2026年第01周数字取证与事件响应技术周报精选

强化您的身份安全态势：在攻击者发现漏洞之前

在本速查表中，您将了解：

当今需优先修复的四个最高风险身份类别。
分步式的身份安全态势管理成熟度模型和90天实施计划。
如何大规模消除有害权限、强制执行MFA并清除休眠身份。 下载 ISPM 速查表 由 Permiso 赞助

一如既往，感谢那些提供支持、给予回馈的朋友们！

取证分析

Damien Attoe - The Realm Files – Vol 3 – The Realm Header
Ross Donnelly 在 DFIR Review - Word 文档——发生了什么变化？
Forensafe - iOS 共享信息
Patrick Siewert 在 ‘The Philosophy of DFIR’ - “这（不）只是一条短信！”

威胁情报/狩猎

Adam 在 Hexacorn
- Beyond good ol’ Run key, Part 149 – update
- Beyond good ol’ Run key, Part 152
- Beyond good ol’ Run key, Part 154
- Beyond good ol’ Run key, Part 156
- Beyond good ol’ Run key, Part 155
Axelarator - Cobalt Strike Beacon 分析
Brad Duncan 在 Malware Traffic Analysis
- 2025-12-28: 我的Web服务器遭受的十天扫描、探测和网络流量
- 2025-12-07: 我的Web服务器遭受的七天扫描、探测和网络流量
- 2025-12-29: ClickFix 活动导致 NetSupport RAT
- 2025-12-30: 带有后续恶意软件的 Lumma Stealer 感染
- 2026-01-01: 带有后续恶意软件的 Lumma Stealer 感染
Brian Krebs 在 ‘Krebs on Security’ - Kimwolf 僵尸网络正在窥探您的本地网络
Check Point - 12月29日 – 威胁情报报告
CloudSEK - RondoDoX 僵尸网络利用 React2Shell
Deceptiq - 无注册表回调的注册表写入
Disconinja - 每周威胁基础设施调查（第52周）
Erez - 超过50%的 Qilin “受害者” 从未被泄露，我认为这是一个联盟验证问题
Exaforce
- 利用智能体化AI安全检测并中断一次复杂的Google Workspace入侵
- 当受信任的第三方表现得像威胁行为者时
Hudson Rock
- “ClickFix"的产业化：深入剖析 ErrTraffic
- 从受害者到传播者：信息窃取器如何将合法企业变成恶意软件宿主
Huntress
- LDAP 空白字符问题：让 Sigma 规则在生产环境中发挥作用
- 恶意 ScreenConnect：我们在2025年看到的常见社交工程策略
Oleg Skulkin 在 ‘Know Your Adversary’
- 1. 揭秘 Arcane Werewolf 如何滥用 Conhost
- 1. 勒索软件联盟工具包中的又一个 RMM
- 1. Zeltser 挑战赛完成
- 1. 攻击者开始滥用 Controlio
Deborah Donoghue 在 Salesforce Engineering - Agentforce 如何通过事件响应自动化将常见解决时间缩短 70 – 80%
SANS 互联网风暴中心
- 使用 tshark 调试 DNS 响应时间（1月2日，星期五）
- 进入2026年的加密货币诈骗邮件和网页（1月4日，星期日）
Ayush Anand 在 Securityinbits - 域控制器的 wbadmin NTDS.dit 转储检测
Brian Baskin 在 Sublime Security - 来自2025年的5个电子邮件安全趋势 · 博客 · Sublime Security
Surya Teja
- 继续狩猎：WAF 日志中的 PUT、DELETE 和 PATCH 揭示了什么
- 从 WAF 日志到云元数据：重构一次真实的 Spring Boot Actuator 入侵事件
System Weakness - YARA 规则——YARA 意味着合一！——详解（第13天— TryHackMe 2025年网络空间安全降临历）
THOR Collective Dispatch
- Ask-a-Thrunt3r: 2025年12月 – DEcember
- 80篇文章之后
Wiz
- MongoBleed (CVE-2025-14847) 在野利用：您需要知道的一切
- 削减 Shai-Hulud 2.0 的长尾风险

