2025年第46周数字取证与事件响应技术周报精选

本周周报涵盖了数字取证与事件响应领域的最新动态,包括针对Salesloft-Drift泄露事件的技术分析、NTFS取证、移动热点调查、Android应用分析、勒索软件威胁情报、AI在网络安全中的应用以及各类安全工具更新。

技术文章与博客

取证分析

  • Atola Technology: 《磁盘映像前的准备工作:驱动器诊断的威力》
  • Akash Patel: 《NTFS文件系统与NTFS日志记录($I30、$MFT、$LogFile、$UsnJrnl等不同取证痕迹)》
  • macOS取证: 《macOS取证:结构、持久化机制与调查》
  • Belkasoft: 《iOS版Telegram取证第二部分:取证痕迹、秘密聊天、缓存与已删除消息》
  • Christopher Eng at Ogmini: 《检查移动热点 – Orbic Speed RC400L – 第2部分》、《检查移动热点 – Orbic Speed RC400L – 第3部分》
  • Damien Attoe: 《深入Proton的保险库:发掘Android版Proton Drive的取证痕迹》、《Realm文件 – 第2卷 – 物理结构概述》
  • Elcomsoft: 《别当卢浮宫:弱密码和未修补软件如何助长数据泄露》、《哪些iOS版本受支持?为什么“视情况而定”是最好的答案》
  • Forensafe: 《Android应用图标》
  • Foxton Forensics: 《调查Chrome历史记录快照》
  • InfoSec Write-ups: 《数字取证 – Windows USB取证痕迹[内部威胁案例]》
  • Kevin Pagano at Stark 4N6: 《证据库 – 一个DFIR镜像汇编》
  • Kenneth G Hartman at Lucid Truth Technologies: 《洪流与BitTorrent证据 – P2P调查的取证视角》
  • System Weakness: 《调查Windows – Try Hack Me – 实验房间》、《NCL物联网日志分析 – CTF挑战 – 解题报告》、《权限提升与RDP分析 | TryHackMe解题指南》、《This Bytes – NCL取证CTF挑战 – 解题报告》

