2025年第39周数字取证与事件响应技术动态

赞助内容

Salesloft-Drift入侵内幕：对SaaS与身份安全的意义
在本环节中，Permiso的CTO将涵盖：

• 攻击者如何利用被盗OAuth令牌从GitHub→AWS→Salesforce横向移动
• 为何这种"全机器"攻击为SaaS供应链和NHI敲响警钟
• 在您的环境中检测和遏制类似威胁的实用步骤
  观看视频播客
  由Permiso赞助

取证分析

• Christopher Eng at Ogmini：Gmail应用 - IMAP账户痕迹（附件）
• 安卓Pixel 7上数字照片的生命周期 - 第1部分
• Oleg Afonin at Elcomsoft：苹果Face ID：安全影响与潜在漏洞
• Forensafe：调查安卓Google Chat
• Yann Malherbe at InfoGuard Labs：VHDX调查自动化
• Matthew Plascencia：我已经这么老了吗？：iOS 26中的新取证痕迹
• Mattia Epifani at Zena Forensics：探索从安卓设备提取数据：您可以访问哪些数据以及如何访问
• Salvation DATA：Windows Shellbags详解：它们是什么以及如何在数字取证中提供帮助

威胁情报/狩猎

• Amy Tierney at AppOmni：将TTP映射到SaaS供应链攻击：近期SaaS违规事件
• AttackIQ：RomCom的演变：从后门到网络战
• 对CISA咨询(AA25-266A)的响应：CISA分享事件响应参与的经验教训
• Maria Vasilevskaya at Auth0：检测注册欺诈：使用Auth0日志保护业务的3种方法
• Barracuda：Lazarus组织：带有旗帜的犯罪集团
• SOC案例文件：Akira勒索软件将受害者的远程管理工具转向自身
• Brad Duncan at Malware Traffic Analysis：2025-09-24：Lumma窃取程序感染与后续恶意软件（可能是Ghostsocks/Go后门）
• Brian Krebs at 'Krebs on Security'：联邦调查局将'Scattered Spider'二人组与1.15亿美元赎金联系起来
• CERT-AGID：9月20-26周恶意活动汇总概要
• Check Point：9月22日 - 威胁情报报告
• Nimbus Manticore部署针对欧洲的新恶意软件
• 越位玩法：威胁行为者如何为2026年FIFA热身
• CISA：CISA分享事件响应参与的经验教训
• 影响npm生态系统的广泛供应链泄露
• Cisco's Talos：当您参与Cisco Talos事件响应时会发生什么？
• RainyDay、Turian和新PlugX变体如何滥用DLL搜索顺序劫持
• CloudSEK：分发RondoDoX和Mirai有效载荷的僵尸网络加载器即服务基础设施
• Kahng An at Cofense：越南威胁行为者Lone None的版权删除欺骗活动内幕
• Gary Warner at CyberCrime & Doing Time：微软DCU取缔RaccoonO365
• Cyberdom：令牌保护：优点、缺点和假设
• Cyble：Cyble蜜罐检测近两打漏洞的利用尝试
• 2025年澳大利亚勒索软件格局：丰厚目标吸引勒索软件组织
• Cyfirma：每周情报报告 - 2025年9月26日
• Damien Lewke：氛围黑客：Anthropic如何使威胁狩猎成为不可协商
• Darknet：2025年勒索软件支付与上升事件数量 - RaaS经济学的变化
• Disconinja：每周威胁基础设施调查（第38周）
• DomainTools Investigations：Salt Typhoon内幕：中国的国家-企业高级持续威胁
• Erik Hjelmvik at Netresec：Gh0stKCP协议
• Expel：Gonzo威胁狩猎：LapDogs & ShortLeash
• gm0：绅士勒索软件组织画像 - 第1部分：背景、动机、附属组织和归因
• Sarah Yoder等 at Google Cloud Threat Intelligence：另一场BRICKSTORM：潜入科技和法律部门的隐秘后门
• Howard Poston at HackTheBox：警惕Cozy Bear：剖析APT29的混淆JavaScript水坑活动
• Hunt IO：狩猎C2面板：识别命令控制仪表板的初学者指南
• Huntress：2025年数据泄露的平均成本是多少？| Huntress
• 越南威胁行为者从PXA窃取程序转向PureRAT
• InfoSec Write-ups：自动化勒索软件情报：Feed ransomware.live
• Linux威胁检测1
• Adam Goss at Kraven Security：从日志到线索：Brutus Sherlock的实际网络调查
• Microsoft Security：AI vs. AI：检测AI混淆的网络钓鱼活动
• 零售业风险：一个警报如何发现持久网络威胁
