2025 年第 39 周数字取证与事件响应技术动态汇总
赞助内容
Salesloft-Drift 入侵事件内幕:对 SaaS 与身份安全的意义
在本环节中,Permiso 的 CTO 将涵盖:
攻击者如何利用被盗 OAuth 令牌从 GitHub→AWS→Salesforce 横向移动
为何这种"全机器"攻击为 SaaS 供应链和 NHI 敲响警钟
在您的环境中检测和遏制类似威胁的实用步骤
观看视频播客
由 Permiso 赞助
取证分析
Christopher Eng at Ogmini - Gmail 应用 - IMAP 账户痕迹(附件)
安卓 Pixel 7 上数字照片的生命周期 - 第 1 部分
Oleg Afonin at Elcomsoft - 苹果 Face ID:安全影响与潜在漏洞
Forensafe - 调查安卓 Google Chat
Yann Malherbe at InfoGuard Labs - VHDX 调查自动化
Matthew Plascencia - 我已经这么老了吗?:iOS 26 中的新取证痕迹
Mattia Epifani at Zena Forensics - 探索安卓设备数据提取:可访问的数据类型及方法
Salvation DATA - Windows Shellbags 详解:它们是什么及如何在数字取证中提供帮助
威胁情报/狩猎
Amy Tierney at AppOmni - 将 TTP 映射到 SaaS 供应链攻击:近期 SaaS 违规事件
AttackIQ - RomCom 的演变:从后门到网络战
对 CISA 咨询(AA25-266A)的响应:CISA 分享事件响应参与的经验教训
Maria Vasilevskaya at Auth0 - 检测注册欺诈:使用 Auth0 日志保护业务的 3 种方法
Barracuda - Lazarus Group:带有旗帜的犯罪集团
SOC 案例档案:Akira 勒索软件将受害者的远程管理工具转向自身
Brad Duncan at Malware Traffic Analysis - 2025-09-24:Lumma 窃取程序感染及后续恶意软件(可能为 Ghostsocks/Go 后门)
Brian Krebs at 'Krebs on Security' - 联邦调查局将'Scattered Spider'二人组与 1.15 亿美元赎金联系起来
CERT-AGID - 9 月 20-26 周恶意活动汇总摘要
Check Point - 9 月 22 日威胁情报报告
Nimbus Manticore 部署针对欧洲的新恶意软件
越位玩法:威胁行为者如何为 2026 年 FIFA 热身
CISA - CISA 分享事件响应参与的经验教训
影响 npm 生态系统的广泛供应链泄露
Cisco's Talos - 当您参与 Cisco Talos 事件响应时会发生什么?
RainyDay、Turian 和新 PlugX 变种如何滥用 DLL 搜索顺序劫持
CloudSEK - 分发 RondoDoX 和 Mirai 有效载荷的僵尸网络加载器即服务基础设施
Kahng An at Cofense - 越南威胁行为者 Lone None 的版权删除欺骗活动内幕
Gary Warner at CyberCrime & Doing Time - Microsoft DCU 对 RaccoonO365 的取缔
Cyberdom - 令牌保护:优点、缺点与假设
Cyble - Cyble 蜜罐检测近两打漏洞的利用尝试
2025 年澳大利亚勒索软件格局:丰厚目标吸引勒索软件团伙
Cyfirma - 每周情报报告 - 2025 年 9 月 26 日
Damien Lewke - 氛围黑客:Anthropic 如何使威胁狩猎成为必需
Darknet - 2025 年勒索软件支付与上升事件数量 - RaaS 经济学的变化
Disconinja - 每周威胁基础设施调查(第 38 周)
DomainTools Investigations - Salt Typhoon 内幕:中国的国家企业高级持续威胁
Erik Hjelmvik at Netresec - Gh0stKCP 协议
Expel - Gonzo 威胁狩猎:LapDogs & ShortLeash
gm0 - 绅士勒索软件组织画像 - 第 1 部分:背景、动机、附属组织与归因
Sarah Yoder 等 at Google Cloud Threat Intelligence - 另一场 BRICKSTORM:潜入科技和法律部门的隐形后门
Howard Poston at HackTheBox - 警惕 Cozy Bear:剖析 APT29 的混淆 JavaScript 水坑活动
Hunt IO - 狩猎 C2 面板:识别命令控制仪表板的初学者指南
Huntress - 2025 年数据泄露的平均成本是多少?| Huntress
越南威胁行为者从 PXA 窃取程序转向 PureRAT
InfoSec Write-ups - 自动化勒索软件情报:Feed ransomware.live
Linux 威胁检测 1
Adam Goss at Kraven Security - 从日志到线索:Brutus Sherlock 的实际网络调查
Microsoft Security - AI 对抗 AI:检测 AI 混淆的网络钓鱼活动
零售业风险:一个警报如何发现持久网络威胁
XCSSET 再次演变:分析 XCSSET 库存的最新更新
Natto Thoughts - Salt Typhoon 究竟是谁?解开归因挑战
Ben Lister at NetSPI - 网络研讨会回顾:关于勒索软件您希望不必知道的一切