威胁情报/狩猎

  • Faan Rossouw at Active Countermeasures: 《狩猎痛点:痛苦金字塔》
  • Alex Necula: 《从ClickFix虚假更新到Vidar信息窃取木马》
  • Anthropic: 《扰乱首次报道的由AI策划的网络间谍活动》
  • AttackIQ: 《勒索故事:第五卷 — 怀旧版!模拟REvil、DarkSide和BlackMatter勒索软件》、《模拟以间谍活动为目标的组织SideWinder》
  • CJ Moses at AWS Security: 《亚马逊发现APT组织利用思科和Citrix零日漏洞》
  • Jade Brown at Bitdefender: 《Bitdefender威胁简报 | 2025年11月》
  • Brian Krebs at ‘Krebs on Security’: 《深入探讨美国政府提议的TP-Link禁令》、《谷歌起诉以瓦解中国短信钓鱼三合会》
  • CERT-AGID: 《以Facebook为主题的钓鱼攻击活动:虚假的版权侵权报告》、《2025年11月8日至14日恶意活动摘要报告》
  • Check Point: 《11月10日 – 威胁情报报告》、《新的钓鱼活动利用Meta Business Suite针对美国及全球的中小企业》、《2025年10月全球网络攻击激增,勒索软件爆炸式增长和生成式AI威胁上升》、《薪资海盗:一个网络,数百个目标》、《勒索软件现状 – 2025年第三季度》
  • CISA: 《CISA及合作伙伴发布关于Akira勒索软件的咨询更新》、《关于思科ASA和Firepower设备漏洞的紧急指令实施指南更新》
  • Chetan Raghuprasad and Michael Szeliga at Cisco’s Talos: 《释放Kraken勒索软件组织》
  • Cyberdom: 《Entra ID日志分析器:将原始日志转化为故事》、《ChatGPT在Entra ID中的隐藏风险》
  • Cyble: 《多品牌主题钓鱼活动通过Telegram Bot API窃取凭证》、《2025年10月攻击激增30%,新组织重新定义网络战场》
  • Cyfirma: 《每周情报报告 – 2025年11月14日》
  • Andrea Draghetti at D3Lab: 《GPT交易:虚假的Google Play商店向Android设备投放BTMob间谍软件和UASecurity挖矿程序》
  • Damien Lewke: 《氛围狩猎:以结果为导向的威胁狩猎》
  • Danny Zendejas: 《重新思考SIEM第二部分》
  • Darktrace: 《Vo1d僵尸网络曝光:Darktrace如何检测全球Android威胁》
  • DebugPrivilege: 《我如何通过Citrix FAS经由ESC3获取域管理员权限》、《从供应商到ESC3/ESC4》
  • Burak Karaduman at Detect FYI: 《代理检测创建 – 现已集成Atomic Red Team和Splunk MCP》
  • Disconinja: 《每周威胁基础设施调查(第45周)》
  • DomainTools Investigations: 《深入防火墙第三部分:地缘政治和社会影响》
  • Elliptic: 《Elliptic的类型学报告:破坏受制裁行为者对稳定币的使用》
  • FalconFeeds: 《恶意域名的生命周期:从注册到下线》、《当泄露导致杠杆效应:威胁行为者如何利用泄露数据进行长期锁定》、《专家威胁剖析:Cyber Toufan – 利用疏忽与破坏性能力的融合》、《间谍活动与金融的交汇点:通过Mount Sinai事件分析中国的跨国网络犯罪生态》
  • Luis Corrons at Gen: 《短信威胁:微小文本的多种面目》
  • Genians: 《针对Android设备的国家支持远程擦除策略》
  • Google Cloud Threat Intelligence: 《没有比localhost更像家的地方:通过Triofox漏洞CVE-2025-12480实现未经认证的远程访问》、《时空旅行分类:使用.NET进程空洞案例研究介绍时空旅行调试》
  • Billy Leonard at Google Threat Analysis Group: 《TAG公告:2025年第三季度》
  • Group-IB: 《揭露针对意大利基础设施的多阶段钓鱼工具包》
  • Grumpy Goose Labs: 《成为KVM,实施欺诈》
  • Hornet Security: 《勒索软件攻击统计》、《2025年10月月度威胁报告》
  • Hunt IO: 《狩猎Cobalt Strike完全指南 – 第1部分:在开放目录中检测Cobalt Strike》
  • Lindsey O’Donnell-Welch at Huntress: 《威胁困扰教育机构》
  • Meyta Zenis Taliti at Intellibron: 《威胁狩猎目录:将Sigma检测规则付诸实践》
  • Roy Halevi at Intezer: 《Anthropic关于AI间谍活动的报告对安全领导者意味着什么》
  • Invictus Incident Response: 《剖析Silk Typhoon:战术、历史与防御》
  • Adam Goss at Kraven Security: 《战术性CTI与操作性CTI深度解析》、《CTI分析师路线图:从零到英雄指南与CTI学习》
  • Doug Olenick at LevelBlue: 《LevelBlue未来报告:零售业领导者揭示安全担忧》
  • Mike Cohen at Rapid7: 《使用Velociraptor进行内存分析 – 第1部分》
  • Ucha Gobejishvili at Mitiga: 《现在你看到我了:Workday日志》
  • Nasreddine Bencherchali: 《SigmaHQ质量保证流程》
  • Netscout: 《现在轮到谁变成石头?》
  • Bart Parys at NVISO Labs: 《传染性Interview攻击者现在利用JSON存储服务进行恶意软件分发》
