2025年第39周数字取证与事件响应技术动态汇总

赞助内容

Salesloft-Drift入侵事件内幕：对SaaS与身份安全的意义
在本环节中，Permiso的CTO将涵盖：

• 攻击者如何利用被盗OAuth令牌从GitHub→AWS→Salesforce横向移动
• 为何这种"全机器"攻击为SaaS供应链和NHI敲响警钟
• 在您的环境中检测和遏制类似威胁的实用步骤
  观看视频播客
  由Permiso赞助

取证分析

• Christopher Eng at Ogmini - Gmail应用 - IMAP账户痕迹（附件）
• 安卓Pixel 7上数字照片的生命周期 - 第1部分
• Oleg Afonin at Elcomsoft - 苹果Face ID：安全影响与潜在漏洞
• Forensafe - 调查安卓Google Chat
• Yann Malherbe at InfoGuard Labs - VHDX调查自动化
• Matthew Plascencia - 我已经这么老了吗？：iOS 26中的新取证痕迹
• Mattia Epifani at Zena Forensics - 探索安卓设备数据提取：可访问的数据类型及方法
• Salvation DATA - Windows Shellbags详解：它们是什么及如何在数字取证中提供帮助

威胁情报/狩猎

• Amy Tierney at AppOmni - 将TTP映射到SaaS供应链攻击：近期SaaS违规事件
• AttackIQ - RomCom的演变：从后门到网络战
• 对CISA咨询(AA25-266A)的响应：CISA分享事件响应参与的经验教训
• Maria Vasilevskaya at Auth0 - 检测注册欺诈：使用Auth0日志保护业务的3种方法
• Barracuda - Lazarus Group：带有旗帜的犯罪集团
• SOC案例档案：Akira勒索软件将受害者的远程管理工具转向自身
• Brad Duncan at Malware Traffic Analysis - 2025-09-24：Lumma窃取程序感染及后续恶意软件（可能为Ghostsocks/Go后门）
• Brian Krebs at 'Krebs on Security' - 联邦调查局将'Scattered Spider'二人组与1.15亿美元赎金联系起来
• CERT-AGID - 9月20-26周恶意活动汇总摘要
• Check Point - 9月22日威胁情报报告
• Nimbus Manticore部署针对欧洲的新恶意软件
• 越位玩法：威胁行为者如何为2026年FIFA热身
• CISA - CISA分享事件响应参与的经验教训
• 影响npm生态系统的广泛供应链泄露
• Cisco's Talos - 当您参与Cisco Talos事件响应时会发生什么？
• RainyDay、Turian和新PlugX变种如何滥用DLL搜索顺序劫持
• CloudSEK - 分发RondoDoX和Mirai有效载荷的僵尸网络加载器即服务基础设施
• Kahng An at Cofense - 越南威胁行为者Lone None的版权删除欺骗活动内幕
• Gary Warner at CyberCrime & Doing Time - Microsoft DCU对RaccoonO365的取缔
• Cyberdom - 令牌保护：优点、缺点与假设
• Cyble - Cyble蜜罐检测近两打漏洞的利用尝试
• 2025年澳大利亚勒索软件格局：丰厚目标吸引勒索软件团伙
• Cyfirma - 每周情报报告 - 2025年9月26日
• Damien Lewke - 氛围黑客：Anthropic如何使威胁狩猎成为必需
• Darknet - 2025年勒索软件支付与上升事件数量 - RaaS经济学的变化
• Disconinja - 每周威胁基础设施调查（第38周）
• DomainTools Investigations - Salt Typhoon内幕：中国的国家企业高级持续威胁
• Erik Hjelmvik at Netresec - Gh0stKCP协议
• Expel - Gonzo威胁狩猎：LapDogs & ShortLeash
• gm0 - 绅士勒索软件组织画像 - 第1部分：背景、动机、附属组织与归因
• Sarah Yoder等 at Google Cloud Threat Intelligence - 另一场BRICKSTORM：潜入科技和法律部门的隐形后门
• Howard Poston at HackTheBox - 警惕Cozy Bear：剖析APT29的混淆JavaScript水坑活动
• Hunt IO - 狩猎C2面板：识别命令控制仪表板的初学者指南
• Huntress - 2025年数据泄露的平均成本是多少？| Huntress
• 越南威胁行为者从PXA窃取程序转向PureRAT
• InfoSec Write-ups - 自动化勒索软件情报：Feed ransomware.live
• Linux威胁检测1
• Adam Goss at Kraven Security - 从日志到线索：Brutus Sherlock的实际网络调查
