2025 年第 39 周数字取证与事件响应技术动态
赞助内容
Salesloft-Drift 入侵内幕:对 SaaS 与身份安全的意义在本环节中,Permiso 的 CTO 将涵盖:
攻击者如何利用被盗 OAuth 令牌从 GitHub→AWS→Salesforce 横向移动
为何这种"全机器"攻击为 SaaS 供应链和 NHI 敲响警钟
在您的环境中检测和遏制类似威胁的实用步骤观看视频播客由 Permiso 赞助
取证分析
Christopher Eng at Ogmini:Gmail 应用 - IMAP 账户痕迹(附件)
安卓 Pixel 7 上数字照片的生命周期 - 第 1 部分
Oleg Afonin at Elcomsoft:苹果 Face ID:安全影响与潜在漏洞
Forensafe:调查安卓 Google Chat
Yann Malherbe at InfoGuard Labs:VHDX 调查自动化
Matthew Plascencia:我已经这么老了吗?:iOS 26 中的新取证痕迹
Mattia Epifani at Zena Forensics:探索从安卓设备提取数据:您可以访问哪些数据以及如何访问
Salvation DATA:Windows Shellbags 详解:它们是什么以及如何在数字取证中提供帮助
威胁情报/狩猎
Amy Tierney at AppOmni:将 TTP 映射到 SaaS 供应链攻击:近期 SaaS 违规事件
AttackIQ:RomCom 的演变:从后门到网络战
对 CISA 咨询(AA25-266A)的响应:CISA 分享事件响应参与的经验教训
Maria Vasilevskaya at Auth0:检测注册欺诈:使用 Auth0 日志保护业务的 3 种方法
Barracuda:Lazarus 组织:带有旗帜的犯罪集团
SOC 案例文件:Akira 勒索软件将受害者的远程管理工具转向自身
Brad Duncan at Malware Traffic Analysis:2025-09-24:Lumma 窃取程序感染与后续恶意软件(可能是 Ghostsocks/Go 后门)
Brian Krebs at 'Krebs on Security':联邦调查局将'Scattered Spider'二人组与 1.15 亿美元赎金联系起来
CERT-AGID:9 月 20-26 周恶意活动汇总概要
Check Point:9 月 22 日 - 威胁情报报告
Nimbus Manticore 部署针对欧洲的新恶意软件
越位玩法:威胁行为者如何为 2026 年 FIFA 热身
CISA:CISA 分享事件响应参与的经验教训
影响 npm 生态系统的广泛供应链泄露
Cisco's Talos:当您参与 Cisco Talos 事件响应时会发生什么?
RainyDay、Turian 和新 PlugX 变体如何滥用 DLL 搜索顺序劫持
CloudSEK:分发 RondoDoX 和 Mirai 有效载荷的僵尸网络加载器即服务基础设施
Kahng An at Cofense:越南威胁行为者 Lone None 的版权删除欺骗活动内幕
Gary Warner at CyberCrime & Doing Time:微软 DCU 取缔 RaccoonO365
Cyberdom:令牌保护:优点、缺点和假设
Cyble:Cyble 蜜罐检测近两打漏洞的利用尝试
2025 年澳大利亚勒索软件格局:丰厚目标吸引勒索软件组织
Cyfirma:每周情报报告 - 2025 年 9 月 26 日
Damien Lewke:氛围黑客:Anthropic 如何使威胁狩猎成为不可协商
Darknet:2025 年勒索软件支付与上升事件数量 - RaaS 经济学的变化
Disconinja:每周威胁基础设施调查(第 38 周)
DomainTools Investigations:Salt Typhoon 内幕:中国的国家-企业高级持续威胁
Erik Hjelmvik at Netresec:Gh0stKCP 协议
Expel:Gonzo 威胁狩猎:LapDogs & ShortLeash
gm0:绅士勒索软件组织画像 - 第 1 部分:背景、动机、附属组织和归因
Sarah Yoder 等 at Google Cloud Threat Intelligence:另一场 BRICKSTORM:潜入科技和法律部门的隐秘后门
Howard Poston at HackTheBox:警惕 Cozy Bear:剖析 APT29 的混淆 JavaScript 水坑活动
Hunt IO:狩猎 C2 面板:识别命令控制仪表板的初学者指南
Huntress:2025 年数据泄露的平均成本是多少?| Huntress
越南威胁行为者从 PXA 窃取程序转向 PureRAT
InfoSec Write-ups:自动化勒索软件情报:Feed ransomware.live
Linux 威胁检测 1
Adam Goss at Kraven Security:从日志到线索:Brutus Sherlock 的实际网络调查
Microsoft Security:AI vs. AI:检测 AI 混淆的网络钓鱼活动
零售业风险:一个警报如何发现持久网络威胁
XCSSET 再次演变:分析 XCSSET 库存的最新更新
Natto Thoughts:Salt Typhoon 究竟是谁?解开归因挑战
Ben Lister at NetSPI:网络研讨会回顾:关于勒索软件您希望不必知道的一切
