2025年第47周数字取证与事件响应（DFIR）及网络安全动态汇总

赞助内容

Salesloft-Drift入侵内幕：对SaaS与身份安全意味着什么 在本期视频播客中，Permiso的CTO将探讨：

攻击者如何利用被盗的OAuth令牌，从GitHub移动到AWS，再到Salesforce。
为何这种“全机器”攻击给SaaS供应链和非人类身份（NHI）敲响了警钟。
在您的环境中检测和遏制类似威胁的实用步骤。

取证分析

Akash Patel：Hayabusa：一款用于取证和威胁狩猎的强大日志分析工具。
Massimo Iuliani (Amped)：深度伪造检测测验结果——您能用肉眼识别深度伪造吗？
Brian Maloney：让我们谈谈“同意”。
Christopher Eng (Ogmini)：检查移动热点 – Orbic Speed RC400L – 第4部分。
Elcomsoft：突破壁垒：首次从运行tvOS 26的Apple TV 4K完成完整文件系统提取。
密码管理器：安全性、风险与取证影响。
Forensafe：iOS用户通知事件。
The DFIR Report：猫拿到了你的文件：Lynx勒索软件。

威胁情报/狩猎

Adam (Hexacorn)：一些不寻常的运行时rundll32.exe痕迹。
Shaunak Khosla (Altered Security)：BetterSuccessor：仍在滥用dMSA进行权限提升（补丁后的BadSuccessor）。
Any.Run：LOLBin攻击解析与示例：SOC团队需要知道的一切。
ASEC：
- 2025年10月信息窃取器趋势报告。
- 2025年10月网络钓鱼邮件趋势报告。
- 2025年10月APT组织趋势报告。
- 通过VPN网站分发的NKNShell恶意软件。
- 利用WSUS远程代码执行漏洞（CVE-2025-59287）的ShadowPad攻击分析。
- 冒充流行OTT服务的网络钓鱼邮件。
- 2025年10月勒索软件威胁趋势报告。
- 关于利用被攻陷的合法网站作为C2服务器的基于AI的混淆恶意应用的分析报告。
- 2025年10月APT攻击趋势报告（韩国）。
- 关于使用高级检测和规避技术的恶意应用的分析报告。
AttackIQ：
- 模拟破坏性的Sandworm对手。
- 更新对CISA咨询（AA24-109A）的响应：Akira勒索软件。
AWS Security：
- 使用Amazon OpenSearch仪表板分析AWS网络防火墙日志。
- 新的亚马逊威胁情报发现：连接网络与动能战的民族国家行为体。
- 利用AWS安全事件响应AI驱动功能加速调查。
Christine Barry (Barracuda)：Sinobi：一个希望成为忍者的“高端专属”勒索软件组织。
Nguyen Nguyen 和 Bart Blaze (CyberArmor)：秋龙：与中国有关的APT组织瞄准东南亚。
Mehmet Ergene (Blu Raven Academy)：KQL中的时间旅行。
Brian Krebs (‘Krebs on Security’)：
- 微软2025年11月补丁星期二版本。
- Cloudflare中断可能是一份安全路线图。
- Mozilla宣布最终与两面派Onerep断绝关系。
CERT Ukraine：针对乌克兰东部教育机构的网络攻击，使用了GAMYBEAR软件（CERT-UA#18329）。
CERT-AGID：2025年11月15日至21日这一周恶意活动的总结性概述。
Chainalysis：美国、英国和澳大利亚瞄准支持全球勒索软件行动的俄罗斯网络犯罪基础设施；美国针对全球贩毒网络的加密货币洗钱活动。
Check Point：
- 11月17日 – 威胁情报报告。
- 黑色星期五网络犯罪经济：欺诈域名和电子商务诈骗激增。
Cofense：您不知道正在帮助黑客的6个URL缩短器。
Coveware：Obscura勒索软件：勒索软件数据丢失案例研究。
Chris Prall (CrowdStrike)：击败BLOCKADE SPIDER：CrowdStrike如何阻止跨域攻击。
Matthew Dobbs (Cyberbit)：您的MITRE ATT&CK企业矩阵101指南。
Cybersec Sentinel：GootLoader新规避方法瞄准搜索驱动的工作流。
Cyfirma：每周情报报告 – 2025年11月21日。
Andrea Draghetti (D3Lab)：
- 针对意大利邮政的新欺诈：电子邮件无链接，仅有一个联系电话号码！
- 电话钓鱼活动持续：从克隆Poste到假冒Google电子邮件。
DCSO CyTec：2025年第三季度网络冲突简报。
Detect FYI：
- 引入DRAPE指数：如何衡量威胁检测实践中的（不）成功？
- 超越检测：扩展分析与响应以保持MDR的相关性。
- 从勒索软件到民族国家 - MITRE ATT&CK v18和检测策略如何改变Active Directory…
- 基于Tor出口节点的威胁狩猎（+ KQL查询）。
Disconinja：每周威胁基础设施调查（第46周）。
DomainTools Investigations：威胁情报报告：APT35内部泄露针对黎巴嫩、科威特、土耳其、沙特阿拉伯、韩国和伊朗国内目标的黑客活动。
Elliptic：美国打击助长网络犯罪的俄罗斯防弹托管服务。
Olaf Hartong (Falcon Force)：Microsoft Defender for Endpoint Internal 0x06 — 自定义集合。
FalconFeeds：Kittenbusters：神秘的吹哨人。
Gen：权宜之计的联盟：APT组织如何开始合作。
Google Cloud Threat Intelligence：
- 前线情报：针对航空航天和国防生态系统的UNC1549 TTP、自定义工具和恶意软件分析。
