2025年第46周数字取证与事件响应技术动态盘点

数字取证分析

Atola Technology

镜像获取前的准备：驱动器诊断的威力
- Akash Patel

NTFS文件系统与NTFS日志记录（不同的取证痕迹，如 $I30, $MFT, $LogFile, $UsnJrnl）

macOS取证：结构、持久化与调查

Belkasoft

iOS Telegram取证。第二部分：取证痕迹、秘密聊天、缓存、已删除消息
- Christopher Eng at Ogmini

移动热点设备取证 – Orbic Speed RC400L – 第2部分 移动热点设备取证 – Orbic Speed RC400L – 第3部分

Damien Attoe

Proton保险库内部：揭秘Android Proton Drive的取证痕迹 Realm文件 – Vol 2 – 物理结构概述

Elcomsoft

不做卢浮宫：弱密码和未修补软件如何助长数据泄露
哪些版本的iOS受支持？以及为何“看情况”是最好的答案

Forensafe

Android应用图标

Foxton Forensics

调查Chrome历史记录快照

InfoSec Write-ups

数字取证 — Windows USB取证痕迹[内部威胁案例]

Kevin Pagano at Stark 4N6

取证资料库 – 数字取证与事件响应镜像汇编

Kenneth G Hartman at Lucid Truth Technologies

洪流与BitTorrent证据 – 点对点调查的取证视角

System Weakness

调查Windows – Try Hack Me – 演练室
NCL物联网日志分析 — CTF挑战 — 解题报告
提升权限TryHackMe演练 | 权限提升与RDP分析
This Bytes — NCL取证CTF挑战 — 解题报告

威胁情报/威胁狩猎

Faan Rossouw at Active Countermeasures

狩猎痛点：痛苦金字塔

Alex Necula

从ClickFix虚假更新到Vidar窃密木马

Anthropic

瓦解首起由AI策动的网络间谍活动

AttackIQ

勒索软件故事集：第五卷 — 怀旧特辑！模拟REvil、DarkSide和BlackMatter勒索软件
模拟以间谍活动为导向的组织SideWinder

CJ Moses at AWS Security

亚马逊发现APT组织利用思科和思杰零日漏洞

Jade Brown at Bitdefender

Bitdefender威胁简报 | 2025年11月

Brian Krebs at ‘Krebs on Security’

深入解读美国政府的TP-Link禁令提案
谷歌起诉以瓦解中国短信钓鱼三人组

CERT-AGID

以Facebook为主题的钓鱼活动：虚假版权侵权通知
2025年11月8日至14日恶意活动摘要

Check Point

11月10日 – 威胁情报报告
利用Meta Business Suite针对美国及全球中小型企业的新钓鱼活动
2025年10月全球网络攻击激增，勒索软件爆炸性增长，生成式AI威胁上升
薪资海盗：一个网络，数百个目标
勒索软件现状 – 2025年第三季度

