2025年第52周数字取证与事件响应技术周刊

本文汇总了2025年第52周数字取证与事件响应领域的重要动态,涵盖取证分析、威胁狩猎、恶意软件、技术工具更新等多个方面,为安全从业者提供全面的技术资讯参考。

强化您的身份安全态势,在攻击者发现漏洞之前

在本速查表中,您将了解:• 需要立即修复的四大最高风险身份类别。• 一个分步实施的ISPM成熟度模型和90天实施计划。• 如何大规模消除有毒权限、强制执行MFA并清除休眠身份。下载ISPM速查表由Permiso赞助。

一如既往,感谢那些提供支持、给予回馈的人们!

取证分析

  • Jessica Hyde @ Hexordia
    • 移动设备取证:为什么对数字证据采取即时行动至关重要
  • ThinkDFIR
    • 检查IconCache数据库
  • Christopher Eng @ DFIR Review
    • 那个Windows记事本窗口真的空着吗?
  • Forensafe
    • iOS Bumble
  • Kenneth G Hartman @ Lucid Truth Technologies
    • 执法部门能在你的iPhone上找到什么
  • Surya Teja
    • 通过WAF日志揭露威胁:威胁猎手的视角
    • 狩猎AWS CloudTrail中的威胁:从威胁情报到主动风险降低
    • 当MFA还不够时:一起真实AiTM事件回顾
    • DFIR报告:通过恶意广告和特洛伊木马化工具传播的TamperedChef恶意软件

威胁情报/狩猎

  • ASEC
    • GeoServer,各种CoinMiner攻击的发生地
  • Brad Duncan @ Malware Traffic Analysis
    • 2025-12-11: 使用finger命令的SmartApeSG ClickFix活动
    • 2025-12-17: Mirai活动 (Linux流量)
    • 2025-12-22: 伪装成流行软件破解版的StealC窃密软件
    • 2025-12-11: 使用finger命令的Kongtuke ClickFix活动
    • 2025-12-23: MacSync Stealer感染
  • CERT-AGID
    • n8n中的严重漏洞。对暴露在互联网上的实例构成高风险
  • Check Point
    • 12月22日 – 威胁情报报告
    • 利用受信任的谷歌云自动化能力规避检测的网络钓鱼活动
  • Jhon Astronomo @ Cofense
    • 从邮件到数据外泄:威胁行为者如何窃取ADP登录凭证和个人数据
  • Allen Marin @ Corelight
    • 检测网络内部的横向移动与规避行为 | Corelight
  • CyberBoo
    • Microsoft Defender for Endpoint – 第6部分:高级威胁狩猎与实战KQL
  • Cyfirma
    • 每周情报报告 – 2025年12月26日
  • D3Lab
    • Conad虚假促销:利用积分的新骗局活动如何运作
    • 警惕新的Fineco虚假门户网站:陷阱在验证码之后触发
  • DebugPrivilege
    • 在内存转储中狩猎CVE-2025-59287
  • Detect FYI
    • 使用Osquery Manager进行威胁狩猎
    • 对EDR冻结攻击的法证洞察
  • Disconinja
    • 每周威胁基础设施调查(第51周)
  • DomainTools Investigations
    • B2B2C供应链攻击:酒店预订账户被攻破以攻击客户
  • Eric Capuano
    • 狩猎MongoBleed (CVE-2025-14847)
  • FalconFeeds
    • 战略威胁评估:麒麟勒索软件卡特尔(2022–2026)
    • 拉撒路星群:关于朝鲜网络战机构的全面情报档案(2009–2026)
  • Flare
    • Docker Hub上的加密挖矿供应链滥用:在众目睽睽下隐藏恶意软件
    • 调查加密地下世界的网络犯罪
  • Flashpoint
    • 信息窃取器网关:揭示最新的防御规避方法
  • GreyNoise Labs
    • ColdFusion++圣诞活动:捕获一次协同的回调灾难
  • Group-IB
    • 中东和北非的虚假承诺:在线快钱计划如何利用零工经济
  • Huntress
    • 试错与拼写错误:为什么有些恶意软件攻击并不像你想象的那么“复杂”
    • Tradecraft周二回顾:React2Shell, ClickFix,以及AI诈骗的兴起
  • Ruben Madar @ Intrinsec
    • 映射与俄罗斯市场基础设施有联系的威胁行为者“Fly”
  • Sunny Chau @ JUMPSEC Labs
    • TokenFlare:60秒内完成无服务器AiTM网络钓鱼
  • Kevin Beaumont @ DoublePulsar
    • 圣诞快乐!来一起MongoDB安全事件。
  • Level Blue
    • 2025威胁趋势分析
  • Magic Sword
    • POORTRY在2025年依然活跃:悬而未决的微软签名危机
  • Matthew Plascencia
    • Velciraptor 102
  • Oleg Skulkin @ ‘Know Your Adversary’
    • 355. 狩猎ESXCLI滥用
    • 356. 攻击者滥用Archive.org存储恶意PNG文件
    • 357. 这就是为什么我经常谈论它!
    • 358. 攻击者滥用GoToHTTP实现冗余访问
    • 359. 狩猎可疑的文件删除事件
    • 360. Valley RAT如何修改注册表存储插件
    • 361. 攻击者如何操纵卷影复制服务
    • 362. 勒索软件团伙使用此工具进行发现
  • Qi’anxin X Lab
    • 可供下载的数据集:带有CVE标签的真实HTTP流量
  • Securelist
    • 评估SIEM有效性
    • Evasive Panda APT通过投毒DNS请求来投递MgBot
    • 2025年第三季度工业自动化系统威胁态势
  • Seqrite
    • UNG0801:追踪痴迷于AV图标伪装、针对以色列的威胁集群
    • 针对本地企业的印度所得税主题网络钓鱼活动
  • Socket
    • 恶意Chrome扩展程序“Phantom Shuttle”伪装成VPN以拦截流量和窃取凭据
    • 2025年报告:开源软件包中的破坏性恶意软件
    • 滥用npm注册表针对美国和盟国制造业及医疗保健组织的鱼叉式网络钓鱼活动
  • Marco A. De Felice aka amvinfe @ SuspectFile
    • Anubis勒索软件:深入了解现代勒索软件团伙的心态与方法
  • The Raven File
    • 重新审视MEDUSA LOCKER勒索软件
  • Vasilis Orlof @ Cyber Intelligence Insights
    • 圣诞大亨
  • Chris Kelvin @ Блог Solar 4RAYS
    • 解密Bincrypter

