2025年第45周数字取证与应急响应技术周报：云存储取证、勒索软件分析与威胁狩猎

赞助内容：Salesloft-Drift入侵事件分析

在本期节目中，Permiso公司的首席技术官将探讨：

攻击者如何利用被盗的OAuth令牌，从GitHub转移到AWS，再进入Salesforce。
为何这次“全机器”攻击为SaaS供应链和NHI（非人类身份）敲响了警钟。
在您自身环境中检测和遏制类似威胁的实用步骤。观看视频播客 本部分由Permiso赞助

一如既往，感谢那些给予支持的回馈者们！

取证分析

Akash Patel: 掌握云存储取证技术：Google Drive、OneDrive、Dropbox和Box的调查方法。
Andrew Malec: LUKS、hashcat与隐藏卷。
Christian Peter: “过去之事，现在之事，未来可能之事——ALEX现已发布！”
Christopher Eng at Ogmini: BelkaGPT——数字取证与应急响应中有效的人工智能应用 | 使用开源工具 | 尝试ALEX——Android逻辑提取器。
Oleg Afonin at Elcomsoft: 探索iPadOS、tvOS和audioOS 17及18设备：文件系统和钥匙串提取。
Forensafe: Android应用使用历史。
Iram Jack: 取证镜像 | Autopsy | 磁盘过滤 | ExfilNode。
Mattia Epifani at Zena Forensics: 超越已知：呼吁对三星Android设备痕迹进行取证研究。
Tasos Chatziefstratiou: IIS用户访问日志。
Dante Fazio at The Metadata Perspective: 元数据的重要性：法庭上的相机原始照片与截图。