• XCSSET再次演变：分析XCSSET库存的最新更新
• Natto Thoughts：Salt Typhoon究竟是谁？解开归因挑战
• Ben Lister at NetSPI：网络研讨会回顾：关于勒索软件您希望不必知道的一切
• NVISO Labs：检测工程：实践检测即代码 - 部署 - 第6部分
• 保护Microsoft Entra ID：现场经验教训 - 第1部分
• Oleg Skulkin at 'Know Your Adversary'：
  • 264. 狩猎SnakeDisk
  • 265. 狩猎Akira用于渗漏的另一个合法工具
  • 266. 狩猎PteroGraphin
  • 268. 狩猎COLDRIVER
  • 267. 狩猎PteroEffigy
  • 269. 对手如何滥用Winlogon功能
  • 270. 狩猎Shai-Hulud
• Outpost24：zerodayx1：黑客活动组织转向勒索软件操作
• Olymp Loader：用汇编编写的新恶意软件即服务
• Dena De Angelo at Palo Alto Networks：勒索软件速度危机
• Aditya Vats at Permiso：重新思考AI安全：每次交互都与身份相关
• Promon：应用威胁报告2025年第二季度：金融应用中的传统恶意软件和新兴AI威胁
• Pulsedive：NPM泄露：Shai-Hulud供应链攻击的愤怒
• Raymond Roethof：Microsoft Defender for Identity推荐操作：移除具有DCSync权限的非管理员账户
• Recorded Future：RedNovember针对政府、国防和技术组织
• Red Canary：
  • 节点问题：追踪近期npm软件包泄露
  • 双重代理：对手如何滥用商业AI产品中的"代理模式"
  • 在AI时代重新定义事件响应
  • 情报洞察：2025年9月
• Ian Briley at Red Siege Information Security：威胁检测简化：Splunk攻击范围基础
• Resecurity：混沌三位一体：LAPSUS$、ShinyHunters和Scattered Spider联盟展开全球网络犯罪狂潮
• SANS Internet Storm Center：
  • 求助：这些奇怪的请求是什么？，（9月21日，星期日）
  • [客座日记] 为乐趣和利益分散分析师注意力，（9月23日，星期二）
  • 针对旧版Hikvision摄像头漏洞的利用尝试，（9月24日，星期三）
  • 隐藏在.well-known位置的Webshell，（9月25日，星期四）
  • 新工具：convert-ts-bash-history.py，（9月26日，星期五）
• Securityinbits：
  • 使用MinusOne反混淆PowerShell
  • 通过comsvcs.dll进行LSASS转储：Defender检测指南
• Silent Push：
  • Silent Push分析针对2025年摩尔多瓦选举的新虚假信息活动，与莫斯科遗留影响力活动相关
  • Silent Push检查动态DNS提供商的黑暗面
• Alex Hegyi和Vince Zell at Stairwell：如何使用YARA检测NPM包管理器供应链攻击
• Sublime Security：
  • App Store和TestFlight中的虚假Meta广告管理器用于网络钓鱼Meta广告账户
  • 超越"似是而非的废话"：对我们安全编码代理ADÉ的严格评估
• System Weakness：
  • 工具 vs. 检测 - 防御者如何发现您最喜欢的黑客工具
  • Linux威胁检测1：SOC分析师和取证学习者的TryHackMe演练
• The Raven File：GUNRA勒索软件：您不知道的内容！
• THOR Collective Dispatch：
  • 基线狂欢：您应该做的十个基线狩猎（以及如何做）
  • 调度汇报：2025年9月
• Trellix：
  • 揭露隐藏威胁：发现朝鲜IT工作者活动
  • 当AD被入侵时：使用Trellix NDR检测NTDS.dit转储和渗漏
  • npm账户劫持和供应链攻击的兴起
• Fernando Tucci at Trend Micro：您的LLM就是这样被入侵的
• Simon Biggs at Varonis：我的密钥在哪里？！勒索软件组织窃取AWS密钥以推进攻击
• Wiz：
  • IMDS被滥用：狩猎罕见行为以发现漏洞利用
  • 恶意软件调用AI的新兴使用

即将举行的活动

• Black Hills Information Security：谈论[信息安全]新闻2025-09-29 #直播 #信息安全 #信息安全新闻
• Cellebrite：2025年秋季发布：透过亚太地区视角
• Magnet Forensics：法律解读第一集：数字证据的搜查令：数据驱动方法
• Yuri Gubanov at Belkasoft：BelkaGPT & BelkaGPT Hub：真正适用于DFIR的AI