- 超越水坑攻击：APT24转向多向量攻击。
GreyNoise：
- 当防弹托管被证明防弹时：Stark Industries的骗局。
- FortiWeb CVE‑2025‑64446：我们在野外观察到的情况。
- Palo Alto扫描量在24小时内激增40倍，达到90天新高。
- 引入基于查询的阻止列表：GreyNoise平台上完全可配置的实时威胁阻止。
Hunt IO：狩猎Cobalt Strike完全指南 – 第2部分：10多种用于查找Cobalt Strike的HuntSQL方法。
Lindsey O’Donnell-Welch 和 Harlan Carvey (Huntress)：Velociraptor WSUS利用，第一部分：WSUS-Up？
Jeffrey Bellny (CatchingPhish)：Rhadamanthys的终局（暂时）。
Shusei Tomonaga (JPCERT/CC)：YAMAGoya：使用Sigma和YARA规则的实时客户端监控工具。
Kostas：DetectionStream重大升级：Suricata集成现已到来！
Mat Fuchs：GHOST框架：零足迹EDR测试，为您的分析师应对真实威胁进行训练。
Shmuel Uzan (Morphisec)：Morphisec挫败针对美国房地产公司的复杂Tuoni C2攻击。
Natto Thoughts：中国的网络安全公司通过攻防实验室推进进攻性网络能力。
Oleg Skulkin (‘Know Your Adversary’)：
- 1. 对手使用Outlook LoadMacroProviderOnBoot实现持久化。
- 1. 检测PowerShell滥用是否容易？
- 1. 对手继续使用NetExec：取证视角。
- 1. 对手使用HideMouse隐藏远程访问证据。
- 1. 我们能使用发现技术进行狩猎吗？
- 1. 对手滥用XstExport在外泄前提取电子邮件。
Marine Pichon 和 Alexis Bonnefoi (Orange Cyberdefense)：迷雾之痛：导航Operation DreamJob的武器库。
Ian Ahl (Permiso)：Gainsight入侵调查：另一起SalesLoft式攻击展开。
Sıla Özeren Hacıoğlu (Picus Security)：沙虫组织内部：十年的网络破坏与间谍活动。
Dan Green (Push Security)：分析最新的Sneaky2FA BITB钓鱼页面。
Recorded Future：可操作的网络威胁情报。
Red Canary：情报洞察：2025年11月。
SANS Internet Storm Center：
- 解码二进制数字表达式，（周一，11月17日）
- KongTuke活动，（周二，11月18日）
- Unicode：它不仅仅是好玩的域名，（周三，11月12日）
- 使用CSS填充作为混淆技术？，（周五，11月21日）
- 9月以来观察到的Oracle Identity Manager漏洞利用（CVE-2025-61757），（周四，11月20日）
- Wireshark 4.4.1发布，（周日，11月23日）
Securelist：
- 2025年第三季度IT威胁演变。移动统计。
- 2025年第三季度IT威胁演变。非移动统计。
- 区块链和Node.js被Tsundere滥用：一个新兴的僵尸网络。
- 暗网就业市场内部。
- ToddyCat：您隐藏的电子邮件助手。第1部分。
Gilad Friedenreich Maizles 和 Marty Kareem (Security Scorecard)：Operation WrtHug，隐藏在您家庭路由器中的全球间谍活动。
Dheeraj Kumar 和 Tanmay Kumar (Securonix)：Securonix威胁实验室月度情报洞察 – 2025年10月。
Tomas Gatial (SentinelOne)：增强威胁狩猎能力 | 使用Validin和Synapse增强活动发现。
Olivia Brown (Socket)：npm恶意软件活动使用Adspect隐藏技术投放恶意重定向。
SOCRadar：
- 暗网档案：Sarcoma勒索软件。
- 暗网市场：FreshTools。
Colin Cowie (Sophos)：WhatsApp被入侵导致Astaroth部署。
Stephan Berger：解剖一个利用php-win.exe的PHP后门。
Symantec Enterprise：
- 不想要的礼物：大型活动用虚假派对邀请引诱目标。
- 军备竞赛：AI对网络安全的影响。
Alberto Pellitteri 和 Michael Clark (Sysdig)：检测CVE-2024-1086：一个被勒索软件活动积极利用的十年老Linux内核漏洞。
System Weakness：
- 追踪数据踪迹：检测数据外泄指南 ️‍。
- CSI：Web服务器 — 防御者检测Web攻击指南 ️‍。
Yash Verma (Trend Micro)：解析S3勒索软件：变体、攻击路径和Trend Vision One™防御。
Truesec：高度可疑PDF编辑器反复用于渗透环境。
Valdin：朝鲜虚假招聘平台针对美国AI人才的内部情况。
Lucie Cardiet (Vectra AI)：台风APT组织如何不留痕迹地渗透基础设施。
István Márton (Wordfence)：攻击者正在积极利用Post SMTP插件中的关键漏洞。
Блог Solar 4RAYS：
- Solar 4RAYS：2025年事件调查编年史。
- 恶意攻击态势：传感器分析。
Jeremy Brown (Palo Alto Networks)：Akira勒索软件攻击剖析：当虚假CAPTCHA导致42天被入侵时。