威胁情报/狩猎

❀✵Gootloader 详情 ✵❀: Gootloader卷土重来。
Adam at Hexacorn: cliconfg.exe的一个鲜为人知的秘密。
Charlie Eriksen at Aikido: 隐形Unicode恶意软件再次袭击OpenVSX。
Christine Barry at Barracuda: Nitrogen勒索软件：从分阶段加载器到全面勒索。
Victor Vrabie at Bitdefender: Curly COMrades：通过隐藏的Hyper-V虚拟机进行规避和持久化。
Brian Krebs at ‘Krebs on Security’: 涉嫌Jabber Zeus编码者‘MrICQ’在美国被拘留 | Cloudflare从顶级域名列表中清除Aisuru僵尸网络。
CERT-AGID: 针对意大利银行的网络钓鱼活动正在进行中 | 针对AdE的网络钓鱼：虚假“加密货币税务申报” | 11月1日至7日恶意活动周汇总 | 针对意大利通过GLS主题ClickFix活动传播的Remcos RAT分析。
Check Point: 11月3日——威胁情报报告 | 在速度上击败XLoader：生成式AI作为逆向工程的力倍增器 | 利用Microsoft Teams：暴露的冒充与欺骗漏洞。
Max Gannon at Cofense: 国际威胁——区域网络钓鱼活动中使用的感染URL。
David Burkett at Corelight: 使用PEAK框架揭露Salt Typhoon。
Crowdstrike: CrowdStrike 2025年欧洲威胁格局报告：勒索加剧，国家资助活动升级。
Cyberbit: Scattered Spider、LAPSUS$和ShinyHunters联合组成混乱的网络犯罪合并体。
Cyfirma: 每周情报报告——2025年11月7日。
Darktrace: 追踪恶龙：使用Darktrace调查与DragonForce相关的勒索软件攻击。
Tesnim Hamdouni, Ian Kretz, and Sebastian Obregoso at Datadog Security Labs: MUT-4831：被篡改的npm包投递Vidar信息窃取恶意软件。
DebugPrivilege: 您上次修补域控制器是什么时候？| 从供应商到ESC1。
Burak Karaduman at Detect FYI: 代理式检测创建：从Sigma到Splunk规则（或任何平台）。
Disconinja: 每周威胁基础设施调查（第44周）。
Erik Hjelmvik at Netresec: 优化IOC留存时间。
FalconFeeds: 全球信用卡盗刷生态系统：现代金融欺诈与地下基础设施威胁情报剖析（2024-2025展望）| 泄露的迷雾：虚假泄露声明和模仿者如何混淆归因 | 恶意软件的多语言性：语言线索如何揭示威胁组织的起源和目标 | 隐形战争：APT组织如何在不引起头条新闻的情况下运作 | 网络犯罪卡特尔崛起：我们是否正进入有组织数字犯罪的新时代？| 规避技术的顶峰：分析窃密软件即服务生态系统的去中心化、AI和恶意演化（2025年10月）| 网络犯罪剧本：威胁行为者如何相互学习——TTP趋同与CTI溯源分析 | 当恶意软件成为营销：勒索软件组织如何利用公关进行恐吓 | 对全球贸易的混合威胁：针对港口和海上航线的网络攻击激增 | 全球数字前线：政府网络事件分析，2024年10月–2025年9月。
Flashpoint: LockBit 5.0分析：对勒索软件即服务巨头最新升级版的技术深度研究。
g0njxa: 接触窃密软件开发者：与AURA的简短访谈。
Google Cloud Threat Intelligence: 为即将到来的威胁做准备：2026年网络安全预测 | GTI AI威胁追踪器：威胁行为者使用AI工具的进展。
GreyNoise: PHP加密挖矿活动：2025年10月/11月。
Group-IB: /proc中的幽灵：操纵与时间线破坏。
HackTheBox: BianLian的无声入侵：一个漏洞如何击中日本制铁的供应链 | Brickstorm入侵剖析：UNC5221长达12个月的间谍活动解析 | 逃离Scattered Spider的网：我们深度研究的6个要点。
Hudson Rock: 日经新闻遭入侵：信息窃取者感染导致超过1.7万名员工的Slack聊天记录被访问。
Anna Pham at Huntress: Gootloader | 威胁检测概述。
Jeffrey Bellny at CatchingPhish: 通过网络钓鱼模拟工具进行的网络钓鱼。
Yuma Masubuchi at JPCERT/CC: 威胁组织APT-C-60攻击活动更新。
Kevin Beaumont at DoublePulsar: CyberSlop——认识新的威胁行为者，麻省理工学院与安全公司。
Kostas: DetectionStream：介绍Sigma培训平台。
Kroll: Kroll对话：认识数字取证与应急响应专家。
LevelBlue: SpiderLabs勒索软件追踪器2025年10月更新：Qlin加倍攻击力度 | 剖析与理解APT威胁组织活动。
Natto Thoughts: 一位研究员敲门，给中国上了一堂如何管理漏洞和研究者的课。