演示/播客

• Belkasoft：时间谎言：使用伪造时间戳检测恶意软件 | Vedant Narayan
• Black Hat：
  • 工匠裁缝LLM间谍：调查和响应GenAI聊天机器人攻击
  • 在盒子内思考：Windows沙箱在定向攻击中的实际滥用
  • Operation BlackEcho：使用虚假金融和疫苗应用进行语音网络钓鱼
• Cellebrite：周二提示：添加证据
• Google的云安全播客：EP244 SOAPA的未来：Jon Oltsik谈平台整合与最佳组合在代理AI时代
• Cyber from the Frontlines：E17 在浪漫骗局中利用情感
• Huntress：什么是商业电子邮件泄露(BEC)以及黑客如何使用它？
• InfoSec_Bret：SA - SOC246 EventID: 208 - 检测到强制认证
• John Hammond：
  • ServiceUI.exe
  • 暗网泄露网站
• Magnet Forensics：
  • 介绍新的Magnet Nexus混合收集代理
  • Mobile Unpacked S3:E9 // 这就是我所说的iOS：26
• Matthew Plascencia：Wireshark显示过滤器 | Wireshark 4
• Microsoft威胁情报播客：使用AI阻止域名冒充
• Monolith Forensics：Monolith中的监管链操作
• MSAB：#MSABMonday 子集GUID
• MyDFIR：
  • 如何设置和安装T-Pot蜜罐（更新版）
  • 网络安全SOC分析师实验室 - 电子邮件分析（PhishStrike）
• Off By One Security：
  • 使用SHAREM Shellcode分析框架处理Shellcode
  • 入门Windows栈溢出利用
• Parsing the Truth: One Byte at a Time：Elsbeth对抗AI
• Proofpoint：辣酱和热评：Only Malware in the Building特别节目
• The Weekly Purple Team：使用WSASS丢弃凭据以绕过PPL
• Three Buddy Problem：
  • LABScon现场：Aurora Johnson和Trevor Hilligoss谈中国'互联网厕所'
  • LABScon现场：Lindsay Freeman追踪瓦格纳集团战争罪行
  • LABScon现场：Visi Stark分享创建APT1报告的记忆
  • 思科防火墙零日漏洞和野外bootkit

恶意软件

• Any.Run：对抗电信网络攻击：调查针对英国公司的活动
• ASEC：通过Windows快捷方式(LNK)绕过Mark of the Web(MoTW)：LNK Stomping技术
• Darktrace：ShadowV2：新兴的DDoS租用僵尸网络
• Dr Josh Stroschein：
  • PRINTF在哪里？使用遗留库文件与NASM链接
  • 在Windows中链接C和NASM的目标文件
  • 汇编短片 - 创建FOR循环
• Paul Asadoorian at Eclypsium：HybridPetya勒索软件显示为何固件安全不能是事后考虑
• Esentire：风暴之眼：分析DarkCloud的最新能力
• Yurren Wan at Fortinet：SVG网络钓鱼用Amatera窃取程序、PureMiner攻击乌克兰
• G Data Software：BlockBlasters：受感染的Steam游戏下载伪装成补丁的恶意软件
• Intrinsec：分析Acreed，一个崛起的窃取程序
• Priyadharshini at K7 Labs：从LNK到RAT：深入探讨LNK恶意软件感染链
• Kyle Cucci at SecurityLiterate：沙盒中的大象：分析DBatLoader的沙盒规避技术
• Pieter Arntz at Malwarebytes：新的基于SVG的网络钓鱼活动是灾难的配方
• Ghanashyam Satpathy和Xinjun Zhang at Netskope：超越签名：使用ML驱动的沙盒检测Lumma窃取程序
• OSINT团队：
  • 恶意软件分析：HTB Sherlocks Writeup- Loggy
  • Python开发者注意：这些无辜的PyPI软件包通过致命RAT秘密劫持您的系统！
  • 恶意软件分析 - 介绍和工具
  • 安卓恶意软件在政府服务应用假应用模式中的传播
  • 第61天- 初学者威胁情报和OSINT基础
• Palo Alto Networks：
  • Operation Rewrite：中文威胁行为者大规模部署BadIIS进行SEO投毒活动
  • 从Bookworm到Stately Taurus使用Unit 42归因框架
• Shubho57：分析JavaScript文件，其中恶意网络IP导致Nanocore RAT
• Siddhant Mishra：Kimsuky / APT43泄露的初步文件列表分析
• Liran Tal at Snyk：npm上的恶意MCP服务器postmark-mcp窃取电子邮件
• Socket：
  • 恶意fezbox npm包通过创新QR码隐写技术从Cookie窃取浏览器密码
  • 两个恶意Rust Crate冒充流行记录器窃取钱包密钥
• Gabor Szappanos和Steeve Gaudreault at Sophos：HeartCrypt的全面冒充努力
• Puja Srivastava at Sucuri：创建管理员账户的隐藏WordPress后门
• Sarah Pearl Camiling和Jacob Santos at Trend Micro：新LockBit 5.0针对Windows、Linux、ESXi
• Jason Reaves at Walmart：提供代理软件和货币化方案的NodeJS后门
• Zhassulan Zhussupov：恶意软件开发：持久性 - 第29部分。添加Windows Terminal配置文件。简单C示例。
• ZScaler：
  • Zloader更新的技术分析
  • YiBackdoor：与IcedID和Latrodectus相关的新恶意软件家族
  • COLDRIVER使用BAITSWITCH和SIMPLEFIX更新武器库

