2025年第46周数字取证与事件响应技术动态汇总

本文汇总了2025年第46周数字取证、事件响应、威胁情报和恶意软件分析等领域的技术文章与资源。内容涵盖最新攻击技术分析、取证方法、开源工具更新及安全研究报告。

Week 46 – 2025 – This Week In 4n6

本周汇总了数字取证与事件响应领域的最新动态。内容涵盖了数字取证分析、威胁情报与狩猎、恶意软件分析、相关软件更新以及行业会议和报告等多个方面。

FORENSIC ANALYSIS

  • Atola Technology: 镜像采集前的驱动器诊断技术。
  • Akash Patel: NTFS文件系统与NTFS日志记录,涉及 $I30, $MFT, $LogFile, $UsnJrnl 等不同工件;以及macOS取证:结构、持久性和调查。
  • Belkasoft: iOS Telegram取证第二部分:工件、秘密聊天、缓存和已删除消息。
  • Christopher Eng at Ogmini: 移动热点检测 – Orbic Speed RC400L – 第2部分;以及第3部分。
  • Damien Attoe: 深入Proton的保险库:发现Android Proton Drive的取证工件;以及Realm文件 – 第2卷 – 物理结构概述。
  • Elcomsoft: 不要成为卢浮宫:弱密码和未修补软件如何助长数据泄露;以及iOS版本的兼容性探讨。
  • Forensafe: Android应用程序图标。
  • Foxton Forensics: 调查Chrome历史记录快照。
  • InfoSec Write-ups: 数字取证 – Windows USB工件【内部威胁案例】。
  • Kevin Pagano at Stark 4N6: 证据库 – 一个DFIR镜像汇编。
  • Kenneth G Hartman at Lucid Truth Technologies: BitTorrent证据 – 从取证角度审视P2P调查。
  • System Weakness: 调查Windows - TryHackMe - 房间;以及NCL物联网日志分析 – CTF挑战 – 解题报告。

THREAT INTELLIGENCE/HUNTING

  • Faan Rossouw at Active Countermeasures: 狩猎痛点:痛苦金字塔。
  • Anthropic: 破坏首个被报告的AI协调的网络间谍活动。
  • AttackIQ: 勒索故事第五卷;以及模拟间谍组织SideWinder。
  • CJ Moses at AWS Security: Amazon发现利用Cisco和Citrix零日漏洞的APT组织。
  • Jade Brown at Bitdefender: Bitdefender威胁简报 | 2025年11月。
  • Brian Krebs at ‘Krebs on Security’: 深入分析美国政府对TP-Link的禁令提案;以及Google起诉以扰乱中国SMS钓鱼团伙。
  • CISA: 与合作伙伴发布关于Akira勒索软件的咨询更新;以及关于Cisco ASA和Firepower设备漏洞紧急指令的实施指南更新。
  • Chetan Raghuprasad and Michael Szeliga at Cisco’s Talos: 释放Kraken勒索软件组织。
  • Cyble: 2025年10月攻击数量飙升30%,新组织重新定义网络战场。
  • Darktrace: Vo1d僵尸网络曝光:Darktrace如何检测全球性Android威胁。
  • DebugPrivilege: 如何通过Citrix FAS和ESC3获得域管理员权限。
  • Elliptic: Elliptic的典型模式报告:破坏受制裁行为者对稳定币的使用。
  • Google Cloud Threat Intelligence: 无认证远程访问通过Triofox漏洞CVE-2025-12480;以及时间旅行调试介绍:使用.NET进程空壳化案例研究。
  • Meyta Zenis Taliti at Intellibron: 威胁狩猎目录:将Sigma检测规则付诸实践。
  • Roy Halevi at Intezer: Anthropic关于AI间谍报告对安全领导者的意义。
  • Oleg Skulkin at ‘Know Your Adversary’: 第314-320期:攻击者滥用PowerShell、CURL、Plink/Putty、AppleScript文件、JSON存储服务、Finger等进行的攻击活动。
  • Pepe Berba: macOS感染载体:使用AppleScript绕过Gatekeeper;以及脚本混淆:隐藏在命名分支中的AppleScript。
  • Proofpoint: 安全简报:VenomRAT被瓦解;以及Operation Endgame撼动Rhadamanthys。
  • Recorded Future: 威胁狩猎 vs. 威胁情报;以及介绍2025年威胁情报状态报告。
  • SANS Internet Storm Center: 每日安全日志摘要,涉及3CX用户名扫描、Formbook、SmartApeSG、Microsoft Office多层攻击、FortiWeb漏洞利用、Finger.exe & ClickFix以及SANS假日黑客挑战等。
  • Sophos: 信息窃取程序:身份攻击的无声门户 – 以及为何主动防御至关重要。
  • Splunk: NotDoor深度解析:Outlook宏及其他;以及更新的多载荷.NET隐写加载器分析。
  • VX API: 虚假的Lockbit 5.0闹剧和三层层压式勒索软件。
  • Jay Pandya at White Knight Labs: 理解云持久化:攻击者如何利用Google云函数维持访问权限。
  • Palo Alto Networks: 你以为结束了?认证胁迫攻击持续演变;以及数字分身:分析分发Gh0st RAT的冒充活动演变。