CISA

CISA及合作伙伴发布关于Akira勒索软件的公告更新
更新：关于思科ASA和Firepower设备漏洞的紧急指令实施指南

Chetan Raghuprasad and Michael Szeliga at Cisco’s Talos

释放Kraken勒索软件组织

Cyberdom

Entra ID日志分析器：将原始日志转化为故事
Entra ID中ChatGPT的隐藏风险

Cyble

利用Telegram Bot API窃取凭证的多品牌主题钓鱼活动
2025年10月攻击激增30%，新兴组织重新定义网络战场

Cyfirma

每周情报报告 – 2025年11月14日

Andrea Draghetti at D3Lab

GPT Trade：假冒Google Play商店向Android设备投放BTMob间谍软件和UASecurity挖矿程序

Damien Lewke

氛围狩猎：结果导向的威胁狩猎

Danny Zendejas

重新思考SIEM第二部分

Darktrace

Vo1d僵尸网络曝光：Darktrace如何检测全球Android威胁

DebugPrivilege

我如何通过Citrix FAS ESC3攻击获取域管理员权限
从供应商到ESC3/ESC4

Burak Karaduman at Detect FYI

Agentic检测创建 — 现已集成Atomic Red Team和Splunk MCP

Disconinja

每周威胁基础设施调查（第45周）

DomainTools Investigations

防火墙内部揭秘第三部分：地缘政治与社会影响

Elliptic

Elliptic的类型学报告：破坏受制裁行为体对稳定币的使用

FalconFeeds

恶意域名的生命周期：从注册到关停
当数据泄露演变为杠杆：威胁行为者如何利用泄露数据进行长期定向攻击
专家威胁剖析：Cyber Toufan——疏忽利用与破坏能力的融合
间谍活动与金融的交汇点：通过西奈山事件分析中国跨国网络犯罪生态系统

Luis Corrons at Gen

短信威胁：微小文本的多重面孔

Genians

针对Android设备的国家级远程擦除策略

Google Cloud Threat Intelligence

没有地方比本地主机更安全：通过Triofox漏洞CVE-2025-12480实现未认证远程访问
时间旅行分类：使用.NET进程空心化案例研究介绍时间旅行调试

Billy Leonard at Google Threat Analysis Group

TAG公告：2025年第三季度

Group-IB

揭露针对意大利基础设施的多阶段钓鱼工具包

Grumpy Goose Labs

成为KVM，进行欺诈

Hornet Security

勒索软件攻击统计数据
2025年10月月度威胁报告

Hunt IO

狩猎Cobalt Strike完全指南 – 第1部分：在开放目录中检测Cobalt Strike

Lindsey O’Donnell-Welch at Huntress

教育机构饱受威胁困扰

Meyta Zenis Taliti at Intellibron

威胁狩猎目录：让Sigma检测规则焕发生命

Roy Halevi at Intezer

Anthropic关于AI间谍活动的报告对安全领导者意味着什么

Invictus Incident Response

剖析Silk Typhoon：策略、历史与防御

Adam Goss at Kraven Security

战术威胁情报与运营威胁情报深入探讨
威胁情报分析师路线图：从零到英雄指南及威胁情报学习路径

Doug Olenick at LevelBlue

LevelBlue未来报告：零售业领导者揭示安全关切

Mike Cohen at Rapid7

使用Velociraptor进行内存分析 – 第1部分

Ucha Gobejishvili at Mitiga

现在你看到我了：Workday日志

Nasreddine Bencherchali

SigmaHQ质量保障管道

Netscout

现在轮到谁被石化？

Bart Parys at NVISO Labs

Contagious Interview攻击者现利用JSON存储服务进行恶意软件分发

Oleg Skulkin at ‘Know Your Adversary’

314. 攻击者滥用PowerShell创建快捷方式以实现持久化
315. 攻击者滥用CURL收集认证材料
316. 攻击者持续使用Plink和Putty建立反向SSH隧道
317. 攻击者越来越多地使用AppleScript文件
318. 攻击者使用PowerShell寻找密码存储
319. 攻击者滥用JSON存储服务进行恶意软件分发
320. 攻击者在ClickFix攻击中滥用Finger

Pepe Berba

macOS感染载体：使用AppleScript绕过Gatekeeper
脚本混淆：玩弄命名分支中隐藏的AppleScript

Picus Security

xHunt APT：针对科威特和Exchange服务器的网络间谍活动
Ferocious Kitten APT曝光：针对伊朗的间谍活动内幕
MalKamak APT的ShellClient RAT：深入Operation GhostShell行动
GreenCharlie APT：伊朗基于PowerShell的网络间谍活动
DEV-1084和MERCURY：深入伊朗的DarkBit勒索软件行动

