FORENSIC ANALYSIS
Atola Technology
- 镜像获取前:驱动诊断的威力
- Akash Patel
- NTFS文件系统与NTFS日志记录(不同的工件如$I30、$MFT、$LogFile、$UsnJrnl)
- macOS取证:结构、持久化与调查
Belkasoft
- iOS Telegram取证。第二部分:工件、秘密聊天、缓存、已删除消息
- Christopher Eng at Ogmini
- 检测移动热点 – Orbic Speed RC400L – 第2部分
- 检测移动热点 – Orbic Speed RC400L – 第3部分
Damien Attoe
- 深入Proton的保险库:揭示Android Proton Drive工件
- Realm文件 – 第2卷 – 物理结构概述
Elcomsoft
- 不要成为卢浮宫:弱密码和未修补软件如何助长数据泄露
- 哪些iOS版本受支持,以及为什么“视情况而定”是最好的答案
Forensafe
- Android应用程序图标
Foxton Forensics
- 调查Chrome历史快照
InfoSec Write-ups
- 数字取证 — Windows USB工件 [内部威胁案例]
Kevin Pagano at Stark 4N6
- 证据库 – 一个DFIR镜像汇编
Kenneth G Hartman at Lucid Truth Technologies
- 洪流与BitTorrent证据 – P2P调查的取证视角
System Weakness
- 调查WINDOWS- TRY HACK ME- 房间
- NCL IoT日志分析 — CTF挑战 — 解题报告
- Elevating Movement TryHackMe演练 | 权限提升与RDP分析
- This Bytes — NCL取证CTF挑战 — 解题报告
THREAT INTELLIGENCE/HUNTING
Faan Rossouw at Active Countermeasures
- 狩猎痛点:痛苦金字塔
Alex Necula
- 从ClickFix虚假更新到Vidar窃取程序
Anthropic
- 瓦解首个报道的AI策划的网络间谍活动
AttackIQ
- 勒索故事:第五卷 — 怀旧版!模拟REvil、DarkSide和BlackMatter勒索软件
- 模拟以间谍活动为导向的组织SideWinder
CJ Moses at AWS Security
- 亚马逊发现APT组织利用思科和Citrix零日漏洞
Jade Brown at Bitdefender
- Bitdefender威胁简报 | 2025年11月
Brian Krebs at ‘Krebs on Security’
- 深入探讨美国政府提议的TP-Link禁令
- 谷歌起诉以瓦解中国短信钓鱼三合会
CERT-AGID
- 以Facebook为主题的钓鱼活动:虚假的版权侵权举报
- 2025年11月8日至14日恶意活动汇总摘要
Check Point
- 11月10日 – 威胁情报报告
- 新的钓鱼活动利用Meta Business Suite针对美国及全球的中小企业
- 2025年10月全球网络攻击激增,勒索软件爆炸性增长和生成式AI威胁上升
- 薪资海盗:一个网络,数百个目标
- 勒索软件现状 – 2025年第三季度
CISA
- CISA及合作伙伴发布关于Akira勒索软件的咨询更新
- 更新:针对思科ASA和Firepower设备漏洞的紧急指令实施指南
Chetan Raghuprasad and Michael Szeliga at Cisco’s Talos
- 释放Kraken勒索软件组织
Cyberdom
- Entra ID日志分析器:将原始日志转化为故事
- ChatGPT在Entra ID中的隐藏风险
Cyble
- 多品牌主题钓鱼活动通过Telegram Bot API窃取凭证
- 2025年10月攻击激增30%,新组织重新定义网络战场
Cyfirma
- 每周情报报告 – 2025年11月14日
Andrea Draghetti at D3Lab
- GPT Trade:假冒Google Play商店向Android设备投放BTMob间谍软件和UASecurity挖矿程序
Damien Lewke
- 氛围狩猎:结果驱动的威胁狩猎
Danny Zendejas
- 重新思考SIEM第二部分
Darktrace
- Vo1d僵尸网络曝光:Darktrace如何检测全球Android威胁
DebugPrivilege
- 我如何通过Citrix FAS获得域管理员权限(ESC3)
- 从供应商到ESC3/ESC4