UPCOMING EVENTS

  • Black Hills Information Security: 谈论[信息安全]新闻 2025-11-17。
  • Cyber Triage: 调查中何时(及何时不)使用EDR。
  • DFRWS: DFRWS-USA 2026 征稿开始。
  • Cybersecurity Mentors Podcast: 像间谍一样思考,像黑客一样狩猎。
  • Magnet Forensics: 使用Magnet Verify保护组织免受篡改媒体的影响;数字取证和自动化如何转变联邦调查;以及从警报到答案:现代事件响应中的数字取证。

PRESENTATIONS/PODCASTS

  • Black Hills Information Security: X-Typhon – 与你父辈时代不同的中国。
  • Cloud Security Podcast by Google: EP251 超越花哨的脚本:AI红队能否发现真正新颖的攻击?
  • John Hammond: Lua信息窃取程序分析;以及2025年网络犯罪现状。
  • Magnet Forensics: 移动分钟第14集;以及AI解读第6集。
  • MyDFIR: 网络安全SOC分析员实验室;以及MyDFIR SOC社区如何帮助我做好工作准备。
  • Parsing the Truth: One Byte at a Time: 数字取证领域的25年动荡;以及25期回顾。
  • The Cyber Mentor: PSAP发布直播。
  • Three Buddy Problem: 在Countermeasures直播;以及Anthropic Claude代码自动化APT攻击。

MALWARE

  • Any.Run: ClickFix爆炸:跨平台社会工程学攻击将用户变成恶意软件安装器。
  • ASEC: 利用LogMeIn和PDQ Connect分发恶意软件的案例;以及伪装成Steam清理工具的带有合法签名的后门恶意软件分发。
  • Dr Josh Stroschein: 汇编短篇:使用PEB和InInitialiationOrderModule在内存中查找Kernel32;以及在堆栈转换后执行自定义Shellcode。
  • Elastic Security Labs: RONINGLOADER:DragonBreath滥用PPL的新途径。
  • Esentire: EVALUSION活动分发Amatera窃取程序和NetSupport RAT。
  • Thijs Xhaflaire at Jamf: Digit窃取程序:一种足迹很小的基于JXA的信息窃取程序。
  • Pieter Arntz at Malwarebytes: 打开虚假发票后陷入复古XWorm的兔子洞。
  • Snyk: NPM生态系统中与加密奖励农场骗局相关的自动包发布事件。
  • Sysdig: 狩猎反向Shell:Sysdig威胁研究团队如何构建更智能的检测规则。
  • Trend Micro: Lumma窃取程序活动增加与自适应浏览器指纹识别技术的使用相吻合。
  • YUCA: 恶意软件挑战8:逆向分析APT 37的RokRaT加载器;以及分析恶意软件中混淆API解析的API哈希和导入查找技术。

MISCELLANEOUS

  • Adam at Hexacorn: disksnapshot.exe的一个或多个小秘密。
  • Brett Shavers: 对抗官僚:如果你错过了网络研讨会,你可能正在犯自己不知道的错误。
  • Cellebrite: 数字证物是昆士兰州母亲六年寻求正义的关键。
  • Forensic Focus: 数字取证工作汇总;Cellebrite如何释放AI在数字调查中的力量;以及Amped Software开放Amped Connect U.S. 2026会议预注册。
  • Howard Oakley at ‘The Eclectic Light Company’: 解释器:.DS_Store文件。
  • Magnet Forensics: 为何数字取证成为联邦机构的关键任务。
  • OpenText: OpenText网络安全2025年全球勒索软件调查:信心上升,恢复下降。
  • OSINT Team: 每个网络安全专业人员都应该知道的18种数字取证工具(2025指南)。
  • Paraben Corporation: 通过数字取证保护过去。
  • Pen Test Partners: 寻找进入DFIR领域的路径。

SOFTWARE UPDATES

  • Airbus Cybersecurity: IRIS-Web v2.4.25
  • Amped: Authenticate Update 39075
  • C.Peter: UFADE 1.0.2
  • Elcomsoft: System Recovery 8.36
  • Foxton Forensics: Browser History Examiner — Version 1.23.0
  • Google: Timesketch 20251114
  • IsoBuster: 5.7 beta released
  • Lethal-Forensics: MacOS-Analyzer-Suite v1.0.0
  • Mandiant: Capa v9.3.0
  • OpenCTI: 6.8.11
  • Rapid7: Velociraptor v0.75.5
  • Three Planet Software: Apple Cloud Notes Parser v0.23
  • Yamato Security: WELA v2.0.0;Hayabusa v3.7.0
comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次