  • Oleg Skulkin at ‘Know Your Adversary’: 《314. 对手滥用PowerShell创建用于持久化的快捷方式》、《315. 对手滥用CURL收集认证材料》、《316. 对手持续使用Plink和Putty建立反向SSH隧道》、《317. 对手越来越多地使用AppleScript文件》、《318. 对手使用PowerShell搜寻密码存储库》、《319. 对手滥用JSON存储服务进行恶意软件分发》、《320. 对手在ClickFix攻击中滥用Finger》
  • Pepe Berba: 《macOS感染载体:使用AppleScript绕过Gatekeeper》、《脚本混淆:隐藏在命名资源分支中的AppleScript》
  • Picus Security: 《xHunt APT:针对科威特和Exchange服务器的网络间谍活动》、《Ferocious Kitten APT曝光:伊朗重点间谍活动内幕》、《MalKamak APT的ShellClient RAT:Operation GhostShell内幕》、《GreenCharlie APT:伊朗基于PowerShell的网络间谍活动》、《DEV-1084和MERCURY:伊朗DarkBit勒索软件活动内幕》
  • Proofpoint: 《安全简报:VenomRAT被拔除毒牙》、《Operation Endgame震动Rhadamanthys》
  • Dan Green at Push Security: 《分析自2021年以来“Scattered Lapsus$ Hunters”的数据泄露》
  • Daniel Card at PwnDefend: 《疑似零日漏洞 – 如果你的设备可能在漏洞利用范围内该怎么办?》、《疑似Fortinet零日漏洞在野被利用》、《使用Defused Cyber Deception分析100万个蜜罐事件》、《Rhadamanthys – 超过4400万条凭证被盗》、《2025年Fortiweb漏洞》、《AI用于防御性网络安全的简史》
  • Recorded Future: 《威胁狩猎 vs. 威胁情报》、《介绍2025年威胁情报现状报告:威胁情报从防御转向战略》、《威胁情报与高管层》
  • Laura Brosnan at Red Canary: 《在AWS中嗅探TruffleHog》
  • SANS Internet Storm Center: 《并不总是默认设置:扫描3CX用户名,(11月10日,星期一)》、《通过多个脚本传递的Formbook,(11月13日,星期四)》、《SmartApeSG活动使用ClickFix页面推送NetSupport RAT,(11月12日,星期三)》、《俄罗斯套娃般的Microsoft Office,(11月14日,星期五)》、《蜜罐:FortiWeb CVE-2025-64446漏洞利用,(11月15日,星期六)》、《Finger.exe 与 ClickFix,(11月16日,星期日)》、《SANS假日黑客挑战赛2025,(11月16日,星期日)》
  • Shadowserver: 《Rhadamanthys历史僵尸网络感染特别报告》
  • Silent Push: 《高级威胁狩猎:在钓鱼基础设施发起攻击前检测的四种技术》
  • Simone Kraus: 《从勒索软件到国家级攻击 – MITRE ATT&CK v18与检测策略如何将Active Directory…》
  • Socket: 《恶意Chrome扩展程序窃取种子短语,导致钱包被盗》、《新一轮TEA协议垃圾邮件淹没npm,但它不是蠕虫》
  • Jon Munshaw at Sophos: 《信息窃取程序:身份攻击的无声门户 – 以及为何主动防御很重要》
  • Splunk: 《NotDoor深度解析:Outlook宏及其他功能的近距离观察》、《再次隐藏我:包含Lokibot的更新版多载荷.NET隐写加载器》
  • Jeremy Bender at Team Cymru: 《Team Cymru支持欧洲刑警组织作为Operation Endgame的一部分,取缔三个关键网络犯罪工具》
  • THOR Collective Dispatch: 《自主安全运营中心(Taylor’s Version)》、《你希望早点拥有的PEAK威胁狩猎模板》
  • Adithya Chandra and Maulik Maheta at Trellix: 《Trellix Helix如何检测Active Directory中的AS-REP烘烤攻击》
  • David Sancho, Vincenzo Ciancaglini, and Salvatore Gariuolo at Trend Micro: 《魔鬼评测Xanthorox:针对最新恶意LLM产品的犯罪视角分析》
  • Lucie Cardiet at Vectra AI: 《Operation ENDGAME与初始访问之战》
  • Joseliyo Sánchez at VirusTotal: 《VTPRACTITIONERS{ACRONIS}: 追踪FileFix、Shadow Vector和SideWinder》
  • VX API: 《虚假的Lockbit 5.0闹剧和3层勒索软件千层面》
  • Sina Kheirkhah and Jake Knott at watchTowr Labs: 《当模拟功能被用来模拟用户时(Fortinet FortiWeb(??)认证绕过)》
  • Jay Pandya at White Knight Labs: 《理解云持久化:攻击者如何使用Google云函数维持访问权限》
  • Francesco Sercia at YLabs: 《汉堡大盗》
  • Блог Solar 4RAYS: 《Shedding Zmiy军火库:攻击流行CMS系统配置缺陷的工具》
  • Taggart Tech: 《通过Entra访客邀请进行的TOAD攻击》
  • Hunter Wade at Black Hills Information Security: 《利用Impacket滥用委派(第2部分):受限委派》
  • Palo Alto Networks: 《你以为结束了?认证强制演化不息》、《数字替身:分发Gh0st RAT的不断演变的模拟活动剖析》