即将举行的活动

Cellebrite：DFU解码：用媒体情报解锁隐藏的真相。
Cyber Social Hub：CyberSocialCon 2025注册开放。
Magnet Forensics：Mobile Unpacked S3:E11 // 分析应用的生命周期。
SANS：领先于勒索软件 – 针对勒索软件和网络勒索的威胁狩猎。

演示/播客

Hexordia：数据中的真相 EP18：从政策到处理器：立法如何协助儿童剥削调查。
Adversary Universe Podcast：诱导失败：DeepSeek生成代码中潜伏的安全风险。
Behind the Binary by Google Cloud Security：EP19 解构问题的艺术：与Nino Isakovic一起探讨工具、战术和ScatterBrain混淆器。
Cloud Security Podcast by Google：EP252 智能体SOC现实：治理AI智能体、数据保真度和衡量成功。
HackTheBox：酿造混乱：勒索软件组织如何袭击朝日。
Huntress：社区炉边聊天 | 完善您的事件响应（IR）计划。
InfoSec_Bret：挑战 – 黄金票据。
Magnet Forensics：
- Mobile Minute 第15集 // Magnet Automate如何将您的实验室转变为24小时正义交付中心。
- 使用Magnet Verify保护您的组织免受篡改媒体的侵害。
- 数字取证和自动化如何改变联邦调查。
Microsoft Threat Intelligence Podcast：啊嗬！一个针对大学的薪资海盗故事。
Monolith Forensics：在Monolith中向案件添加文件。
MSAB：#MSABMonday – XRY指定流程选项。
MyDFIR：
- 网络安全SOC分析师实验室 – Web调查（PCAP）。
- 从YouTube教程到真正的SOC技能 | MYDFIR成员访谈。
- 从卡车司机到学习成为SOC分析师 | Anthony的旅程。
Off By One Security：倦怠：不要被烧焦。
Parsing the Truth: One Byte at a Time：蘑菇谋杀案第1部分。
Permiso Security：第04集 – Gainsight — Salesforce：另一起OAuth供应链恐慌？
Proofpoint：从烤面包机到僵尸网络：保护日常物联网。
Sandfly Security：Destination Linux播客：Tor、VPN和匿名风险。
SANS：Inside Digital Forensics：与Heather Barnhart一起在黑暗中寻找真相。
The Weekly Purple Team：用Windows过滤平台致盲EDR。
Three Buddy Problem：Gemini 3反应，Fortinet/Chrome零日漏洞，Cloudflare单一文化和十亿美元的加密货币转折。