• Microsoft Security - AI对抗AI：检测AI混淆的网络钓鱼活动
• 零售业风险：一个警报如何发现持久网络威胁
• XCSSET再次演变：分析XCSSET库存的最新更新
• Natto Thoughts - Salt Typhoon究竟是谁？解开归因挑战
• Ben Lister at NetSPI - 网络研讨会回顾：关于勒索软件您希望不必知道的一切
• NVISO Labs - 检测工程：实践检测即代码 - 部署 - 第6部分
• 保护Microsoft Entra ID：实战经验 - 第1部分
• Oleg Skulkin at 'Know Your Adversary' - 264. 狩猎SnakeDisk
• 265. 狩猎Akira用于渗漏的另一个合法工具
• 266. 狩猎PteroGraphin
• 268. 狩猎COLDRIVER
• 267. 狩猎PteroEffigy
• 269. adversaries如何滥用Winlogon功能
• 270. 狩猎Shai-Hulud
• Outpost24 - zerodayx1：黑客行动主义团体转向勒索软件操作
• Olymp Loader：用汇编编写的新恶意软件即服务
• Dena De Angelo at Palo Alto Networks - 勒索软件速度危机
• Aditya Vats at Permiso - 重新思考AI安全：每次交互都与身份相关
• Promon - 2025年第二季度应用威胁报告：金融应用中的传统恶意软件与新兴AI威胁
• Pulsedive - NPM泄露：Shai-Hulud供应链攻击的愤怒
• Raymond Roethof - Microsoft Defender for Identity推荐操作：移除具有DCSync权限的非管理员账户
• Recorded Future - RedNovember瞄准政府、国防和技术组织
• Red Canary - Node问题：跟踪最近的npm软件包泄露
• 双重代理：adversaries如何滥用商业AI产品中的"代理模式"
• AI时代重新定义事件响应
• 情报洞察：2025年9月
• Ian Briley at Red Siege Information Security - 威胁检测简化：Splunk攻击范围基础
• Resecurity - 混沌三位一体：LAPSUS$、ShinyHunters和Scattered Spider联盟开启全球网络犯罪狂潮
• SANS Internet Storm Center - 求助：这些奇怪的请求是什么？，（9月21日，周日）
• [客座日记] 为乐趣和利益分散分析师注意力，（9月23日，周二）
• 针对旧版Hikvision摄像头漏洞的利用尝试，（9月24日，周三）
• 隐藏在.well-known位置的Webshell，（9月25日，周四）
• 新工具：convert-ts-bash-history.py，（9月26日，周五）
• Securityinbits - 使用MinusOne反混淆PowerShell
• 通过comsvcs.dll的LSASS转储：Defender检测指南
• Silent Push - Silent Push分析针对2025年摩尔多瓦选举的新虚假信息活动，与莫斯科遗留影响力活动相关联
• Silent Push检查动态DNS提供商的黑暗面
• Alex Hegyi and Vince Zell at Stairwell - 如何使用YARA检测NPM包管理器供应链攻击
• Sublime Security - 应用商店和TestFlight中的虚假Meta广告管理器用于网络钓鱼Meta广告账户
• 超越"合理无意义"：对我们安全编码代理ADÉ的严格评估
• System Weakness - 工具与检测 - 防御者如何发现您最喜欢的黑客工具
• Linux威胁检测1：SOC分析师和取证学习者的TryHackMe演练
• The Raven File - GUNRA勒索软件：您不知道的内容！
• THOR Collective Dispatch - 基线盛宴：您应该做的十个基线狩猎（以及如何做）
• 调度汇报：2025年9月
• Trellix - 揭露隐藏威胁：发现DPRK IT工作者活动
• 当AD被入侵时：使用Trellix NDR检测NTDS.dit转储和渗漏
• npm账户劫持与供应链攻击的兴起
• Fernando Tucci at Trend Micro - 您的LLM如何被入侵
• Simon Biggs at Varonis - 我的密钥在哪里？！勒索软件团伙窃取AWS密钥以推进攻击
• Wiz - IMDS被滥用：狩猎稀有行为以发现漏洞
• 恶意软件调用AI的新兴用途

即将举行的活动

• Black Hills Information Security - 谈论[infosec]新闻 2025-09-29 #直播 #infosec #infosec新闻
• Cellebrite - 2025年秋季发布：透过APAC镜头
• Magnet Forensics - 法律解压 E1：数字证据的搜查令：数据驱动方法
• Yuri Gubanov at Belkasoft - BelkaGPT & BelkaGPT Hub：真正适用于DFIR的AI