NVISO Labs - 检测工程:实践检测即代码 - 部署 - 第 6 部分
保护 Microsoft Entra ID:实战经验 - 第 1 部分
Oleg Skulkin at 'Know Your Adversary' - 264. 狩猎 SnakeDisk
狩猎 Akira 用于渗漏的另一个合法工具
狩猎 PteroGraphin
狩猎 COLDRIVER
狩猎 PteroEffigy
adversaries 如何滥用 Winlogon 功能
狩猎 Shai-Hulud
Outpost24 - zerodayx1:黑客行动主义团体转向勒索软件操作
Olymp Loader:用汇编编写的新恶意软件即服务
Dena De Angelo at Palo Alto Networks - 勒索软件速度危机
Aditya Vats at Permiso - 重新思考 AI 安全:每次交互都与身份相关
Promon - 2025 年第二季度应用威胁报告:金融应用中的传统恶意软件与新兴 AI 威胁
Pulsedive - NPM 泄露:Shai-Hulud 供应链攻击的愤怒
Raymond Roethof - Microsoft Defender for Identity 推荐操作:移除具有 DCSync 权限的非管理员账户
Recorded Future - RedNovember 瞄准政府、国防和技术组织
Red Canary - Node 问题:跟踪最近的 npm 软件包泄露
双重代理:adversaries 如何滥用商业 AI 产品中的"代理模式"
AI 时代重新定义事件响应
情报洞察:2025 年 9 月
Ian Briley at Red Siege Information Security - 威胁检测简化:Splunk 攻击范围基础
Resecurity - 混沌三位一体:LAPSUS$、ShinyHunters 和 Scattered Spider 联盟开启全球网络犯罪狂潮
SANS Internet Storm Center - 求助:这些奇怪的请求是什么?,(9 月 21 日,周日)
[客座日记] 为乐趣和利益分散分析师注意力,(9 月 23 日,周二)
针对旧版 Hikvision 摄像头漏洞的利用尝试,(9 月 24 日,周三)
隐藏在.well-known 位置的 Webshell,(9 月 25 日,周四)
新工具:convert-ts-bash-history.py,(9 月 26 日,周五)
Securityinbits - 使用 MinusOne 反混淆 PowerShell
通过 comsvcs.dll 的 LSASS 转储:Defender 检测指南
Silent Push - Silent Push 分析针对 2025 年摩尔多瓦选举的新虚假信息活动,与莫斯科遗留影响力活动相关联
Silent Push 检查动态 DNS 提供商的黑暗面
Alex Hegyi and Vince Zell at Stairwell - 如何使用 YARA 检测 NPM 包管理器供应链攻击
Sublime Security - 应用商店和 TestFlight 中的虚假 Meta 广告管理器用于网络钓鱼 Meta 广告账户
超越"合理无意义":对我们安全编码代理 ADÉ的严格评估
System Weakness - 工具与检测 - 防御者如何发现您最喜欢的黑客工具
Linux 威胁检测 1:SOC 分析师和取证学习者的 TryHackMe 演练
The Raven File - GUNRA 勒索软件:您不知道的内容!
THOR Collective Dispatch - 基线盛宴:您应该做的十个基线狩猎(以及如何做)
调度汇报:2025 年 9 月
Trellix - 揭露隐藏威胁:发现 DPRK IT 工作者活动
当 AD 被入侵时:使用 Trellix NDR 检测 NTDS.dit 转储和渗漏
npm 账户劫持与供应链攻击的兴起
Fernando Tucci at Trend Micro - 您的 LLM 如何被入侵
Simon Biggs at Varonis - 我的密钥在哪里?!勒索软件团伙窃取 AWS 密钥以推进攻击
Wiz - IMDS 被滥用:狩猎稀有行为以发现漏洞
恶意软件调用 AI 的新兴用途
即将举行的活动
Black Hills Information Security - 谈论[infosec]新闻 2025-09-29 #直播 #infosec #infosec 新闻
Cellebrite - 2025 年秋季发布:透过 APAC 镜头
Magnet Forensics - 法律解压 E1:数字证据的搜查令:数据驱动方法
Yuri Gubanov at Belkasoft - BelkaGPT & BelkaGPT Hub:真正适用于 DFIR 的 AI
演示/播客
Belkasoft - 时间谎言:使用伪造时间戳检测恶意软件 | Vedant Narayan
Black Hat - 工匠裁缝 LLM 间谍:调查和响应 GenAI 聊天机器人攻击
在盒子内思考:针对性攻击中 Windows 沙箱的野外滥用
Operation BlackEcho:使用虚假金融和疫苗应用进行语音网络钓鱼
Cellebrite - 提示星期二:添加证据
Google 云安全播客 - EP244 SOAPA 的未来:Jon Oltsik 谈平台整合与最佳组合在代理 AI 时代
Cyber from the Frontlines - E17 利用情感 inside 浪漫骗局
Huntress - 什么是商业电子邮件妥协(BEC)以及黑客如何使用它?