Proofpoint

安全简报：VenomRAT被拔除獠牙
Operation Endgame行动震动Rhadamanthys

Dan Green at Push Security

分析自2021年以来的“Scattered Lapsus$ Hunters”数据泄露事件

Daniel Card at PwnDefend

疑似零日漏洞 – 如果你可能拥有在利用范围内的设备该怎么办？
疑似Fortinet零日漏洞在野被利用
使用Defused Cyber Deception分析100万个蜜罐事件
Rhadamanthys – 超过4400万条凭证被盗
Fortiweb漏洞 2025
AI用于防御性网络安全的简史

Recorded Future

威胁狩猎 vs. 威胁情报
发布《2025年威胁情报现状报告》：威胁情报从防御转向战略
威胁情报与C级高管

Laura Brosnan at Red Canary

在AWS中嗅探出TruffleHog

SANS互联网风暴中心

并不总是默认配置：针对3CX用户名的扫描（11月10日，星期一）
通过多个脚本投递Formbook（11月13日，星期四）
SmartApeSG活动使用ClickFix页面推送NetSupport RAT（11月12日，星期三）
Microsoft Office俄罗斯套娃（11月14日，星期五）
蜜罐：FortiWeb CVE-2025-64446漏洞利用（11月15日，星期六）
Finger.exe & ClickFix（11月16日，星期日）
SANS假日黑客挑战赛2025（11月16日，星期日）