恶意软件

Bloo：Shellcode内部：剖析朝鲜APT43的高级PowerShell加载器。
Erik Pistelli (Cerbero)：内存挑战 8：MemLabs Lab 4 – 痴迷。
Melissa Eckardt (cyber.wtf)：Rhadamanthys加载器去混淆。
Cybereason：加密许可：“绅士”们开始行动。
Darktrace：Xillen窃取器更新至版本5以规避AI检测。
hasherezade’s 1001 nights：Flare-On 12 – 任务9。
K7 Labs：
- 内存中的伪装：一个隐藏的.PYC片段利用cvtres.exe与C&C通信。
- 巴西活动：通过WhatsApp传播恶意软件。
Jan Michael Alcantara (Netskope)：恶意软件的未来是LLM驱动的。
PetiKV：XAnalysis of Virus.Win32.Aidlot (MS-DOS, ASM)。
Rexor：Vc0Snake Evolution。
Shubho57：恶意VS code可执行文件分析。
Siddhant Mishra：Shellcode内部：剖析朝鲜APT43的高级PowerShell加载器。
ThreatFabric：Sturnus：绕过WhatsApp、Telegram和Signal加密的移动银行恶意软件。
Nathaniel Morales, John Basmayor, 和 Nikita Kazymirskyi (Trustwave SpiderLabs)：SpiderLabs识别出通过WhatsApp分发的新银行木马。
Facundo Muñoz 和 Dávid Gábriš (WeLiveSecurity)：PlushDaemon攻陷网络设备实施中间人攻击。

其他

Cellebrite：
- 数据泛滥？EDRM模型是您的救生索。
- 通过更智能的数字调查构建更安全的社区。
CISA：CISA发布缓解防弹托管提供商风险的指南。
Mike Wilkinson (Cyber Triage)：2025年远程取证收集工具。
Josibel Mendoza (DFIR Dominican)：DFIR职位更新 – 2025年11月17日。
Djnn：Anthropic的论文闻起来像胡说八道。
Forensic Focus：
- 用SS8 Discovery解决高调凶杀案 – 下载案例研究。
- 重新思考内部调查：数字取证协作的新时代。
- GMDSOFT技术通讯第16卷：Galaxy和iPhone上AI编辑痕迹的分析。
- 数字取证综述，2025年11月19日。
- 推出Oxygen Remote Explorer 2.0。
- Amped Authenticate通过智能报告和批处理使深度伪造检测更简单。
- 宣布Magnet用户峰会2026演讲目录。
Howard Oakley (‘The Eclectic Light Company’)：解释：数据和元数据。
Jeffrey Appel：使用Defender中的有效设置来排查已配置的Defender AV设置。
Kevin Beaumont (DoublePulsar)：组织可以从Capita勒索软件事件创纪录的罚款中学到什么。
Magnet Forensics：
- 推出Magnet One移动案件流：现已提供早期访问！
- 相同的应用，不同的数据：向法庭解释为何设备和云数据不匹配。
- 利用数字取证推进员工不当行为调查。
- Magnet用户峰会2026：这是您的演讲目录！
Mark Russinovich (Microsoft)：原生Sysmon功能即将登陆Windows。
Osama Elnaggar：使用Logstash进行闪电般快速的日志丰富化。
Raymond Roethof：
- Microsoft Defender for Identity推荐操作：启用内置Active Directory来宾账户。
- Microsoft Defender for Identity推荐操作：更改KRBTGT账户密码。
- Microsoft Defender for Identity推荐操作：确保所有特权账户都配置了标志。
- Microsoft Defender for Identity推荐操作：更改内置域管理员账户密码。
Salvation DATA：比特币取证和加密货币取证：区块链调查初学者指南。
Sandfly Security：在DigitalOcean上部署和配置Sandfly无代理安全。
Ryan McGeehan (Starting Up Security)：恶意内部人员场景。
THOR Collective Dispatch：
- 现实世界中的紫队演练：当一切都偏离轨道时（这很正常）。
- 调整风险管理与威胁知情防御实践（第2部分）。
Alan Sguigna (White Knight Labs)：使用MCP进行调试、逆向和威胁分析：第2部分。
Victor M. Alvarez (YARA-X)：看，妈妈，没有警告。

软件更新

Airbus Cybersecurity：IRIS-Web v2.4.26
Digital Sleuth：winfor-salt v2025.14.5
Lethal-Forensics：MacOS-Analyzer-Suite v1.1.0
Mandiant：Capa v9.3.1
MISP：
- MISP v2.5.25 – 性能更新
- MISP v2.5.26 – 发布，包含性能改进和互操作性修复
MSAB：XRY 11.2.1：增强对现代设备和操作系统版本的支持
OpenCTI：6.8.13
Passmark Software：OSForensics V11.1 build 1012 2025年11月18日
Phil Harvey：ExifTool 13.42
Xways：X-Ways Forensics 21.7 Preview 3

杂项

本周内容就是这些！如果您认为我遗漏了什么，或者希望我特别报道某些内容，请通过联系页面或社交媒体联系我！使用代码 PM15 或点击此链接，在您的下一个Hexordia课程中享受15%折扣。与我一起上课！使用折扣码 thisweekin4n6 在 Cyber5w 的任何课程中享受15%折扣。