NVISO Labs:检测工程:实践检测即代码 - 部署 - 第 6 部分
保护 Microsoft Entra ID:现场经验教训 - 第 1 部分
Oleg Skulkin at 'Know Your Adversary':
狩猎 SnakeDisk
狩猎 Akira 用于渗漏的另一个合法工具
狩猎 PteroGraphin
狩猎 COLDRIVER
狩猎 PteroEffigy
对手如何滥用 Winlogon 功能
狩猎 Shai-Hulud
Outpost24:zerodayx1:黑客活动组织转向勒索软件操作
Olymp Loader:用汇编编写的新恶意软件即服务
Dena De Angelo at Palo Alto Networks:勒索软件速度危机
Aditya Vats at Permiso:重新思考 AI 安全:每次交互都与身份相关
Promon:应用威胁报告 2025 年第二季度:金融应用中的传统恶意软件和新兴 AI 威胁
Pulsedive:NPM 泄露:Shai-Hulud 供应链攻击的愤怒
Raymond Roethof:Microsoft Defender for Identity 推荐操作:移除具有 DCSync 权限的非管理员账户
Recorded Future:RedNovember 针对政府、国防和技术组织
Red Canary:
节点问题:追踪近期 npm 软件包泄露
双重代理:对手如何滥用商业 AI 产品中的"代理模式"
在 AI 时代重新定义事件响应
情报洞察:2025 年 9 月
Ian Briley at Red Siege Information Security:威胁检测简化:Splunk 攻击范围基础
Resecurity:混沌三位一体:LAPSUS$、ShinyHunters 和 Scattered Spider 联盟展开全球网络犯罪狂潮
SANS Internet Storm Center:
求助:这些奇怪的请求是什么?,(9 月 21 日,星期日)
[客座日记] 为乐趣和利益分散分析师注意力,(9 月 23 日,星期二)
针对旧版 Hikvision 摄像头漏洞的利用尝试,(9 月 24 日,星期三)
隐藏在.well-known 位置的 Webshell,(9 月 25 日,星期四)
新工具:convert-ts-bash-history.py,(9 月 26 日,星期五)
Securityinbits:
使用 MinusOne 反混淆 PowerShell
通过 comsvcs.dll 进行 LSASS 转储:Defender 检测指南
Silent Push:
Silent Push 分析针对 2025 年摩尔多瓦选举的新虚假信息活动,与莫斯科遗留影响力活动相关
Silent Push 检查动态 DNS 提供商的黑暗面
Alex Hegyi 和 Vince Zell at Stairwell:如何使用 YARA 检测 NPM 包管理器供应链攻击
Sublime Security:
App Store 和 TestFlight 中的虚假 Meta 广告管理器用于网络钓鱼 Meta 广告账户
超越"似是而非的废话":对我们安全编码代理 ADÉ的严格评估
System Weakness:
工具 vs. 检测 - 防御者如何发现您最喜欢的黑客工具
Linux 威胁检测 1:SOC 分析师和取证学习者的 TryHackMe 演练
The Raven File:GUNRA 勒索软件:您不知道的内容!
THOR Collective Dispatch:
基线狂欢:您应该做的十个基线狩猎(以及如何做)
调度汇报:2025 年 9 月
Trellix:
揭露隐藏威胁:发现朝鲜 IT 工作者活动
当 AD 被入侵时:使用 Trellix NDR 检测 NTDS.dit 转储和渗漏
npm 账户劫持和供应链攻击的兴起
Fernando Tucci at Trend Micro:您的 LLM 就是这样被入侵的
Simon Biggs at Varonis:我的密钥在哪里?!勒索软件组织窃取 AWS 密钥以推进攻击
Wiz:
IMDS 被滥用:狩猎罕见行为以发现漏洞利用
恶意软件调用 AI 的新兴使用
即将举行的活动
Black Hills Information Security:谈论[信息安全]新闻 2025-09-29 #直播 #信息安全 #信息安全新闻
Cellebrite:2025 年秋季发布:透过亚太地区视角
Magnet Forensics:法律解读第一集:数字证据的搜查令:数据驱动方法
Yuri Gubanov at Belkasoft:BelkaGPT & BelkaGPT Hub:真正适用于 DFIR 的 AI
演示/播客
Belkasoft:时间谎言:使用伪造时间戳检测恶意软件 | Vedant Narayan
Black Hat:
工匠裁缝 LLM 间谍:调查和响应 GenAI 聊天机器人攻击
在盒子内思考:Windows 沙箱在定向攻击中的实际滥用
Operation BlackEcho:使用虚假金融和疫苗应用进行语音网络钓鱼
Cellebrite:周二提示:添加证据
Google 的云安全播客:EP244 SOAPA 的未来:Jon Oltsik 谈平台整合与最佳组合在代理 AI 时代
Cyber from the Frontlines:E17 在浪漫骗局中利用情感
Huntress:什么是商业电子邮件泄露(BEC)以及黑客如何使用它?