演示/播客

• Belkasoft - 时间谎言：使用伪造时间戳检测恶意软件 | Vedant Narayan
• Black Hat - 工匠裁缝LLM间谍：调查和响应GenAI聊天机器人攻击
• 在盒子内思考：针对性攻击中Windows沙箱的野外滥用
• Operation BlackEcho：使用虚假金融和疫苗应用进行语音网络钓鱼
• Cellebrite - 提示星期二：添加证据
• Google云安全播客 - EP244 SOAPA的未来：Jon Oltsik谈平台整合与最佳组合在代理AI时代
• Cyber from the Frontlines - E17 利用情感 inside 浪漫骗局
• Huntress - 什么是商业电子邮件妥协（BEC）以及黑客如何使用它？
• InfoSec_Bret - SA – SOC246 EventID: 208 – 检测到强制认证
• John Hammond - ServiceUI.exe
• 暗网泄露网站
• Magnet Forensics - 介绍新的Magnet Nexus混合收集代理
• Mobile Unpacked S3:E9 // 这就是我所说的iOS：26
• Matthew Plascencia - Wireshark显示过滤器 | Wireshark 4
• Microsoft威胁情报播客 - 使用AI阻止域名冒充
• Monolith Forensics - Monolith中的监管链操作
• MSAB - #MSABMonday 子集GUID
• MyDFIR - 如何设置和安装T-Pot蜜罐（更新版）
• 网络安全SOC分析师实验室 - 电子邮件分析（PhishStrike）
• Off By One Security - 使用SHAREM Shellcode分析框架处理Shellcode
• 入门Windows栈溢出利用
• Parsing the Truth: One Byte at a Time - Elsbeth对抗AI
• Proofpoint - 辣酱和热评：Only Malware in the Building特别节目
• The Weekly Purple Team - 使用WSASS丢弃凭证以绕过PPL
• Three Buddy Problem - LABScon现场：Aurora Johnson和Trevor Hilligoss谈中国'互联网厕所'
• LABScon现场：Lindsay Freeman追踪Wagner集团战争罪行
• LABScon现场：Visi Stark分享创建APT1报告的回忆
• Cisco防火墙零日漏洞和野外bootkit

恶意软件

• Any.Run - 对抗电信网络攻击：调查针对英国公司的活动
• ASEC - 通过Windows快捷方式（LNK）绕过Mark of the Web（MoTW）：LNK Stomping技术
• Darktrace - ShadowV2：新兴的DDoS租用僵尸网络
• Dr Josh Stroschein - PRINTF在哪里？使用旧库文件与NASM链接
• 在Windows中链接C和NASM的目标文件
• 汇编短片 - 创建FOR循环
• Paul Asadoorian at Eclypsium - HybridPetya勒索软件显示为何固件安全不能事后考虑
• Esentire - 风暴之眼：分析DarkCloud的最新功能
• Yurren Wan at Fortinet - SVG网络钓鱼用Amatera窃取程序、PureMiner攻击乌克兰
• G Data Software - BlockBlasters：受感染的Steam游戏下载伪装成补丁的恶意软件
• Intrinsec - Acreed分析，一个崛起的窃取程序
• Priyadharshini at K7 Labs - 从LNK到RAT：深入探究LNK恶意软件感染链
• Kyle Cucci at SecurityLiterate - 沙盒中的大象：分析DBatLoader的沙盒规避技术
• Pieter Arntz at Malwarebytes - 新的基于SVG的网络钓鱼活动是灾难的配方
• Ghanashyam Satpathy and Xinjun Zhang at Netskope - 超越签名：使用ML驱动的沙盒检测Lumma窃取程序
• OSINT Team - 恶意软件分析：HTB Sherlocks Writeup- Loggy
• Python开发者注意：这些无辜的PyPI软件包秘密地用致命RAT劫持您的系统！
• 恶意软件分析 - 介绍与工具
• 政府服务应用中假应用模式下安卓恶意软件的传播
• 第61天- 初学者威胁情报和OSINT基础
• Palo Alto Networks - Operation Rewrite：中文威胁行为者大规模部署BadIIS进行SEO投毒活动
• Bookworm to Stately Taurus使用Unit 42归因框架
• Shubho57 - 分析JavaScript文件，其中恶意网络IP导致Nanocore RAT
• Siddhant Mishra - Kimsuky / APT43泄露的初步文件列表分析
• Liran Tal at Snyk - npm上的恶意MCP服务器postmark-mcp窃取电子邮件
• Socket - 恶意fezbox npm包通过创新QR码隐写技术从Cookie窃取浏览器密码
• 两个恶意Rust Crate冒充流行记录器窃取钱包密钥
• Gabor Szappanos and Steeve Gaudreault at Sophos - HeartCrypt的大规模冒充努力
• Puja Srivastava at Sucuri - 隐藏的WordPress后门创建管理员账户
• Sarah Pearl Camiling and Jacob Santos at Trend Micro - 新LockBit 5.0针对Windows、Linux、ESXi
• Jason Reaves at Walmart - 提供代理软件和货币化方案的NodeJS后门
• Zhassulan Zhussupov - 恶意软件开发：持久性 - 第29部分。添加Windows Terminal配置文件。简单C示例。
• ZScaler - Zloader更新的技术分析
• YiBackdoor：与IcedID和Latrodectus相关的新恶意软件家族
• COLDRIVER用BAITSWITCH和SIMPLEFIX更新武器库