Burak Karaduman at Detect FYI
- 代理检测创建 — 现已集成Atomic Red Team和Splunk MCP
Disconinja
- 每周威胁基础设施调查(第45周)
DomainTools Investigations
- 防火墙之内第三部分:地缘政治和社会影响
Elliptic
- Elliptic的模型报告:破坏受制裁行为者对稳定币的使用
FalconFeeds
- 恶意域名的生命周期:从注册到撤下
- 当泄露导致杠杆作用:威胁行为者如何利用泄露数据进行长期目标锁定
- 专家威胁剖析:Cyber Toufan——疏忽利用与破坏性能力的融合
- 间谍活动与金融的交汇点:通过西奈山事件分析中国跨国网络犯罪生态系统
Luis Corrons at Gen
- SMS威胁:小文本的多种面孔
Genians
- 针对Android设备的国家赞助远程擦除策略
Google Cloud Threat Intelligence
- 无处不localhost:通过Triofox漏洞CVE-2025-12480实现未认证远程访问
- 时光旅行分类:使用.NET进程空壳化案例研究介绍时光旅行调试
Billy Leonard at Google Threat Analysis Group
- TAG公告:2025年第三季度
Group-IB
- 揭露针对意大利基础设施的多阶段钓鱼工具包
Grumpy Goose Labs
- 成为KVM,进行欺诈
Hornet Security
- 勒索软件攻击统计数据
- 2025年10月月度威胁报告
Hunt IO
- 狩猎Cobalt Strike完全指南 – 第1部分:在开放目录中检测Cobalt Strike
Lindsey O’Donnell-Welch at Huntress
- 教育机构遭受威胁困扰
Meyta Zenis Taliti at Intellibron
- 威胁狩猎目录:让Sigma检测规则焕发生机
Roy Halevi at Intezer
- Anthropic关于AI间谍活动的报告对安全领导者意味着什么
Invictus Incident Response
- 剖析Silk Typhoon:策略、历史与防御
Adam Goss at Kraven Security
- 战术CTI与运营CTI深度解析
- CTI分析师路线图:从零到英雄的指南与CTI学习
Doug Olenick at LevelBlue
- LevelBlue未来报告:零售领导者揭示安全担忧
Mike Cohen at Rapid7
- 使用Velociraptor进行内存分析 – 第1部分
Ucha Gobejishvili at Mitiga
- 现在你看到我了:Workday日志
Nasreddine Bencherchali
- SigmaHQ质量保证流水线
Netscout
- 现在轮到谁石化了?
Bart Parys at NVISO Labs
- 传染性面试攻击者现在利用JSON存储服务进行恶意软件分发
Oleg Skulkin at ‘Know Your Adversary’
-
- 攻击者滥用PowerShell创建快捷方式以实现持久化
-
- 攻击者滥用CURL收集认证材料
-
- 攻击者持续使用Plink和Putty建立反向SSH隧道
-
- 攻击者越来越多地使用AppleScript文件
-
- 攻击者使用PowerShell搜索密码存储
-
- 攻击者滥用JSON存储服务进行恶意软件分发
-
- 攻击者在ClickFix攻击中滥用Finger
Pepe Berba
- MacOS感染载体:使用AppleScript绕过Gatekeeper
- 脚本混淆:隐藏在命名分支中的AppleScript
Picus Security
- xHunt APT:针对科威特和Exchange服务器的网络间谍活动
- Ferocious Kitten APT曝光:针对伊朗的间谍活动内幕
- MalKamak APT的ShellClient RAT:深入Operation GhostShell
- GreenCharlie APT:伊朗基于PowerShell的网络间谍活动
- DEV-1084与MERCURY:伊朗DarkBit勒索软件活动内幕
Proofpoint
- 安全简报:VenomRAT被去毒
- Operation Endgame动摇Rhadamanthys
Dan Green at Push Security
- 分析自2021年以来的“Scattered Lapsus$ Hunters”数据泄露事件
Daniel Card at PwnDefend
- 疑似零日漏洞 – 如果您有设备可能被利用,该怎么办?
