2025年第41周：数字取证与事件响应 (DFIR) 及网络安全技术动态汇总本文汇总了2025年第41周在数字取证、事件

FORENSIC ANALYSIS

Alp Batur: 程序存在证据：Amcache 和 Shimcache
Lucy Carey-Shields 在 AmpedForensic: Amped FIVE 视频取证工作流 – 第一部分：初始步骤、验证与文件考量
Brian Maloney: OneDrive 快速访问
Erik Pistelli 在 Cerbero: 内存挑战 2：MEM 挑战
Christopher Eng 在 Ogmini:
- Gmail 应用 – IMAP 账户痕迹（附件）- 第 2 部分
- Gmail 应用 – IMAP 账户痕迹（附件）- 第 3 部分
- Gmail 应用 – IMAP 账户痕迹（消息日志）- 第 1 部分
Cyber Triage: DFIR 后续步骤：可疑的 Pulseway 使用
Dr. Neal Krawetz 在 'The Hacker Factor Blog': 照片修订与现实
Elcomsoft: 证据保全：为何 iPhone 数据会过期
Forensafe: 调查 iOS 版 Truth Social
Iram Jack:
- Windows 与 Linux 内存获取
- 虚拟机和云环境中的内存获取
- Volatility 基础
- Windows 内存与进程
- Windows 内存与用户活动
- Windows 内存与网络
OSINT Team:
- 使用 MFTEcmd 和其他工具分析 NTFS 中的 $MFT 文件
- Forensic-Timeliner v2.2：高速 Windows DFIR 时间线整合
Anthony Dourra 在 Paraben Corporation: DFIR：在决策时理解证据类型的重要性
SJDC: 通过 MacOS 收集 iPhone 统一日志
Studio d’Informatica Forense: DMARC 取证：验证合规性并避免欺骗问题的工具
The Packd Byte:
- 文章 003：关于在扣押时保存移动设备的那一篇。
- 从 FFS 提取中导出统一日志以便在 Mac 中查看