Oleg Skulkin at ‘Know Your Adversary’: 306. 对手修改注册表以启用远程调试 | 307. 搜寻Tar滥用 | 308. 对手滥用OpenAI Assistants API | 309. 对手使用隐藏的Hyper-V虚拟机 | 310. 对手持续滥用不常见的RMM | 311. 搜寻MSBuild滥用 | 312. 搜寻Certutil滥用 | 313. 真实对手如何滥用PowerShell进行侦察。
Picus Security: 剖析ValleyRAT：从加载器到RAT在定向攻击中的执行 | UNC6384的2025年PlugX活动解析 | Gossamer Bear APT：Windows端点活动解析 | Prophet Spider威胁行为者解析 | 多平台VanHelsing勒索软件分析。
Proofpoint: 远程访问，真实货物：针对卡车运输和物流的网络犯罪 | 交叉线路：伊朗间谍活动和归因案例分析。
Dan Green at Push Security: 迄今为止最先进的ClickFix？
Qi An Xin Threat Intelligence Center: 南星行动：针对国产手机的0day间谍活动。
Recorded Future: 使用实时数据进行勒索软件检测 | 恶意基础设施在aurologic GmbH找到稳定性。
Susannah Clark Matt at Red Canary: 防御者的网络钓鱼指南。
Vladimir Pezo at ReversingLabs: PowerShell Gallery如何简化攻击。
Rohan Karnkoti: 中间代码：红外技术简介。
SANS Internet Storm Center: 扫描端口8530/8531。可能与WSUS漏洞CVE-2025-59287相关 | XWiki SolrSearch漏洞利用尝试，链接指向芝加哥帮派/说唱歌手 | Domainname API更新 | 二进制线索：使用PowerShell将恶意软件样本与蜜罐日志关联 | 蜜罐：对（代码）仓库的请求。
John Tuckner at Secure Annex: RansomVibing出现在VS Code扩展中。
Security Alliance: 从朝鲜IT工作者到IT招聘人员。
Sekoia: “我付了两次款”网络钓鱼活动针对Booking.com酒店和客户。
Subhajeet Singha at Seqrite: Peek-a-Baku行动：Silent Lynx APT缓慢转向杜尚别。
Shantaciak: 构建逻辑。
Sky Blueteam: 分析sudo CVE-2025-32463的不安全chroot行为。
SOCRadar: Bulwark：解包重新定义恶意软件规避的打包器。
Ross McKerchar, Rafe Pilling, Sarah Kern, Angela Gunn, Jane Adams, Mindi McDowell, and Ryan Westman at Sophos: 检测欺诈性的朝鲜招聘者：CISO行动手册。
Symantec Enterprise: 与中国有关联的行为者持续关注影响美国政策的组织。
System Weakness: 窥探恶意软件的工具箱：REMnux简介 | 勒索软件101：这些数字劫匪如何工作以及为什么备份是您最好的盾牌 | 从警报到行动：SOC分析师使用Elastic进行事件分类的指南 | 使用Elastic进行警报分类 | 黑客与否：恶意软件的不祥三位一体 | [SOC警报 => Lumma窃密者——通过ClickFix网络钓鱼进行DLL旁加载] | 从噪音到信号：SOC分析师在Splunk中进行警报分类的指南。
Ryan G. Cox at The Cybersec Café: 在DataDog中将检测即代码化：我如何测试检测规则。
The Raven File: CLOP勒索软件：网络剖析。
THOR Collective Dispatch: Ask-a-Thrunt3r: 2025年10月Logtoberfest版 | 超越指标狩猎——第二部分。
Jack Wigley, Jason Trapp and Trevor Tucker at Triskele Labs: 威胁行为者使用Python窃取您的收件箱。
Trustwave SpiderLabs: Scattered LAPSUS$ Hunters：一个联合网络犯罪品牌剖析 | 猫已出袋：通过MAD-CAT模拟“喵喵攻击”数据破坏活动。
Ugur Koc and Bert-Jan Pals at Kusto Insights: Kusto Insights – 2025年10月更新。
Kenneth Kinion at Valdin: 使用Validin查找相关的虚假“DMCA下架”域名。
Alexandra Martin at VirusTotal: 十一月是搜索月：使用#MonthOfVTSearch探索、学习和分享。
VMRay: 如何将Defender和Sentinel警报转化为可操作的威胁情报。
WeLiveSecurity: 分享即恐吓：您未曾预见的WhatsApp屏幕共享骗局 | ESET APT活动报告2025年第二季度至第三季度。
Блог Solar 4RAYS: 俄罗斯的Erudite Mogwai网络钓鱼活动。
Palo Alto Networks: 知彼先知己：以资产管理为代价的威胁情报 | LANDFALL：针对三星设备的漏洞利用链中的新型商业级Android间谍软件。

