Synacktiv): 《看不见的站点:枚举和攻击 Active Directory 站点》
  • Bernardo.Quintero (VirusTotal): 《大规模逆向工程:针对 Apple 二进制文件的 AI 驱动的恶意软件检测》
  • István Márton (Wordfence): 《400,000 个 WordPress 站点受 Post SMTP WordPress 插件中的帐户接管漏洞影响》
  • Zhassulan Zhussupov: 《恶意软件开发技巧 54:通过合法的 Angelcam API 窃取数据。简单的 C 语言示例。》
  • Will Seaton, Viral Gandhi, Himanshu Sharma, Yesenia Barajas (Zscaler): 《行业攻击激增,移动恶意软件扩散:ThreatLabz 2025 年移动、物联网和 OT 报告》
  • Шифровальщики-вымогатели The Digest “Crypto-Ransomware”: 《Monkey》

即将举行的活动

  • Black Hills Information Security: 《Talkin’ Bout [infosec] News 2025-11-10 #infosec #news》
  • Cqure Academy: 《现场网络研讨会 检测和防御威胁的十大技巧》
  • Cybersecurity Mentors Podcast: 《深入 Mandiant:Charles Carmakal 在全球网络战前线 | CMP S5 E5》
  • Huntress: 《与 Kyle Hanslovan 一起现场入侵 Microsoft 365》
  • Huntress: 《技巧星期二 | 最可疑的捕获:回顾(并展望)网络钓鱼策略》
  • Magnet Forensics: 《AI 解密 #6:您想知道的一切——以及您不害怕询问的》
  • Spur: 《Spur Relay — 2025 年第四季度:新代理威胁、SDK 滥用和检测》

演示/播客

  • Hexordia: 《数据中的真相:EP17:数字取证的演变:未来的数字侦探》
  • Adversary Universe Podcast: 《勒索加剧和国家活动加强:CrowdStrike 2025 年欧洲威胁态势报告》
  • Anuj Soni: 《正确设置您的恶意软件分析实验室》
  • Behind the Binary by Google Cloud Security: 《EP18 10,000 个 DLL 和太多数学——与 FLARE 团队一起总结 FLARE-On 12》
  • Cellebrite: 《技巧星期二:2025 年 CTF 圆满结束》
  • Chainalysis: 《FBI 的雇凶谋杀加密货币调查:播客第 173 集》
  • Cloud Security Podcast by Google: 《EP250 “收集一切”的终结?从集中化转向数据访问?》
  • Compass Security: 《Windows 访问令牌 – 从身份验证到利用》
  • Endace: 《数据包取证档案,第 64 集,与 Steve Fink 探讨构建有效且有弹性的 SOC》
  • Flare: 《身份攻击:剖析 2025 年微软数字防御报告》
  • John Hammond:
    • 《Windows 批处理恶意软件分析!》
    • 《虚假 DMCA 恶意软件骗局》
  • Logzio: 《使用 Logz.io 调查 SIEM 事件》
  • Magnet Forensics:
    • 《法律解密 E2:超越应用图标:起草反映数据真实存储方式的移动设备搜查令》
    • 《更智能的移动调查:当今取证服务提供商的工具》
  • Microsoft Threat Intelligence Podcast: 《超越安全领域的人工智能炒作:网络防御中真正重要的是什么》
  • MITRE: 《ATT&CKcon 6.0》
  • Monolith Forensics: 《在 Monolith 中为用户分配案件》
  • MSAB: 《#MSABMonday – XAMN Pro 导出选项》
  • MyDFIR:
    • 《真实的 SOC 分析师调查 | 电子邮件网络钓鱼 | MYDFIR SOC 社区》
    • 《从教师到网络安全:Nigel 如何转向 SOC 职业》
  • OALabs: 《IDA Free 逆向工程 – 分步 EXE 分析》
  • Paraben Corporation:
    • 《将 Passware 设备解锁导入 E3》
    • 《在 E3 中捕获和审查 Steam 数据》
    • 《Zandra AI 处理内存转储中的数据》
  • Parsing the Truth: One Byte at a Time: 《数字取证 25 年的动荡》
  • Permiso Security:
    • 《Permiso 的 AI 安全功能概述 – 识别 AI 用户、构建者和代理》
    • 《Permiso 如何识别 AI 暴露》
    • 《为任何身份识别 AI 用户、构建者和代理》
    • 《Permiso 如何为 AI 用户、构建者和代理的身份创建徽章》
  • Proofpoint: 《选举更多黑客:现实世界变革的技术技能》
  • Richard Bejtlich (TaoSecurity): 《我正在主持一个新播客》
  • Sandfly Security: 《Linux 隐形 rootkit 狩猎视频演示》
  • SANS: 《现代威胁如何重新定义防御规则 – 与 Paul Chichester 一起》
  • Security Onion: 《Security Onion 会议 2025 年录像现已上线!》
  • SentinelOne: 《LABScon25 回放 | 野外出现的 LLM 驱动的恶意软件》
  • Studio d’Informatica Forense: 《罗马 MSAB 网络取证和数字调查研讨会》
  • Sumuri:
    • 《TALINO Talk 第 18 集》
    • 《如何为 SUMURI Gives Back 2025 提名执法机构》
  • THE Security Insights Show: 《THE Security Insights Show 第 279 集:Security Copilot 更新》
  • The Weekly Purple Team: 《CVE-2025-59287:对关键 WSUS RCE 漏洞进行紫队测试》
  • Uriel Kosayev: 《仅限严肃人士 – MAoS – 类固醇上的恶意软件分析》