- 疑似Fortinet零日漏洞在野被利用
- 使用Defused网络欺骗分析100万蜜罐事件
- Rhadamanthys – 超过4400万凭证被盗
- Fortiweb漏洞 2025
- AI用于防御性网络安全的简史
Recorded Future
- 威胁狩猎 vs. 威胁情报
- 介绍2025年威胁情报状况报告:威胁情报从防御转向战略
- 威胁情报与C级高管
Laura Brosnan at Red Canary
- 在AWS中嗅出TruffleHog
SANS Internet Storm Center
- 并非总是默认设置:扫描3CX用户名,(Mon, Nov 10th)
- Formbook通过多个脚本传递,(Thu, Nov 13th)
- SmartApeSG活动使用ClickFix页面推送NetSupport RAT,(Wed, Nov 12th)
- 微软Office俄罗斯套娃,(Fri, Nov 14th)
- 蜜罐:FortiWeb CVE-2025-64446漏洞利用,(Sat, Nov 15th)
- Finger.exe & ClickFix,(Sun, Nov 16th)
- SANS假日黑客挑战赛 2025,(Sun, Nov 16th)
Shadowserver
- Rhadamanthys历史僵尸网络感染特别报告
Silent Push
- 高级威胁狩猎:在钓鱼基础设施发起攻击前检测的四种技术
Simone Kraus
- 从勒索软件到国家支持攻击 – MITRE ATT&CK v18和检测策略如何将Active Directory…
Socket
- 恶意Chrome扩展窃取种子短语,实现钱包接管
- 新一轮TEA协议垃圾邮件泛滥npm,但并非蠕虫
Jon Munshaw at Sophos
- 信息窃取程序:身份攻击的无声入口 — 以及主动防御为何重要
Splunk
- NotDoor洞察:深入观察Outlook宏及其他
- 再次隐藏:更新后的包含Lokibot的多载荷.NET隐写加载器
Jeremy Bender at Team Cymru
- Team Cymru支持欧洲刑警组织作为Operation Endgame一部分,摧毁三个关键网络犯罪工具
THOR Collective Dispatch
- 自治SOC (泰勒版)
- 你希望早日拥有的PEAK威胁狩猎模板
Adithya Chandra and Maulik Maheta at Trellix
- Trellix Helix如何检测Active Directory中的AS-REP烘烤攻击
David Sancho, Vincenzo Ciancaglini, and Salvatore Gariuolo at Trend Micro
- 魔鬼评Xanthorox:对最新恶意LLM产品的犯罪焦点分析
Lucie Cardiet at Vectra AI
- Operation ENDGAME与初始访问之战
Joseliyo Sánchez at VirusTotal
- VTPRACTITIONERS{ACRONIS}:追踪FileFix、Shadow Vector和SideWinder
VX API
- 虚假的Lockbit 5.0闹剧和3层勒索软件千层面
Sina Kheirkhah and Jake Knott at watchTowr Labs
- 当模拟功能被用来模拟用户时(Fortinet FortiWeb (??) 认证绕过)
Jay Pandya at White Knight Labs
- 理解云持久化:攻击者如何使用Google Cloud Functions维持访问
Francesco Sercia at YLabs
- 汉堡窃贼
Блог Solar 4RAYS
- 在Shedding Zmiy的武器库中:通过流行CMS系统环境配置缺陷进行攻击的工具
Taggart Tech
- 通过Entra来宾邀请进行TOAD攻击
Hunter Wade at Black Hills Information Security
- 滥用委派与Impacket(第2部分):约束委派
Palo Alto Networks
- 你以为结束了?认证强制攻击持续演进
- 数字分身:分发Gh0st RAT的不断演变的冒充活动剖析
UPCOMING EVENTS
Black Hills Information Security
- Talkin’ Bout [infosec] News 2025-11-17 #infosec #news
Cyber Triage
- 调查中何时(以及何时不)使用EDR
DFRWS
- DFRWS-USA 2026论文征集已开放!