即将举行的活动

  • Black Hills Information Security: 《聊聊[信息安全]新闻 2025-11-17 #infosec #news》
  • Cyber Triage: 《在调查中何时(以及何时不)使用EDR》
  • DFRWS: 《DFRWS-USA 2026论文征集开放!》
  • Cybersecurity Mentors Podcast: 《像间谍一样思考,像黑客一样狩猎:前FBI特工Eric O’Neill谈智胜网络犯罪分子》
  • Magnet Forensics: 《使用Magnet Verify保护你的组织免受操纵媒体侵害》、《数字取证和自动化如何转变联邦调查》、《从警报到答案:现代事件响应中的数字取证》

演示文稿/播客

  • Black Hills Information Security: 《X-Typhon – 不是你父辈时代的中国,与John Strand一起》
  • Erik Pistelli at Cerbero: 《内存挑战7:深度潜水》
  • Chainalysis: 《加密货币国家安全与杀猪盘:播客第174集》
  • Cloud Security Podcast by Google: 《EP251超越花哨脚本:AI红队能否发现真正新颖的攻击?》
  • InfoSec_Bret: 《SA – SOC275 EventID: 250 – 检测到应用程序令牌窃取尝试》、《挑战 – 学习Sigma》
  • John Hammond: 《Lua信息窃取程序分析(“我的夏威夷假期”CTF)》、《2025年网络犯罪现状(与Nick Ascoli一起!)》
  • Magnet Forensics: 《移动时刻第14集:Magnet One中的移动案件流》、《AI拆解#6:你想知道的一切 – 以及不敢问的》
  • Monolith Forensics: 《Monolith中的案件报告》、《在Monolith中合并查询》
  • MSAB: 《#MSABMonday – XRY日志文件导出》、《取证修复第24集》
  • MyDFIR: 《网络安全SOC分析师实验室 – 恢复已删除文件(BTLO)》、《从不知所措到充满信心:Paul如何学会像SOC分析师一样调查》、《MyDFIR SOC社区如何帮助我感觉为工作做好准备》
  • Parsing the Truth: One Byte at a Time: 《数字取证领域的25年动荡》、《25集 – 回顾!》
  • Sandfly Security: 《在DigitalOcean市场一键应用中安装Sandfly Security》
  • The Cyber Mentor: 《直播:PSAP发布 | TCM Security | 蓝队 | 问答》
  • Three Buddy Problem: 《在Countermeasures直播:谷歌v FFmpeg,勒索软件变节者,三星0day漏洞》、《Anthropic Claude代码自动化APT攻击,KnownSec泄露,带远程访问功能的中国公交车》

恶意软件

  • 0xMatheuZ: 《Ioctl Secrets解题报告》
  • Any.Run: 《ClickFix爆炸:跨平台社会工程将用户变成恶意软件安装程序》
  • ASEC: 《利用LogMeIn和PDQ Connect分发恶意软件的案例》、《使用合法签名分发后门恶意软件,伪装为Steam清理工具》、《Yurei勒索软件Go语言构建器的加密结构分析》
  • Ialle Teixeira at Debugactiveprocess: 《巴西持久性Android NFC恶意软件剖析:恶意服务如何实现24/7…》
  • Tonmoy Jitu at Denwp Research: 《分析疑似GNNCRY的macOS测试构建版本》
  • Dr Josh Stroschein: 《汇编短片 – 使用PEB和InInitialiationOrderModule在内存中查找Kernerl32》、《堆栈枢轴后执行自定义Shellcode》
  • Elastic Security Labs: 《RONINGLOADER:DragonBreath滥用PPL的新途径》
  • errbody: 《终端勒索软件》
  • Esentire: 《EVALUSION活动分发Amatera信息窃取程序和NetSupport RAT》
  • Thijs Xhaflaire at Jamf: 《Digit窃取程序:一种足迹极小的基于JXA的信息窃取程序》
  • Pieter Arntz at Malwarebytes: 《我们打开了一份虚假发票,然后掉进了一个复古XWorm形状的蠕虫洞》
  • Shubho57: 《分析一个BlankGrabber变体(bat文件)》
  • Siddhant Mishra: 《追踪追踪者:从APT43/Kimsuky取缔行动中汲取的教训》
  • Stephen Thoemmes at Snyk: 《NPM生态系统中与加密货币奖励农场骗局相关的IndonesianFoods自动化软件包发布事件》
  • Alberto Pellitteri and Lorenzo Susini at Sysdig: 《狩猎反向Shell:Sysdig威胁研究团队如何构建更智能的检测规则》
  • Junestherry Dela Cruz and Sarah Pearl Camiling at Trend Micro: 《Lumma窃取程序活动增加与使用自适应浏览器指纹识别策略同时发生》
  • YUCA: 《恶意操作挑战8:逆向APT 37的RokRaT加载器》、《分析恶意软件中用于混淆API解析的API哈希和导入查找技术》
  • Zhassulan Zhussupov: 《Linux黑客第8部分:Linux密码保护的绑定Shell。简单的NASM示例》
  • Шифровальщики-вымогатели The Digest “Crypto-Ransomware”: 《BlackShrantac》