即将举行的活动

Black Hills Information Security: Talkin’ Bout [infosec] News 2025-11-10。
Cqure Academy: 实时网络研讨会 检测和防御威胁的十大技术。
Cybersecurity Mentors Podcast: Inside Mandiant: Charles Carmakal on the Front Lines of Global Cyber Warfare。
Huntress: Live Hacking Into Microsoft 365 with Kyle Hanslovan | Tradecraft Tuesday | Shadiest Catch: Looking Back (And Forward) at Phishing Tactics。
Magnet Forensics: AI Unpacked #6: Everything you wanted to know—and weren’t afraid to ask。
Spur: The Spur Relay — Q4 2025: New Proxy Threats, SDK Abuse & Detection。

演示文稿/播客

Hexordia: Truth in Data: EP17: The Changing Role of Digital Forensics: The Digital Detective of the Future。
Adversary Universe Podcast: Extortion Rises and Nation-State Activity Intensifies: The CrowdStrike 2025 European Threat Landscape Report。
Anuj Soni: Set Up Your Malware Analysis Lab the Right Way。
Behind the Binary by Google Cloud Security: EP18 10,000 DLLs and Too Much Math – Wrapping Up FLARE-On 12 with the FLARE Team。
Cellebrite: Tip Tuesday: That’s a Wrap on the 2025 CTF。
Chainalysis: FBI’s Murder-For-Hire Crypto Investigation: Podcast Ep. 173。
Cloud Security Podcast by Google: EP250 The End of “Collect Everything”? Moving from Centralization to Data Access?
Compass Security: Windows Access Tokens – From Authentication to Exploitation。
Endace: The Packet Forensic Files, Ep 64 with Steve Fink about building effective and resilient SOCs。
Flare: Attack on Identity: Dissecting the 2025 Microsoft Digital Defense Report。
John Hammond: Window Batch Malware Analysis! | Fake DMCA MALWARE Scam。
Logzio: Investigating SIEM Incidents with Logz.io。
Magnet Forensics: Legal Unpacked E2: Beyond the app icon: Drafting mobile device warrants that reflect how data is really stored | Smarter mobile investigations: Tools for today’s forensic service providers。
Microsoft Threat Intelligence Podcast: Beyond AI for Security Hype: What Really Matters in Cyber Defense。
MITRE: ATT&CKcon 6.0。
Monolith Forensics: Assigning Users to a Case in Monolith。
MSAB: #MSABMonday – XAMN Pro Exporting Options。
MyDFIR: REAL SOC Analyst Investigation | Email Phishing | MYDFIR SOC Community | From Teacher to Cybersecurity: How Nigel Is Pivoting Toward a SOC Career。
OALabs: IDA Free Reverse Engineering – Step-by-Step EXE Analysis。
Paraben Corporation: Import Passware Device Unlocks into E3 | Capturing and Reviewing Steam Data in E3 | Zandra AI Processing data in a Memory Dump。
Parsing the Truth: One Byte at a Time: 25 Years of Turmoil in Digital Forensics。
Permiso Security: Overview of Permiso’s AI security capabilities – identifying AI users, builders and agents | How Permiso identifies AI exposures | Identifying AI users, builders and agents for any identity | How Permiso creates badges for identities that are AI users, builders and agents。
Proofpoint: Elect More Hackers: Tech Skills for Real-World Change。
Richard Bejtlich at TaoSecurity: I’m Hosting a New Podcast。
Sandfly Security: Linux Stealth Rootkit Hunting Video Presentation。
SANS: How Modern Threats Are Redefining the Rules of Defense with Paul Chichester。
Security Onion: Security Onion Conference 2025 Recordings Now Available!
SentinelOne: LABScon25 Replay | LLM-Enabled Malware In the Wild。
Studio d’Informatica Forense: Workshop su Web Forensics e Indagini Digitali per MSAB a Roma。
Sumuri: TALINO Talk Episode 18 | How to Nominate a Law Enforcement Agency for SUMURI Gives Back 2025。
THE Security Insights Show: THE Security Insights Show Episode 279: Security Copilot Updates。
The Weekly Purple Team: CVE-2025-59287: Purple Teaming the Critical WSUS RCE Vulnerability。
Uriel Kosayev: For serious people only – MAoS – Malware Analysis on Steroids。