InfoSec_Bret:SA - SOC246 EventID: 208 - 检测到强制认证
John Hammond:
ServiceUI.exe
暗网泄露网站
Magnet Forensics:
介绍新的 Magnet Nexus 混合收集代理
Mobile Unpacked S3:E9 // 这就是我所说的 iOS:26
Matthew Plascencia:Wireshark 显示过滤器 | Wireshark 4
Microsoft 威胁情报播客:使用 AI 阻止域名冒充
Monolith Forensics:Monolith 中的监管链操作
MSAB:#MSABMonday 子集 GUID
MyDFIR:
如何设置和安装 T-Pot 蜜罐(更新版)
网络安全 SOC 分析师实验室 - 电子邮件分析(PhishStrike)
Off By One Security:
使用 SHAREM Shellcode 分析框架处理 Shellcode
入门 Windows 栈溢出利用
Parsing the Truth: One Byte at a Time:Elsbeth 对抗 AI
Proofpoint:辣酱和热评:Only Malware in the Building 特别节目
The Weekly Purple Team:使用 WSASS 丢弃凭据以绕过 PPL
Three Buddy Problem:
LABScon 现场:Aurora Johnson 和 Trevor Hilligoss 谈中国'互联网厕所'
LABScon 现场:Lindsay Freeman 追踪瓦格纳集团战争罪行
LABScon 现场:Visi Stark 分享创建 APT1 报告的记忆
思科防火墙零日漏洞和野外 bootkit
恶意软件
Any.Run:对抗电信网络攻击:调查针对英国公司的活动
ASEC:通过 Windows 快捷方式(LNK)绕过 Mark of the Web(MoTW):LNK Stomping 技术
Darktrace:ShadowV2:新兴的 DDoS 租用僵尸网络
Dr Josh Stroschein:
PRINTF 在哪里?使用遗留库文件与 NASM 链接
在 Windows 中链接 C 和 NASM 的目标文件
汇编短片 - 创建 FOR 循环
Paul Asadoorian at Eclypsium:HybridPetya 勒索软件显示为何固件安全不能是事后考虑
Esentire:风暴之眼:分析 DarkCloud 的最新能力
Yurren Wan at Fortinet:SVG 网络钓鱼用 Amatera 窃取程序、PureMiner 攻击乌克兰
G Data Software:BlockBlasters:受感染的 Steam 游戏下载伪装成补丁的恶意软件
Intrinsec:分析 Acreed,一个崛起的窃取程序
Priyadharshini at K7 Labs:从 LNK 到 RAT:深入探讨 LNK 恶意软件感染链
Kyle Cucci at SecurityLiterate:沙盒中的大象:分析 DBatLoader 的沙盒规避技术
Pieter Arntz at Malwarebytes:新的基于 SVG 的网络钓鱼活动是灾难的配方
Ghanashyam Satpathy 和 Xinjun Zhang at Netskope:超越签名:使用 ML 驱动的沙盒检测 Lumma 窃取程序
OSINT 团队:
恶意软件分析:HTB Sherlocks Writeup- Loggy
Python 开发者注意:这些无辜的 PyPI 软件包通过致命 RAT 秘密劫持您的系统!