Cybersecurity Mentors Podcast
- 像间谍一样思考,像黑客一样狩猎:前FBI特工Eric O’Neill谈智胜网络罪犯
Magnet Forensics
- 使用Magnet Verify保护您的组织免受篡改媒体侵害
- 数字取证和自动化如何改变联邦调查
- 从警报到答案:现代事件响应中的数字取证
PRESENTATIONS/PODCASTS
Black Hills Information Security
- X-Typhon – 不是你父辈的中国(与John Strand)
Erik Pistelli at Cerbero
- 内存挑战7:DeepDive
Chainalysis
- 加密货币国家安全与杀猪盘:播客第174集
Cloud Security Podcast by Google
- EP251 超越花哨脚本:AI红队能否发现真正新颖的攻击?
InfoSec_Bret
- SA – SOC275 EventID: 250 – 检测到应用程序令牌窃取尝试
- 挑战 – 学习Sigma
John Hammond
- Lua信息窃取程序分析(“我的夏威夷假期”CTF)
- 2025年网络犯罪现状(与Nick Ascoli!)
Magnet Forensics
- Mobile Minute 第14集:Magnet One中的移动案件流
- AI解读 #6:你想知道的一切——以及你不怕问的一切
Monolith Forensics
- Monolith中的案件报告
- 在Monolith中合并查询
MSAB
- #MSABMonday – XRY日志文件导出
- Forensic Fix 第24集
MyDFIR
- 网络安全SOC分析师实验室 – 恢复已删除文件 (BTLO)
- 从不知所措到充满信心:Paul如何学会像SOC分析师一样调查
- MyDFIR SOC社区如何帮助我感觉为工作做好准备
Parsing the Truth: One Byte at a Time
- 数字取证25年的动荡
- 25集 – 回顾过去!
Sandfly Security
- 在DigitalOcean市场一键应用中安装Sandfly Security
The Cyber Mentor
- 直播:PSAP发布 | TCM Security | 蓝队 | 问答
Three Buddy Problem
- Countermeasures现场:Google对FFmpeg、勒索软件变节者、三星0day漏洞
- Anthropic Claude代码自动化APT黑客攻击、KnownSec泄露、具有远程访问权限的中国公交车
MALWARE
0xMatheuZ
- Ioctl Secrets 解题报告
Any.Run
- ClickFix大爆发:跨平台社会工程将用户变成恶意软件安装器
ASEC
- 利用LogMeIn和PDQ Connect分发恶意软件的案例
- 分发带有合法签名、伪装为Steam清理工具的后门恶意软件
- 分析Yurei勒索软件Go语言构建器的加密结构
Ialle Teixeira at Debugactiveprocess
- 巴西持久性Android NFC恶意软件剖析:恶意服务如何实现24/7…
Tonmoy Jitu at Denwp Research
- 分析疑似GNNCRY的macOS测试构建版本
Dr Josh Stroschein
- 汇编简讯 – 使用PEB和InInitialiationOrderModule在内存中寻找Kernerl32
- 在堆栈枢轴后执行自定义Shellcode
Elastic Security Labs
- RONINGLOADER:DragonBreath滥用PPL的新途径
errbody
- 端点勒索软件
Esentire
- EVALUSION活动分发Amatera窃取程序和NetSupport RAT
Thijs Xhaflaire at Jamf
- Digit窃取程序:一种基于JXA的信息窃取程序,足迹很小
Pieter Arntz at Malwarebytes
- 我们打开了一封虚假发票,掉进了复古XWorm形状的蠕虫洞
Shubho57
- 分析BlankGrabber变体(bat文件)
Siddhant Mishra
- 追踪追踪者:来自APT43/Kimsuky被瓦解的教训
Stephen Thoemmes at Snyk
- 与加密货币奖励耕作骗局相关的NPM生态系统中“IndonesianFoods”自动包发布事件
Alberto Pellitteri and Lorenzo Susini at Sysdig
- 狩猎反向Shell:Sysdig威胁研究团队如何构建更智能的检测规则
Junestherry Dela Cruz and Sarah Pearl Camiling at Trend Micro
- Lumma窃取程序活动增加与使用自适应浏览器指纹识别策略同时发生