杂项

  • Ahmed K. Ali: 《使用 CH341A 编程器提取和刷新硬盘 PCB 固件》
  • Belkasoft: 《使用 Belkasoft X 生成 DFIR 报告》
  • Brett Shavers: 《撕下 DF/IR 的创可贴》
  • Cellebrite: 《AI 优势:自信地管理调查》
  • Decrypting a Defense: 《城市开始放弃 Flock,纽约警察局摄像头诉讼,CSAM 和私人搜查原则,证人社交媒体 OSINT 介绍等》
  • Josibel Mendoza (DFIR Dominican): 《DFIR 职位更新 – 2025/11/03》
  • DomainTools Investigations: 《防火墙内部第二部:技术基础设施》
  • Forensic Focus:
    • 《导航数字调查的下一个时代:领导力视角》
    • 《GMDSOFT MD-Series Q3 发布说明亮点》
    • 《Carol Brooks,网络心理学家,Platinum 3P》
    • 《数字取证综述,2025年11月05日》
    • 《国家层面的 DFI 福祉:为何生活经验必须塑造政策》
    • 《Forensic Focus 文摘,2025年11月07日》
  • HackTheBox:
    • 《新的 HTB Academy:为学习者打造,由您的反馈驱动》
    • 《停止告警过载:如何像真正受到攻击一样进行训练》
  • Howard Oakley (‘The Eclectic Light Company’): 《统一日志内部第 7 部分:Claude 诊断日志》
  • Kevin Pagano (Stark 4N6): 《取证 StartMe 更新(2025年11月)》
  • Oxygen Forensics: 《解锁远程数据收集的实际投资回报率》
  • Security Onion: 《Security Onion 文档印刷书现已更新至 Security Onion 2.4.190!》
  • Cameron Paddy (Triskele Labs): 《独立网络调查的需求》
  • Vxdb: 《地下 Minecraft 帐户市场》

软件更新

  • Airbus Cybersecurity: 《IRIS-Web v2.4.24》
  • Brian Maloney: 《OneDrive 更新》
  • Didier Stevens: 《更新:cs-parse-traffic.py 版本 0.0.6》
  • Digital Sleuth: 《winfor-salt v2025.13.3》
  • Doug Metz (Baker Street Forensics): 《CyberPipe v5.3:增强的 PowerShell 兼容性和可靠性》
  • Elcomsoft: 《iOS Forensic Toolkit 8.81 增加了对 iOS 17 和 18 的 checkm8 提取支持》
  • Microsoft: 《msticpy – 针对 API 变更的 Defender 数据提供程序更新》
  • MISP: 《MISP v2.5.24 – 安全和稳定性更新》
  • MobilEdit: 《新版本:MOBILedit Forensic 9.7 — Exynos 绕过、多用户 Android 分析等更多功能!》
  • Phil Harvey: 《ExifTool 13.41》
  • Xways:
    • 《查看器组件》
    • 《X-Ways Forensics 21.5 SR-10》
    • 《X-Ways Forensics 21.6 SR-2》
    • 《X-Ways Forensics 21.7 预览版 2》

本周内容到此结束!如果您认为我遗漏了什么,或者希望我特别报道某些内容,请通过联系页面或社交媒体联系我!

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次