InfoSec_Bret - SA – SOC246 EventID: 208 – 检测到强制认证
John Hammond - ServiceUI.exe
暗网泄露网站
Magnet Forensics - 介绍新的 Magnet Nexus 混合收集代理
Mobile Unpacked S3:E9 // 这就是我所说的 iOS:26
Matthew Plascencia - Wireshark 显示过滤器 | Wireshark 4
Microsoft 威胁情报播客 - 使用 AI 阻止域名冒充
Monolith Forensics - Monolith 中的监管链操作
MSAB - #MSABMonday 子集 GUID
MyDFIR - 如何设置和安装 T-Pot 蜜罐(更新版)
网络安全 SOC 分析师实验室 - 电子邮件分析(PhishStrike)
Off By One Security - 使用 SHAREM Shellcode 分析框架处理 Shellcode
入门 Windows 栈溢出利用
Parsing the Truth: One Byte at a Time - Elsbeth 对抗 AI
Proofpoint - 辣酱和热评:Only Malware in the Building 特别节目
The Weekly Purple Team - 使用 WSASS 丢弃凭证以绕过 PPL
Three Buddy Problem - LABScon 现场:Aurora Johnson 和 Trevor Hilligoss 谈中国'互联网厕所'
LABScon 现场:Lindsay Freeman 追踪 Wagner 集团战争罪行
LABScon 现场:Visi Stark 分享创建 APT1 报告的回忆
Cisco 防火墙零日漏洞和野外 bootkit
恶意软件
Any.Run - 对抗电信网络攻击:调查针对英国公司的活动
ASEC - 通过 Windows 快捷方式(LNK)绕过 Mark of the Web(MoTW):LNK Stomping 技术
Darktrace - ShadowV2:新兴的 DDoS 租用僵尸网络
Dr Josh Stroschein - PRINTF 在哪里?使用旧库文件与 NASM 链接
在 Windows 中链接 C 和 NASM 的目标文件
汇编短片 - 创建 FOR 循环
Paul Asadoorian at Eclypsium - HybridPetya 勒索软件显示为何固件安全不能事后考虑
Esentire - 风暴之眼:分析 DarkCloud 的最新功能
Yurren Wan at Fortinet - SVG 网络钓鱼用 Amatera 窃取程序、PureMiner 攻击乌克兰
G Data Software - BlockBlasters:受感染的 Steam 游戏下载伪装成补丁的恶意软件
Intrinsec - Acreed 分析,一个崛起的窃取程序
Priyadharshini at K7 Labs - 从 LNK 到 RAT:深入探究 LNK 恶意软件感染链
Kyle Cucci at SecurityLiterate - 沙盒中的大象:分析 DBatLoader 的沙盒规避技术
Pieter Arntz at Malwarebytes - 新的基于 SVG 的网络钓鱼活动是灾难的配方
Ghanashyam Satpathy and Xinjun Zhang at Netskope - 超越签名:使用 ML 驱动的沙盒检测 Lumma 窃取程序
OSINT Team - 恶意软件分析:HTB Sherlocks Writeup- Loggy
Python 开发者注意:这些无辜的 PyPI 软件包秘密地用致命 RAT 劫持您的系统!