恶意软件分析 - 介绍和工具
安卓恶意软件在政府服务应用假应用模式中的传播
第 61 天- 初学者威胁情报和 OSINT 基础
Palo Alto Networks:
Operation Rewrite:中文威胁行为者大规模部署 BadIIS 进行 SEO 投毒活动
从 Bookworm 到 Stately Taurus 使用 Unit 42 归因框架
Shubho57:分析 JavaScript 文件,其中恶意网络 IP 导致 Nanocore RAT
Siddhant Mishra:Kimsuky / APT43 泄露的初步文件列表分析
Liran Tal at Snyk:npm 上的恶意 MCP 服务器 postmark-mcp 窃取电子邮件
Socket:
恶意 fezbox npm 包通过创新 QR 码隐写技术从 Cookie 窃取浏览器密码
两个恶意 Rust Crate 冒充流行记录器窃取钱包密钥
Gabor Szappanos 和 Steeve Gaudreault at Sophos:HeartCrypt 的全面冒充努力
Puja Srivastava at Sucuri:创建管理员账户的隐藏 WordPress 后门
Sarah Pearl Camiling 和 Jacob Santos at Trend Micro:新 LockBit 5.0 针对 Windows、Linux、ESXi
Jason Reaves at Walmart:提供代理软件和货币化方案的 NodeJS 后门
Zhassulan Zhussupov:恶意软件开发:持久性 - 第 29 部分。添加 Windows Terminal 配置文件。简单 C 示例。
ZScaler:
Zloader 更新的技术分析
YiBackdoor:与 IcedID 和 Latrodectus 相关的新恶意软件家族
COLDRIVER 使用 BAITSWITCH 和 SIMPLEFIX 更新武器库
杂项
Anton Chuvakin:解耦 SIEM:我认为我们现在的位置?
Kyle Shields 和 Matt Meck at AWS Security:使用 AWS 安全事件响应优化安全运营
Belkasoft:BelkaGPT 和 BelkaGPT Hub:真正适用于 DFIR 的 AI
Brett Shavers:DF/IR 中的 AI:谁先拉开降落伞?
Cellebrite:
重新思考数字证据共享:超越旧习惯实现现代警务
掌握数字取证案件作证的 5 个最佳实践
Cybereason:7000+次事件响应后:11 个基本网络安全控制
DFIR Dominican:
DFIR 工作更新 - 09/22/25
如何进入 DFIR(第 5 部分,共 5 部分)- 专业化
Forensic Focus:
Atola Insight Forensic 5.7 引入新逻辑成像模块以加快证据获取
总结 S21 GAD 和调查员健康焦点会议 - 我们涵盖的内容
数字取证综述,2025 年 9 月 24 日
Magnet Forensics 介绍新的 Magnet Nexus 混合收集代理
Amped Software 通过最新 Amped Replay 发布中的新选项卡、多 ROI 运动检测和关键帧重用简化编辑
即将举行的网络研讨会 - 超越 AI 炒作:Exterro Intelligence 提供您可信任的结果
Debbie Garner at Hexordia:培训第一响应者处理数字证据:如何保护您的部门免受案件毁灭性错误
Howard Oakley at 'The Eclectic Light Company':
统一日志内幕 1:目标和架构
统一日志内幕 2:为何浏览日志?
Magnet Forensics:
介绍新的 Magnet Nexus 混合收集代理
超越按钮取证:取证自动化的现实
私营部门数字伪造、欺诈和伪造的上升成本
MobilEdit:新 Apple Watch 阅读器来了!从最新 Apple Watch 设备获取数据
Amber Schroader at Paraben Corporation:为何 OSINT + DFIR 是终极强力组合
Security Onion:Security Onion 文档印刷书籍现已更新至 Security Onion 2.4.180!
Sygnia:构建高性能事件响应团队:关键角色、职责和结构
The Cybersec Café:安全工程师入门指南:云安全
软件更新
Arkime:v5.8.0
Brian Maloney:OneDriveExplorer v2025.09.24
Digital Sleuth:winfor-salt v2025.10.11
Microsoft:msticpy - M365 身份验证、Bokeh 修复、RRCF 异常值、Prisma Cloud...
OpenCTI:6.8.0
Phil Harvey:ExifTool 13.37
PuffyCid:Artemis v0.16.0 - 发布!
The Metadata Perspective:HEART:健康事件和活动报告工具
Volatility Foundation:Volatility 3 2.26.2
Yamato Security:Hayabusa v3.6.0 - Nezamezuki 发布
以上就是本周的全部内容!如果您认为我遗漏了什么,或者希望我特别报道某些内容,请通过联系页面或社交媒体渠道与我联系!使用代码 PM15 或点击此链接享受 Hexordia 课程 15%折扣与我一起上课!使用折扣码 thisweekin4n6 在 Cyber5w 享受任何课程 15%折扣。更多精彩内容 请关注我的个人公众号 公众号(办公 AI 智能小助手)对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号(网络安全技术点滴分享)
公众号二维码
公众号二维码
还未添加个人签名 2021-05-19 加入
还未添加个人简介
评论