演讲/播客

  • Archan Choudhury @ BlackPerl
    • 重磅发布 - 学习路径与免费实验室 - Pwndora
  • ArcPoint Forensics
    • 12天的DFIR节日 – 第3季,第6集:Keith Lockhart
    • 12天的DFIR节日 – 第3季,第7集:Jessa Jones
    • 12天的DFIR节日 – 第3季,第8集:Sam Brothers
  • Black Hat
    • 主题演讲:勒索软件机器内部
  • BSidesFrankfurt
    • BSidesFrankfurt 2025
  • Cellebrite
    • 周二小贴士:C2C用户峰会上的培训机会
  • InfoSec_Bret
    • SA – SOC153 EventID: 238 – 可疑的PowerShell脚本执行
  • Karsten Hahn @ Malware Analysis For Hedgehogs
    • 恶意软件分析 – RenPy游戏,在2956个文件中寻找恶意代码,初学者友好
  • Marcus Hutchins
    • 这份工作的“带回家测试”就是恶意软件
  • Monolith Forensics
    • Monolith中的案例统计部件
  • MSAB
    • #MSABMonday – XRY iOS屏幕截图
  • MyDFIR
    • 他成功受聘为SOC分析师 – 这些方法很有效
  • Parsing the Truth: One Byte at a Time
    • 表情符号能保你安全吗?
  • Three Buddy Problem
    • 安静的胜利,响亮的失败:年终网络安全反思

恶意软件

  • Charlie Eriksen @ Aikido
    • 首次在Maven Central通过针对Jackson的域名抢注攻击发现复杂恶意软件
  • CloudSEK
    • 使用税务主题钓鱼诱饵针对印度的银狐组织
  • Genians
    • 阿尔忒弥斯行动:基于HWP的DLL侧加载攻击分析
  • Jamf
    • 从ClickFix到代码签名:MacSync Stealer恶意软件的悄然转变
  • Tuval Admoni @ Koi Security
    • 下载量5.6万的NPM包被发现窃取WhatsApp消息
  • John Tuckner @ Secure Annex
    • Stayfocusd
  • Pierre Le Bourhis and Jeremy Scion @ Sekoia
    • 配置提取的降临 – 第4部分:将capa转变为TinyShell变体的配置提取器
  • Shubho57
    • 恶意Linux脚本分析
  • Zhassulan Zhussupov
    • 恶意软件开发技巧 55:通过NtQuerySystemInformation枚举进程。简单C语言示例。

其他

  • Yulia Samoteykina @ Atola
    • 2025。年度回顾
  • Brett Shavers
    • DFIR(正如我们使用的)始于一个话题标签。
  • Cellebrite
    • Corellium移动安全手册
  • Fabian Mendoza @ DFIR Dominican
    • DFIR职位更新 – 2025年12月22日
  • Elcomsoft
    • 推出免费取证工具
  • Forensic Focus
    • SS8白皮书揭示调查人员如何揭露基于贸易的洗钱活动
    • Si And Desi的2025节日特辑
    • Forensic Focus与诺森比亚大学启动数字取证调查员国际福祉研究
    • S21 VisionX聚焦:第4周 – 高级洞察、协作与法庭就绪结果
  • Josh Brunty
    • 连接学术界与工业界:我在Forcepoint播客上谈网络安全培训与招聘
  • Salvation DATA
    • 恢复出厂设置与数据安全:你的手机真的干净了吗?

软件更新

  • Crowdstrike
    • Falconpy 版本 1.5.5
  • Martin Korman
    • Regipy 6.1.0
  • Metaspike
    • Forensic Email Intelligence 2.2.658 发行说明
  • MISP
    • MISP v2.5.31 发布 – 稳定性、同步改进及年终知识库刷新
  • OpenCTI
    • 6.9.4
  • Phil Harvey
    • ExifTool 13.45
  • Xways
    • X-Ways Forensics 21.7 预览版 6

本周内容就是这些!如果你觉得我遗漏了什么,或者希望我特别关注某个内容,请通过联系页面或社交媒体渠道与我联系!

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次