Shadowserver

Rhadamanthys历史僵尸网络感染特别报告

Silent Push

高级威胁狩猎：在钓鱼基础设施发起攻击前检测的四种技术

Simone Kraus

从勒索软件到国家级攻击 - MITRE ATT&CK v18及检测策略如何使Active Directory…

Socket

恶意Chrome扩展窃取种子短语，导致钱包被接管
新一轮TEA协议垃圾邮件泛滥npm，但并非蠕虫

Jon Munshaw at Sophos

信息窃取者：身份攻击的静默门户——以及为何主动防御至关重要

Splunk

NotDoor深度解析：Outlook宏及其他技术的近观
再次隐藏：包含Lokibot的更新版多载荷.NET隐写加载器

Jeremy Bender at Team Cymru

Team Cymru支持欧洲刑警组织在Operation Endgame行动中关停三个关键网络犯罪工具

THOR Collective Dispatch

自治安全运营中心（Taylor‘s Version）
你希望早日拥有的PEAK威胁狩猎模板

Adithya Chandra and Maulik Maheta at Trellix

Trellix Helix如何检测Active Directory中的AS-REP烘烤攻击

David Sancho, Vincenzo Ciancaglini, and Salvatore Gariuolo at Trend Micro

魔鬼评论Xanthorox：对最新恶意LLM产品的犯罪视角分析

Lucie Cardiet at Vectra AI

Operation ENDGAME与初始访问的争夺战 by Lucie Cardiet

Joseliyo Sánchez at VirusTotal

VTPRACTITIONERS{ACRONIS}：追踪FileFix、Shadow Vector和SideWinder

VX API

假冒Lockbit 5.0的无聊操作以及勒索软件的千层套路

Sina Kheirkhah and Jake Knott at watchTowr Labs

当模拟功能被用来模拟用户时（Fortinet FortiWeb (??) 身份验证绕过）

Jay Pandya at White Knight Labs

理解云持久化：攻击者如何利用Google Cloud Functions维持访问权限

Francesco Sercia at YLabs

Hamburglars

Блог Solar 4RAYS

在Shedding Zmiy的武器库中：通过流行CMS系统环境配置缺陷进行攻击的工具

Taggart Tech

通过Entra来宾邀请发起的TOAD攻击

Hunter Wade at Black Hills Information Security

利用Impacket滥用委派（第2部分）：约束委派

Palo Alto Networks

你以为结束了？身份验证强制持续演进
数字分身：传播Gh0st RAT的模拟活动的演进剖析

即将举行的活动

Black Hills Information Security

Talkin’ Bout [infosec] News 2025-11-17 #infosec #news

Cyber Triage

调查中何时（以及何时不应）使用端点检测与响应

DFRWS

DFRWS-USA 2026论文征集开放！

Cybersecurity Mentors Podcast

像间谍一样思考，像黑客一样狩猎：前FBI探员Eric O’Neill谈如何智胜网络罪犯

Magnet Forensics

使用Magnet Verify保护组织免受篡改媒体侵害
数字取证与自动化如何改变联邦调查
从告警到答案：现代事件响应中的数字取证

演讲/播客

Black Hills Information Security

X-Typhon – 与你父辈时代的中国不同 with John Strand

Erik Pistelli at Cerbero

内存挑战赛 7：DeepDive

Chainalysis

加密货币国家安全与杀猪盘：播客第174集

Cloud Security Podcast by Google

EP251 超越花哨脚本：AI红队测试能否发现真正新颖的攻击？

InfoSec_Bret

SA – SOC275 EventID: 250 – 检测到应用程序令牌窃取尝试
挑战 – 学习Sigma

John Hammond

Lua信息窃取者分析（“我的夏威夷假期”CTF）
2025年网络犯罪现状（与Nick Ascoli！）

Magnet Forensics

移动设备分钟播客第14集：Magnet One中的移动设备案例流
AI揭秘 #6：你想知道的一切——以及你没敢问的

Monolith Forensics

Monolith中的案例报告
在Monolith中合并调查

MSAB

#MSABMonday – XRY日志文件导出
取证修复播客第24集

MyDFIR

网络安全安全运营中心分析师实验室 – 恢复已删除文件（BTLO）
从不知所措到充满信心：Paul如何学会像安全运营中心分析师一样调查
MyDFIR安全运营中心社区如何帮助我感觉做好了工作准备

Parsing the Truth: One Byte at a Time

数字取证领域25年的动荡
25集回顾！

Sandfly Security

在DigitalOcean市场一键应用中安装Sandfly Security

The Cyber Mentor

直播：PSAP发布 | TCM Security | 蓝队 | 问答

Three Buddy Problem

Countermeasures现场直播：Google v FFmpeg，勒索软件的倒戈者，三星0day漏洞
Anthropic Claude代码自动化APT攻击，KnownSec数据泄露，可远程访问的中国公交车

恶意软件

0xMatheuZ

Ioctl Secrets 解题报告

Any.Run

ClickFix大爆发：跨平台社交工程将用户变为恶意软件安装器

ASEC

利用LogMeIn和PDQ Connect分发恶意软件的案例
使用合法签名伪装成Steam清理工具的后门恶意软件分发
Yurei勒索软件Go语言构建器加密结构分析

Ialle Teixeira at Debugactiveprocess

巴西Android NFC持久化恶意软件剖析：恶意服务如何实现24/7全天候…

Tonmoy Jitu at Denwp Research

分析疑似GNNCRY的macOS测试版本

Dr Josh Stroschein

汇编短片 – 使用PEB和InInitializationOrderModule在内存中寻找Kernel32
栈迁移后执行自定义Shellcode

Elastic Security Labs

RONINGLOADER：DragonBreath进行PPL滥用的新途径

errbody

端点勒索软件

Esentire

EVALUSION活动投递Amatera窃密木马和NetSupport RAT

Thijs Xhaflaire at Jamf

Digit窃密木马：一款足迹极小的基于JXA的信息窃取器

Pieter Arntz at Malwarebytes

我们打开了一封虚假发票，掉进了复古XWorm形状的兔子洞

Shubho57

分析BlankGrabber变体（bat文件）

Siddhant Mishra

追踪追踪者：APT43/Kimsuky被瓦解的教训

Stephen Thoemmes at Snyk

NPM生态系统中与加密货币奖励挖矿骗局相关的自动化软件包发布事件IndonesianFoods

Alberto Pellitteri and Lorenzo Susini at Sysdig

狩猎反弹shell：Sysdig威胁研究团队如何构建更智能的检测规则

Junestherry Dela Cruz and Sarah Pearl Camiling at Trend Micro

Lumma窃密木马活动增加与使用自适应浏览器指纹识别策略相吻合

YUCA

恶意操作挑战赛 8：逆向APT 37的RokRaT加载器
分析用于混淆API解析的恶意软件中的API哈希和导入查找技术

Zhassulan Zhussupov

Linux黑客教程第8部分：Linux密码保护的绑定shell。简单NASM示例

Шифровальщики-вымогатели The Digest “Crypto-Ransomware”