THREAT INTELLIGENCE/HUNTING

Adam 在 Hexacorn: ntprint.exe lolbin
Arctic Wolf: 数据窃取
Ayelen Torello 和 Francis Guibernau 在 AttackIQ: 模拟多功能的 Qilin 勒索软件
Maria Vasilevskaya 在 Auth0: 刷新令牌安全：使用 Auth0 检测劫持和滥用
Brad Duncan 在 Malware Traffic Analysis:
- 2025-10-06：日语钓鱼邮件
- 2025-10-01：伪装成流行软件破解版的 Rhadamanthys
- 2025-10-02：Android 恶意软件
- 2025-10-08：来自 Kongtuke 活动 ClickFix 页面的感染
Brian Krebs 在 'Krebs on Security':
- ShinyHunters 发起广泛的勒索活动
- DDoS 僵尸网络 Aisuru 以创纪录的 DDoS 攻击席卷美国 ISP
CERT-AGID: 2025年10月4日至10日恶意活动周总结
Check Point:
- 10月6日 – 威胁情报报告
- 2025年9月全球网络威胁：攻击量略有下降，但 GenAI 风险加剧，勒索软件激增 46%
Cisco 的 Talos:
- 太咸了：揭露用于隐藏文本盐化的 CSS 滥用案例
- 勒索软件攻击中利用 Velociraptor
CloudSEK: 对与 IRGC 关联的 APT35 行动的内部观察
Emmett Smith 和 Brooke McLain 在 Cofense: 来自家庭的钓鱼攻击 – 特斯拉、谷歌、法拉利和 Glassdoor 远程工作中潜藏的危险
Andreas Arnold 在 Compass Security: LockBit 数据泄露：从勒索软件组织内部数据获得的洞察
CrowdStrike: CrowdStrike 识别出利用零日漏洞（现追踪为 CVE-2025-61882）针对 Oracle 电子商务套件的活动
Cyfirma: 每周情报报告 – 2025年10月10日
Damien Lewke: 猎杀压缩攻击链
Darktrace: 揭露 Akira SonicWall 活动
Disconinja: 每周威胁基础设施调查（第40周）
DomainTools Investigations: 加密诈骗网络的内部
Elastic Security Labs: 2025 年 Elastic 全球威胁报告揭示的威胁态势演变
Elliptic: 朝鲜加密货币黑客在 2025 年已窃取超过 20 亿美元
Esentire: 新 Rust 恶意软件“ChaosBot”使用 Discord 进行命令与控制
Bas van den Berg 在 Eye Research: ClickFix 拦截：防范虚假验证码攻击 | Eye Security
FalconFeeds:
- 无国界的战场：地区冲突如何在网络威胁行为体行为中体现
- 窃密软件威胁格局演变：一个月深度分析（2025年8月20日 – 9月19日）
- 消失的有效载荷：后恶意软件时代追踪无文件攻击
Forescout: 黑客攻击剖析：俄罗斯相关组织针对 OT/ICS
gm0:
- The Gentlemen 勒索软件组织档案 – 第二部分：基础设施
- The Gentlemen 勒索软件组织档案 – 第三部分：行动
- The Gentlemen 勒索软件组织档案 – 第四部分：影响
Peter Ukhanov, Genevieve Stark, Zander Work, Ashley Pearson, Josh Murchie, Austin Larsen 在 Google Cloud Threat Intelligence: Oracle 电子商务套件零日漏洞在广泛勒索活动中被利用
Noah Stone 在 GreyNoise: 超过 10 万个 IP 的僵尸网络对美国基础设施发起协调的 RDP 攻击浪潮
Hunt IO: AdaptixC2 揭秘：能力、战术与猎杀策略
Huntress:
- 太子爷，哪吒：中国关联威胁行为体青睐的新工具
- Gladinet CentreStack 和 Triofox 本地文件包含漏洞的主动利用
Maël Le Touz 和 John Wòjcik 在 Infoblox: 杀猪盘骗局及其 DNS 踪迹：将威胁与恶意窝点联系起来
InfoSec Write-ups:
- 对手 TTP 模拟实验室
- 中间人攻击检测
Benjamin Tan 和 Moses Tay 在 INTfinity Consulting: 从 DFIR 视角保护您的 CMS
Invictus Incident Response: 2025 年 BEC 攻击剖析
Kevin Beaumont 在 DoublePulsar: Red Hat 咨询业务数据泄露使超过 5000 家高知名度企业客户面临风险 — 详细分析
Adam Goss 在 Kraven Security: 驯服数据巨兽：威胁猎人的 Nushell 指南
Alexandre Kim 在 MaverisLabs: 躲避监视之眼：红队人员规避 EDR 的技术指南
Md. Abdullah Al Mamun: 自 2025 年 9 月以来的未知俄罗斯网络攻击
Microsoft Security:
- 调查 CVE-2025-10035 GoAnywhere 托管文件传输漏洞的主动利用
- 破坏针对 Microsoft Teams 的威胁
- 调查影响美国大学的针对性“工资海盗”攻击
Idan Cohen 在 Mitiga: ShinyHunters 和 UNC6395：Salesforce 和 Salesloft 数据泄露事件内幕
Natto Thoughts: 中国的漏洞研究：现在有何不同？
NCSC: 通过可观测性和威胁猎杀增强国家网络弹性