其他

  • Adam at Hexacorn: 《disksnapshot.exe的一个或多个小秘密》
  • Brett Shavers: 《对抗市政厅:如果你错过了网络研讨会,你可能正在犯自己不知道的错误》
  • Cellebrite: 《数字证人是昆士兰州母亲六年正义之旅的关键》
  • CyberBoo: 《Microsoft Defender for Endpoint第5部分:实时响应与自动化调查》
  • Fabian Mendoza at DFIR Dominican: 《DFIR职位更新 – 2025年11月10日》
  • Dr. Neal Krawetz at ‘The Hacker Factor Blog’: 《密封严密》
  • Forensic Focus: 《数字取证职位汇总,2025年11月10日》、《Cellebrite如何释放AI力量用于数字调查》、《描绘证据:使用Exterro Imager Pro为调查提供动力》、《管理警方调查中的生成式AI风险》、《数字取证汇总,2025年11月12日》、《Amped Software开放Amped Connect美国2026年预注册:南卡罗来纳州默特尔海滩免费全日数字取证活动》、《论文征集:FOSDEM 2026开源(数字)取证开发者房间》、《Semantics 21推出AI Describe – 全球首个用于CSAM和淫秽内容的离线安全AI描述器》
  • Don Sears at Forescout: 《勒索软件趋势:禁止还是不禁勒索软件付款?》
  • Howard Oakley at ‘The Eclectic Light Company’: 《详解:.DS_Store文件》
  • Magnet Forensics: 《为何数字取证成为联邦机构的关键任务》
  • Matthew Plascencia: 《不要将你工作中的人性灵魂出卖给机器》
  • Grayson Milbourne at OpenText: 《OpenText网络安全2025年全球勒索软件调查:信心上升,恢复下降》
  • Nazrul Islam Rana at OSINT Team: 《每个网络安全专业人员都应了解的18种数字取证工具(2025指南)》
  • Amber Schroader at Paraben Corporation: 《通过数字取证保护过去》
  • Joseph Williams at Pen Test Partners: 《寻找进入DFIR领域的路径》

软件更新

  • Airbus Cybersecurity: 《IRIS-Web v2.4.25》
  • Amped: 《Authenticate 更新 39075:深度伪造检测穿上新衣并现已在智能报告中可用,改进的GUI和报告,以及更多!》
  • Berla: 《iVe Software v4.13发布》
  • C.Peter: 《UFADE 1.0.2》
  • Didier Stevens: 《更新:numbers-to-hex.py 版本 0.0.4》
  • Digital Sleuth: 《winfor-salt v2025.14.3》
  • Elcomsoft: 《Elcomsoft System Recovery 8.36新增Windows Server 2025支持,BitLocker密钥导出和增强的SRUM分析》
  • Foxton Forensics: 《浏览器历史记录检查器 – 版本历史 – 版本 1.23.0》
  • Google: 《Timesketch 20251114》
  • IsoBuster: 《IsoBuster 5.7 beta 发布》
  • Lethal-Forensics: 《MacOS-Analyzer-Suite v1.0.0》
  • Mandiant: 《Capa v9.3.0》
  • OpenCTI: 《6.8.11》
  • Rapid7: 《Velociraptor v0.75.5》
  • Three Planet Software: 《Apple Cloud Notes Parser v0.23》
  • Yamato Security: 《WELA v2.0.0 – CODE BLUE发布》、《Hayabusa v3.7.0 – CODE BLUE发布》

本周内容就是这些! 如果你觉得我漏掉了什么,或者希望我特别报道某个内容,请通过联系页面或社交媒体联系我! 使用代码 PM15 或点击此链接享受Hexordia下一门课程15%折扣。 与我一起上课! 使用折扣码 thisweekin4n6Cyber5w 的任何课程享受 15% 折扣

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次