杂项

• Anton Chuvakin - 解耦SIEM：我认为我们现在的位置？
• Kyle Shields and Matt Meck at AWS Security - 使用AWS安全事件响应优化安全运营
• Belkasoft - BelkaGPT和BelkaGPT Hub：真正适用于DFIR的AI
• Brett Shavers - DF/IR中的AI：谁先拉开拉环？
• Cellebrite - 重新思考数字证据共享：超越现代警务的旧习惯
• 掌握数字取证案件作证的5个最佳实践
• Cybereason - 7000+次IR之后：11个基本网络安全控制
• DFIR Dominican - DFIR工作更新 - 09/22/25
• 如何进入DFIR（第5部分，共5部分）- 专业化
• Forensic Focus - Atola Insight Forensic 5.7引入新逻辑成像模块以加快证据获取
• 总结S21 GAD和调查员健康焦点会议 - 我们涵盖的内容
• 数字取证综述，2025年9月24日
• Magnet Forensics介绍新的Magnet Nexus混合收集代理
• Amped Software通过新标签、多ROI运动检测和关键帧重用在最新Amped Replay中促进编辑
• 即将举行的网络研讨会 - 超越AI炒作：Exterro Intelligence提供您可信任的结果
• Debbie Garner at Hexordia - 培训急救人员处理数字证据：如何保护您的部门免受案件破坏性错误
• Howard Oakley at 'The Eclectic Light Company' - 统一日志内部1：目标与架构
• 统一日志内部2：为何浏览日志？
• Magnet Forensics - 介绍新的Magnet Nexus混合收集代理
• 超越按钮取证：取证自动化的现实
• 私营部门数字伪造、欺诈和伪造的上升成本
• MobilEdit - 新Apple Watch阅读器来了！从最新Apple Watch设备获取数据
• Amber Schroader at Paraben Corporation - 为何OSINT + DFIR是终极强力组合
• Security Onion - Security Onion文档印刷书籍现已更新至Security Onion 2.4.180！
• Sygnia - 构建高性能事件响应团队：关键角色、职责和结构
• The Cybersec Café - 安全工程师入门指南：云安全

软件更新

• Arkime v5.8.0
• Brian Maloney - OneDriveExplorer v2025.09.24
• Digital Sleuth - winfor-salt v2025.10.11
• Microsoft - msticpy – M365认证、Bokeh修复、RRCF异常值、Prisma Cloud…
• OpenCTI 6.8.0
• Phil Harvey - ExifTool 13.37
• PuffyCid - Artemis v0.16.0 – 发布！
• The Metadata Perspective - HEART：健康事件与活动报告工具
• Volatility Foundation - Volatility 3 2.26.2
• Yamato Security - Hayabusa v3.6.0 – Nezamezuki发布

本周内容就是这些！如果您认为我遗漏了什么，或希望我特别报道某些内容，请通过联系页面或社交媒体渠道与我联系！
使用折扣码thisweekin4n6在Cyber5w任何课程享受15%优惠。
使用代码PM15或点击此链接在您下一个Hexordia课程享受15%优惠
与我一起上课！
更多精彩内容 请关注我的个人公众号 公众号（办公AI智能小助手）
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号（网络安全技术点滴分享）

公众号二维码

公众号二维码