NVISO Labs:
- 检测工程：实践检测即代码 – 监控 – 第 7 部分
- 漏洞管理 – 需求、范围界定与目标设定
Oleg Skulkin 在 'Know Your Adversary':
- 279. Confucius 组织使用恶意 PowerPoint 放映文件
- 1. 搜寻可疑的顶级域名
- 1. 对手滥用 Bunny.net CDN
- 1. 这又是另一个你可能未检测到的 RMM
- 1. 勒索软件团伙就是这样滥用 Wbadmin 的
- 1. WhatsApp 蠕虫就是这样禁用 UAC 的
- 1. Stealit 就是这样隐藏 PowerShell 窗口的
Palo Alto Networks:
- 从勒索到收入损失
- ClickFix 工厂：首次曝光 IUAM ClickFix 生成器
- 响应云事件：2025年 Unit 42 全球事件响应报告分步指南
- 当 AI 记忆太多时 – 智能体记忆中的持久行为
- 弥合云安全差距
- 黄金天平：Bling Libra 与不断演变的勒索经济
Rain Ginsberg: substation_at_0742.nfo
Recorded Future: 大规模恶意 NPM 包攻击威胁软件供应链
Tony Lambert 和 Chris Brook 在 Red Canary: Mac 窃密软件分类：区分 Atomic、Odyssey 和 Poseidon
SANS Internet Storm Center:
- 快速粗略分析可能的 Oracle 电子商务套件漏洞利用脚本 (CVE-2025-61882) [已更新] (10月6日，周一)
- 多态 Python 恶意软件 (10月8日，周三)
- 针对 FreePBX (CVE-2025-57819) 并实现代码执行的漏洞利用。(10月7日，周二)
- [访客日记] 构建更好的防御：蜜罐中的 RedTail 观察 (10月9日，周四)
- Wireshark 4.4.10 和 4.6.0 发布 (10月12日，周日)
Securelist:
- 使用机器学习检测 DLL 劫持：真实案例
- 我们如何训练一个 ML 模型来检测 DLL 劫持
Thomas Roccia 在 SecurityBreak: 介绍 PromptIntel
Liran Tal 在 Snyk: 利用 NPM 生态系统的钓鱼活动
Socket:
- 175 个恶意 npm 包托管针对 135 多家组织的钓鱼基础设施
- 朝鲜的传染性面试活动升级：338 个恶意 npm 包，5 万次下载
- 在 npm、PyPI 和 RubyGems.org 上利用 Discord 进行命令与控制
SOCRadar: 假冒 Microsoft Teams 安装程序分发 Oyster 后门
Sophos:
- 2025 年医疗保健领域的勒索软件状况
- 瞄准巴西银行客户的 WhatsApp 蠕虫
Vincent Zell 在 Stairwell: Yurei：新的勒索软件威胁
Bryan Campbell 在 Sublime Security: 英国内政部签证和移民诈骗瞄准担保管理系统账户
Marco A. De Felice aka amvinfe 在 SuspectFile:
- 迈阿密律师事务所遭受重大数据泄露：2.5 TB 敏感文件暴露
- 更新：Beaumont 骨关节研究所遭 PEAR 攻击：大规模敏感数据泄露
Synacktiv: LLM 投毒 [1/3] – 解读 Transformer 的思想
Eduardo Kayky 在 System Weakness: LetsDefend – SOC 模拟器/英文版
THOR Collective Dispatch:
- 时间形态：掌握 timechart
- 超越指标进行猎杀
Andrew Scott 在 Todyl: 网络犯罪联盟的兴起：LockBit、Qilin 和 DragonForce 对商业风险意味着什么
Trellix: 俄罗斯物理-网络间谍活动的演变
Trend Micro:
- 武器化 AI 助手与凭证窃取者
- 您的 AI 聊天机器人如何成为后门
- 不安全架构的连锁反应：Axis 插件设计缺陷使部分 Autodesk Revit 用户面临供应链风险
Jean-Francois Gobin 在 Truesec: 她在海边卖 Web Shells（第二部分）
Ugur Koc 和 Bert-Jan Pals 在 Kusto Insights: Kusto Insights – 九月更新
Kenneth Kinion 在 Valdin: 使用 Valdin 探索发票欺诈电子邮件尝试
Vasilis Orlof 在 Cyber Intelligence Insights: 情报发布 #2
Lucie Cardiet 在 Vectra AI: 洞察表象之下：Crimson Collective 揭示了云检测深度
Callum Roxan, Killian Raimbaud, 和 Steven Adair 在 Volexity: APT 遇见 GPT：使用未受控 LLM 的定向行动
watchTowr Labs:
- 好吧，好吧，好吧。又是新的一天。(Oracle 电子商务套件身份验证前 RCE 链 – CVE-2025-61882)
- 不仅仅是 DoS (Progress Telerik UI for ASP.NET AJAX 不安全反射 CVE-2025-3600)
Wiz:
- RediShell：Redis 中的关键远程代码执行漏洞 (CVE-2025-49844)，CVSS 10 分
- 防御数据库勒索软件攻击
Vinay Polurouthu, Manohar Ghule, 和 Brendon Macaraeg 在 ZScaler: 防御最后一英里重组攻击
Блог Solar 4RAYS: NGC4141：东亚组织攻击定制 Web 应用程序