YUCA
- 恶意操作挑战8:逆向APT 37的RokRaT加载器
- 分析恶意软件中用于混淆API解析的API哈希和导入查找技术
Zhassulan Zhussupov
- Linux黑客第8部分:Linux密码保护的绑定Shell。简单的NASM示例
Шифровальщики-вымогатели The Digest “Crypto-Ransomware”
- BlackShrantac
MISCELLANEOUS
Adam at Hexacorn
- disksnapshot.exe的1个或多个小秘密
Brett Shavers
- 对抗市政厅:如果您错过了网络研讨会,您正在犯自己不知道的错误
Cellebrite
- 数字证人是昆士兰州母亲六年寻求正义之旅的关键
CyberBoo
- Microsoft Defender for Endpoint 第5部分:实时响应与自动调查
Fabian Mendoza at DFIR Dominican
- DFIR职位更新 – 2025年11月10日
Dr. Neal Krawetz at ‘The Hacker Factor Blog’
- 密封完好
Forensic Focus
- 数字取证职位汇总,2025年11月10日
- Cellebrite如何为数字调查解锁AI的力量
- 图像为证:使用Exterro Imager Pro为调查提供动力
- 警方调查中的生成式AI风险管理
- 数字取证汇总,2025年11月12日
- Amped Software开放Amped Connect U.S. 2026预注册:南卡罗来纳州默特尔海滩免费全天数字取证活动
- 论文征集:FOSDEM 2026开源(数字)取证开发者室
- Semantics 21推出AI Describe – 全球首个用于CSAM和淫秽材料的安全离线AI描述器
Don Sears at Forescout
- 勒索软件趋势:禁止还是不禁止支付赎金?
Howard Oakley at ‘The Eclectic Light Company’
- 解释:.DS_Store文件
Magnet Forensics
- 为什么数字取证对联邦机构变得至关重要
Matthew Plascencia
- 不要将你工作中的人性灵魂出卖给机器
Grayson Milbourne at OpenText
- OpenText网络安全2025年全球勒索软件调查:信心上升,恢复下降
Nazrul Islam Rana at OSINT Team
- 每个网络安全专业人员都应该知道的18种数字取证工具(2025指南)
Amber Schroader at Paraben Corporation
- 通过数字取证保存过去
Joseph Williams at Pen Test Partners
- 寻找进入DFIR的路径
SOFTWARE UPDATES
Airbus Cybersecurity
- IRIS-Web v2.4.25
Amped
- Authenticate 更新 39075:深度伪造检测换上新装,现已可在智能报告中获取,改进的GUI和报告,以及更多!
Berla
- iVe Software v4.13 发布
C.Peter
- UFADE 1.0.2
Didier Stevens
- 更新:numbers-to-hex.py 版本 0.0.4
Digital Sleuth
- winfor-salt v2025.14.3
Elcomsoft
- Elcomsoft System Recovery 8.36 增加Windows Server 2025支持、BitLocker密钥导出和增强的SRUM分析
Foxton Forensics
- Browser History Examiner — 版本历史 – 版本 1.23.0
- Timesketch 20251114
IsoBuster
- IsoBuster 5.7 测试版发布
Lethal-Forensics
- MacOS-Analyzer-Suite v1.0.0
Mandiant
- Capa v9.3.0
OpenCTI
- 6.8.11
Rapid7
- Velociraptor v0.75.5
Three Planet Software
- Apple Cloud Notes Parser v0.23
Yamato Security
- WELA v2.0.0 – CODE BLUE 发布
- Hayabusa v3.7.0 – CODE BLUE 发布
这就是本周的全部内容!如果您认为我遗漏了什么,或者希望我特别报道某些内容,请通过联系页面或社交渠道与我联系! 使用折扣码 thisweekin4n6 在Cyber5w的任何课程享受15%折扣。 使用代码 PM15 或点击此链接在Hexordia的下次课程享受15%折扣。 和我一起上课吧!