恶意软件

ASEC: 精准之矛：Cephalus勒索软件分析。
Kacper Ratajczak at CERT Polska: NGate恶意软件活动分析。
Cybereason: Tycoon 2FA网络钓鱼工具包分析。
Dr. Web: Cavalry Werewolf黑客组织攻击俄罗斯国家机构。
Microsoft Security: SesameOp: 新型后门利用OpenAI Assistants API进行命令与控制 | Whisper Leak: 针对远程语言模型的新型侧信道攻击。
Ovi Liber: 新的Kimsuky恶意软件“EndClient RAT”：首次技术报告和IOCs。
Pulsedive: 剖析感染链：Kimsuky JavaScript投放器的技术分析。
Shikha Sangwan at Securonix: CHAMELEON#NET: 深入探究利用反射加载和自定义加密进行隐蔽操作的多阶段.NET恶意软件。
Shubho57: Ares RAT分析。
Kush Pandya at Socket: 9个恶意NuGet包投递具有时间延迟的破坏性载荷。
Ben Martin at Sucuri: Slot Gacor: 在线赌场垃圾邮件的兴起。
Quentin Roland at Synacktiv: Site Unseen: 枚举和攻击Active Directory站点。
Bernardo.Quintero at VirusTotal: 大规模逆向工程：针对苹果二进制的AI驱动恶意软件检测。
István Márton at Wordfence: 40万个WordPress站点受Post SMTP插件账户接管漏洞影响。
Zhassulan Zhussupov: 恶意软件开发技巧54：通过合法的Angelcam API窃取数据。简单的C语言示例。
Will Seaton, Viral Gandhi, Himanshu Sharma, and Yesenia Barajas at Zscaler: 行业攻击激增，移动恶意软件扩散：ThreatLabz 2025年移动、物联网与OT报告。
Шифровальщики-вымогатели The Digest “Crypto-Ransomware”: Monkey。

其他

Ahmed K. Ali: 使用CH341A编程器提取和刷新硬盘PCB固件。
Belkasoft: 使用Belkasoft X生成数字取证与应急响应报告。
Brett Shavers: 撕下数字取证/事件响应的创可贴。
Cellebrite: AI优势：自信地管理调查。
Decrypting a Defense: 城市开始弃用Flock，纽约警察局摄像头诉讼，儿童性侵材料与私人搜查原则，针对证人社交媒体的开源情报介绍等。
Josibel Mendoza at DFIR Dominican: 数字取证与应急响应工作更新 – 2025年11月3日。
DomainTools Investigations: 深入防火墙内部第二部分：技术基础设施。
Forensic Focus: 导航数字调查的下一个时代：思想领导力视角 | GMDSOFT MD-Series Q3发布说明亮点 | 网络心理学家Carol Brooks | 数字取证综述，2025年11月5日 | 国家级数字取证与应急响应健康：为什么生活经验必须塑造政策 | Forensic Focus文摘，2025年11月7日。
HackTheBox: 全新的HTB学院：为学习者打造，由您的反馈驱动 | 停止警报过载：如何像真正遭受攻击一样进行训练。
Howard Oakley at ‘The Eclectic Light Company’: Inside the Unified Log 7: Claude diagnoses the log。
Kevin Pagano at Stark 4N6: 取证StartMe更新（2025年11月）。
Oxygen Forensics: 解锁远程数据采集的切实投资回报率。
Security Onion: Security Onion文档印刷版现已更新至Security Onion 2.4.190！
Cameron Paddy at Triskele Labs: 独立网络调查的必要性。
Vxdb: 地下Minecraft账户市场。

软件更新

Airbus Cybersecurity: IRIS-Web v2.4.24。
Brian Maloney: OneDrive更新。
Didier Stevens: 更新：cs-parse-traffic.py 版本 0.0.6。
Digital Sleuth: winfor-salt v2025.13.3。
Doug Metz at Baker Street Forensics: CyberPipe v5.3: 增强的PowerShell兼容性和可靠性。
Elcomsoft: iOS Forensic Toolkit 8.81 新增对iOS 17和18的checkm8提取支持。
Microsoft: msticpy – 为API变更更新的Defender数据提供程序。
MISP: MISP v2.5.24 – 安全与稳定性更新。
MobilEdit: 新版本：MOBILedit Forensic 9.7 — Exynos绕过、多用户Android分析及更多功能！
Phil Harvey: ExifTool 13.41。
Xways: 查看器组件 | X-Ways Forensics 21.5 SR-10 | X-Ways Forensics 21.6 SR-2 | X-Ways Forensics 21.7 Preview 2。

本周内容就是这些！如果您认为我遗漏了什么，或者希望我专门报道某些内容，请通过联系页面或社交媒体渠道与我联系！使用代码 PM15 或点击此链接，在Hexordia课程享受15%折扣。与我一起上课！使用折扣码 thisweekin4n6 在Cyber5w的任何课程享受15%优惠。