演示文稿/播客

Adversary Universe Podcast - 2025年度回顾：今年最热门话题的更新
Archan Choudhury 在 BlackPerl - SOC分析师告警分类 | 漏洞检测 - Splunk & Tenable
Cellebrite - 周二小贴士：解码引擎发布
DEFCON - DEF CON 33 侦察村
InfoSec_Bret - 挑战 – WordPress 网络取证
Monolith Forensics - 在 Monolith 的用户配置文件中添加电子签名
MyDFIR - 尝试在您的下一个 CTF 中处理这个问题
Parsing The Truth: One Byte at a Time Podcast
- 第1季第32集：表情符号能保证您的安全吗？
- 第1季第33集：数字面包屑：寻找最后的碎屑以找到 Ricky Saxton 的谋杀者
Proofpoint - Operation EndOfYear：新恶意软件、流行战术以及 AI 将引领我们走向何方
Sandfly Security
- Sandfly 操作 – 调度无代理 Linux 威胁检测
- Sandfly 操作 – 查看和理解 Linux 威胁告警
- Sandfly 操作 – 使用 Sandfly 扫描 Linux 主机威胁
The DFIR Journal - 攻击者如何在几分钟内窃取整个邮箱
THE Security Insights Show - 认证到痛为止！
Threat Forest - Uuden vuoden antispesiaali
Three Buddy Problem - 一封特别听众来信，包含书籍推荐

恶意软件

Any.Run - 2025年第四季度恶意软件趋势：深入 ANY.RUN 的最新威胁态势报告
Chamindu Pushpika 在 ChamX - 完整 PAM 后门恶意软件分析 – 详细解析
Cyfirma - APT36：针对印度政府实体的多阶段 LNK 恶意软件活动
Gal Hachamov 在 Koi Security - GlassWorm 转战 Mac：新的基础设施，新的手法
Pranay Kumar Chhaparwal 和 Lee Wei Yeong 在 Palo Alto Networks - 使用 Pyarmor 进行混淆和检测规避的 VVS Discord Stealer
John Tuckner 在 Secure Annex - 浏览器扩展中的提示词窃取活动泛滥
Noushin Shabab 在 Securelist - HoneyMyte APT 进化：配备内核模式 rootkit 和 ToneShell 后门
Shubho57 - Makop 勒索软件变种分析

其他

Derek Eiri - 2025年反思
Fabian Mendoza 在 DFIR Dominican - DFIR 职位更新 – 2025/12/29
Josh Brunty - 圣诞快乐：一份代码礼物
LockBoxx - 课程回顾：Certified CyberDefender (CCD)
Mat Fuchs - 凌晨3点传呼机响起时：事件响应可以从救护车后面和…中学到什么
MISP
- 赋能生态系统：MISP 的2025年进展与开源未来
- NGSOTI：为下一代SOC构建集成的威胁情报与信息共享生态系统
Oxygen Forensics - Oxygen Forensics TechHub 移动应用：您与 Oxygen Forensics 的中心连接
Simone Kraus - 没有幻觉的韧性

软件更新

Crowdstrike - Falconpy 版本 1.6.0
Digital Sleuth - winfor-salt v2026.0.0
Elcomsoft - 推出 Elcomsoft Quick Triage
IntelOwl - v6.5.0
Martin Korman - Regipy 6.2.0：新插件
PuffyCid - Artemis v0.17.0 – 已发布！
radare2 - 6.0.8
Rapid7 - Velociraptor v0.75.6
Serviço de Perícias em Informática - IPED 重大发布

本周内容到此结束！如果您认为我遗漏了什么，或者希望我特别报道某些内容，请通过联系页面或社交媒体渠道与我联系！