BlackShrantac

其他

Adam at Hexacorn

disksnapshot.exe的1个或更多小秘密

Brett Shavers

与市议会抗争：如果你错过了网络研讨会，你可能正在犯你不知道的错误

Cellebrite

数字证据是昆士兰母亲六年正义之路的关键

CyberBoo

Microsoft Defender for Endpoint第5部分：实时响应与自动化调查

Fabian Mendoza at DFIR Dominican

数字取证与事件响应职位更新 – 2025年11月10日

Dr. Neal Krawetz at ‘The Hacker Factor Blog’

绝对密封

Forensic Focus

数字取证职位综述，2025年11月10日
Cellebrite如何释放AI在数字调查中的力量
图片为证：使用Exterro Imager Pro推动调查
警察调查中的生成式AI风险管理
数字取证综述，2025年11月12日
Amped Software开放Amped Connect美国2026会议预注册：南卡罗来纳州默特尔比奇免费全天数字取证活动
征集论文：FOSDEM 2026开源（数字）取证开发室
Semantics 21推出AI Describe – 全球首个用于CSAM和不良内容的离线安全AI描述器

Don Sears at Forescout

勒索软件趋势：是否应该禁止支付赎金？

Howard Oakley at ‘The Eclectic Light Company’

解释：.DS_Store文件

Magnet Forensics

为何数字取证成为联邦机构的关键任务

Matthew Plascencia

不要将你工作中的人文灵魂出卖给机器

Grayson Milbourne at OpenText

OpenText网络安全2025年全球勒索软件调查：信心上升，恢复能力下降

Nazrul Islam Rana at OSINT Team

每个网络安全专业人士都应知道的18款数字取证工具（2025指南）

Amber Schroader at Paraben Corporation

通过数字取证保护过去

Joseph Williams at Pen Test Partners

找到进入数字取证与事件响应领域的途径

软件更新

Airbus Cybersecurity

IRIS-Web v2.4.25

Amped

Authenticate Update 39075：深度伪造检测换上新衣并现已在智能报告中可用，改进的GUI和报告，以及更多！

Berla

iVe Software v4.13 发布

C.Peter

UFADE 1.0.2

Didier Stevens

更新：numbers-to-hex.py 版本 0.0.4

Digital Sleuth

winfor-salt v2025.14.3

Elcomsoft

Elcomsoft System Recovery 8.36 新增Windows Server 2025支持，BitLocker密钥导出和增强的SRUM分析功能

Foxton Forensics

Browser History Examiner — 版本历史 – 版本 1.23.0

Google

Timesketch 20251114

IsoBuster

IsoBuster 5.7 beta 发布

Lethal-Forensics

MacOS-Analyzer-Suite v1.0.0

Mandiant

Capa v9.3.0

OpenCTI

6.8.11

Rapid7

Velociraptor v0.75.5

Three Planet Software

Apple Cloud Notes Parser v0.23

Yamato Security

WELA v2.0.0 – CODE BLUE 发布
Hayabusa v3.7.0 – CODE BLUE 发布

以上就是本周的全部内容！如果您认为我遗漏了什么，或者希望我特别报道某些内容，请通过联系页面或社交媒体联系我！

使用代码 PM15 或点击此链接，在您的下一节Hexordia课程中获得**15%的折扣。和我一起上课！使用折扣码 thisweekin4n6 在Cyber5w的任何课程中享受15%**的折扣。