杂项

• Anton Chuvakin：解耦SIEM：我认为我们现在的位置？
• Kyle Shields和Matt Meck at AWS Security：使用AWS安全事件响应优化安全运营
• Belkasoft：BelkaGPT和BelkaGPT Hub：真正适用于DFIR的AI
• Brett Shavers：DF/IR中的AI：谁先拉开降落伞？
• Cellebrite：
  • 重新思考数字证据共享：超越旧习惯实现现代警务
  • 掌握数字取证案件作证的5个最佳实践
• Cybereason：7000+次事件响应后：11个基本网络安全控制
• DFIR Dominican：
  • DFIR工作更新 - 09/22/25
  • 如何进入DFIR（第5部分，共5部分）- 专业化
• Forensic Focus：
  • Atola Insight Forensic 5.7引入新逻辑成像模块以加快证据获取
  • 总结S21 GAD和调查员健康焦点会议 - 我们涵盖的内容
  • 数字取证综述，2025年9月24日
  • Magnet Forensics介绍新的Magnet Nexus混合收集代理
  • Amped Software通过最新Amped Replay发布中的新选项卡、多ROI运动检测和关键帧重用简化编辑
  • 即将举行的网络研讨会 - 超越AI炒作：Exterro Intelligence提供您可信任的结果
• Debbie Garner at Hexordia：培训第一响应者处理数字证据：如何保护您的部门免受案件毁灭性错误
• Howard Oakley at 'The Eclectic Light Company'：
  • 统一日志内幕1：目标和架构
  • 统一日志内幕2：为何浏览日志？
• Magnet Forensics：
  • 介绍新的Magnet Nexus混合收集代理
  • 超越按钮取证：取证自动化的现实
  • 私营部门数字伪造、欺诈和伪造的上升成本
• MobilEdit：新Apple Watch阅读器来了！从最新Apple Watch设备获取数据
• Amber Schroader at Paraben Corporation：为何OSINT + DFIR是终极强力组合
• Security Onion：Security Onion文档印刷书籍现已更新至Security Onion 2.4.180！
• Sygnia：构建高性能事件响应团队：关键角色、职责和结构
• The Cybersec Café：安全工程师入门指南：云安全

软件更新

• Arkime：v5.8.0
• Brian Maloney：OneDriveExplorer v2025.09.24
• Digital Sleuth：winfor-salt v2025.10.11
• Microsoft：msticpy - M365身份验证、Bokeh修复、RRCF异常值、Prisma Cloud...
• OpenCTI：6.8.0
• Phil Harvey：ExifTool 13.37
• PuffyCid：Artemis v0.16.0 - 发布！
• The Metadata Perspective：HEART：健康事件和活动报告工具
• Volatility Foundation：Volatility 3 2.26.2
• Yamato Security：Hayabusa v3.6.0 - Nezamezuki发布

以上就是本周的全部内容！如果您认为我遗漏了什么，或者希望我特别报道某些内容，请通过联系页面或社交媒体渠道与我联系！
使用代码PM15或点击此链接享受Hexordia课程15%折扣
与我一起上课！使用折扣码thisweekin4n6在Cyber5w享受任何课程15%折扣。
更多精彩内容 请关注我的个人公众号 公众号（办公AI智能小助手）
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号（网络安全技术点滴分享）

公众号二维码

公众号二维码