恶意软件分析 - 介绍与工具
政府服务应用中假应用模式下安卓恶意软件的传播
第 61 天- 初学者威胁情报和 OSINT 基础
Palo Alto Networks - Operation Rewrite:中文威胁行为者大规模部署 BadIIS 进行 SEO 投毒活动
Bookworm to Stately Taurus 使用 Unit 42 归因框架
Shubho57 - 分析 JavaScript 文件,其中恶意网络 IP 导致 Nanocore RAT
Siddhant Mishra - Kimsuky / APT43 泄露的初步文件列表分析
Liran Tal at Snyk - npm 上的恶意 MCP 服务器 postmark-mcp 窃取电子邮件
Socket - 恶意 fezbox npm 包通过创新 QR 码隐写技术从 Cookie 窃取浏览器密码
两个恶意 Rust Crate 冒充流行记录器窃取钱包密钥
Gabor Szappanos and Steeve Gaudreault at Sophos - HeartCrypt 的大规模冒充努力
Puja Srivastava at Sucuri - 隐藏的 WordPress 后门创建管理员账户
Sarah Pearl Camiling and Jacob Santos at Trend Micro - 新 LockBit 5.0 针对 Windows、Linux、ESXi
Jason Reaves at Walmart - 提供代理软件和货币化方案的 NodeJS 后门
Zhassulan Zhussupov - 恶意软件开发:持久性 - 第 29 部分。添加 Windows Terminal 配置文件。简单 C 示例。
ZScaler - Zloader 更新的技术分析
YiBackdoor:与 IcedID 和 Latrodectus 相关的新恶意软件家族
COLDRIVER 用 BAITSWITCH 和 SIMPLEFIX 更新武器库
杂项
Anton Chuvakin - 解耦 SIEM:我认为我们现在的位置?
Kyle Shields and Matt Meck at AWS Security - 使用 AWS 安全事件响应优化安全运营
Belkasoft - BelkaGPT 和 BelkaGPT Hub:真正适用于 DFIR 的 AI
Brett Shavers - DF/IR 中的 AI:谁先拉开拉环?
Cellebrite - 重新思考数字证据共享:超越现代警务的旧习惯
掌握数字取证案件作证的 5 个最佳实践
Cybereason - 7000+次 IR 之后:11 个基本网络安全控制
DFIR Dominican - DFIR 工作更新 - 09/22/25
如何进入 DFIR(第 5 部分,共 5 部分)- 专业化
Forensic Focus - Atola Insight Forensic 5.7 引入新逻辑成像模块以加快证据获取
总结 S21 GAD 和调查员健康焦点会议 - 我们涵盖的内容
数字取证综述,2025 年 9 月 24 日
Magnet Forensics 介绍新的 Magnet Nexus 混合收集代理
Amped Software 通过新标签、多 ROI 运动检测和关键帧重用在最新 Amped Replay 中促进编辑
即将举行的网络研讨会 - 超越 AI 炒作:Exterro Intelligence 提供您可信任的结果
Debbie Garner at Hexordia - 培训急救人员处理数字证据:如何保护您的部门免受案件破坏性错误
Howard Oakley at 'The Eclectic Light Company' - 统一日志内部 1:目标与架构
统一日志内部 2:为何浏览日志?
Magnet Forensics - 介绍新的 Magnet Nexus 混合收集代理
超越按钮取证:取证自动化的现实
私营部门数字伪造、欺诈和伪造的上升成本
MobilEdit - 新 Apple Watch 阅读器来了!从最新 Apple Watch 设备获取数据
Amber Schroader at Paraben Corporation - 为何 OSINT + DFIR 是终极强力组合
Security Onion - Security Onion 文档印刷书籍现已更新至 Security Onion 2.4.180!
Sygnia - 构建高性能事件响应团队:关键角色、职责和结构
The Cybersec Café - 安全工程师入门指南:云安全
软件更新
Arkime v5.8.0
Brian Maloney - OneDriveExplorer v2025.09.24
Digital Sleuth - winfor-salt v2025.10.11
Microsoft - msticpy – M365 认证、Bokeh 修复、RRCF 异常值、Prisma Cloud…
OpenCTI 6.8.0
Phil Harvey - ExifTool 13.37
PuffyCid - Artemis v0.16.0 – 发布!
The Metadata Perspective - HEART:健康事件与活动报告工具
Volatility Foundation - Volatility 3 2.26.2
Yamato Security - Hayabusa v3.6.0 – Nezamezuki 发布
本周内容就是这些!如果您认为我遗漏了什么,或希望我特别报道某些内容,请通过联系页面或社交媒体渠道与我联系!
使用折扣码 thisweekin4n6 在 Cyber5w 任何课程享受 15%优惠。
使用代码 PM15 或点击此链接在您下一个 Hexordia 课程享受 15%优惠
与我一起上课!更多精彩内容 请关注我的个人公众号 公众号(办公 AI 智能小助手)对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号(网络安全技术点滴分享)
公众号二维码
公众号二维码
还未添加个人签名 2021-05-19 加入
还未添加个人简介
评论