UPCOMING EVENTS

Simply Defensive: 检测工程教程：云安全、Kubernetes 日志记录与 SOC 职业道路 | S5 E2
Huntress: 交易技巧星期二 | Huntress CTF 2025
Magnet Forensics:
- 云还是本地部署？为何不兼得 — 了解新的 Nexus 混合代理
- 使用 Magnet Graykey Fastrak 和 Magnet Automate 消除移动设备积压和瓶颈
Paula Janusz‌kiewicz 和 Amr Thabet 在 Cqure Academy: 在线研讨会 当邪恶隐匿时：威胁猎人和事件响应者的最佳实践
Silent Push: 研讨会 – 在攻击前检测钓鱼基础设施

PRESENTATIONS/PODCASTS

Hexordia: Truth in Dat: EP15: 证据权威：专家证人证词
Cellebrite:
- 专家答疑：与 Ian Whiffin 一起审查 Karen Read 审判 – 第 1 部分
- 专家答疑：与 Ian Whiffin 一起审查 Karen Read 审判 – 第 2 部分
Cellebrite: 周二小贴士：在 Inseyets UFED 中使用 Streamline
Google 的 Cloud Security Podcast: EP246 从扫描器到 AI：Qualys CEO Sumedh Thakar 谈 25 年漏洞管理
Magnet Forensics:
- 向领先的媒体取证专家学习审查和分析媒体证据的技巧与最佳实践
- Cyber Unpacked S2:E4 // 来自现场的声音：DFIR 的趋势、挑战与未来
Michael Haggis: ClickGrab 更新：新技术、重定向跟随者、社区集成等！
Microsoft Threat Intelligence Podcast: 威胁态势更新：勒索软件即服务和高级模块化恶意软件
Monolith Forensics:
- 如何在 Monolith 中添加获取任务
- Neptune 中的哈希搜索
- 在 Neptune 中将 CyberTips 标记为已审阅
- Neptune 中的已知媒体
- 在 Neptune 中使用热键
- 在 Neptune 中审阅 CyberTip 数据
- 在 Neptune 中添加和处理 CyberTips
- Neptune 简介
MSAB: XAMN 抢先体验第二部分
MyDFIR: 这就是为什么你应该在你的家庭实验室模拟攻击
Parsing the Truth: One Byte at a Time: 关于 Pam Hupp 和 Russ Faria 的那件事第 1 部分
Proofpoint: 当网络安全意识意味着认识到你是人类时
Sandfly Security: Linux 隐形 Rootkit 猎杀演示
SentinelOne: LABScon25 回放 | 自动挑衅：AI 时代的分析技术
The Cyber Mentor: 直播：HTB Sherlocks！ | 网络安全 | 蓝队
The DFIR Journal: SharePoint 同步：生产力转变为数据窃取
The Weekly Purple Team Vibe: 在攻防行动中使用 AI 实现自动化的黑客技术
Three Buddy Problem:
- Chris Eng 谈从 NSA、@Stake、Veracode 以及 20 年网络安全生涯中吸取的经验教训
- Apple 漏洞利用链赏金、无线近距离漏洞利用和战术手提箱

MALWARE

CTF导航APT | 海莲花组织Havoc远控木马分析
Cybereason: 应对针对 Oracle EBS CVE-2025-61882 的 CL0P 勒索活动
Dr Josh Stroschein:
- 直播：Suricata 8.0.1 和 7.0.12 安全发布：与核心团队一起修复高严重性 CVE
- 新一期 Behind the Binary：逆向工程中的机器学习革命
Fortinet:
- Chaos 勒索软件的演变：更快、更智能、更危险
- 新的 Stealit 活动滥用 Node.js 单可执行应用程序
Harshil Patel 和 Prabudh Chakravorty 在 McAfee Labs: Astaroth：滥用 GitHub 增强韧性的银行木马
Ray Fernandez 在 Moonlock: Mac.c 窃密软件演变为具有后门和远程控制功能的 MacSync
Rizqi Setyo Kusprihantanto 在 OSINT Team: MCP 作为您的恶意软件分析助手
Paolo Luise: Ghidra 和字符串
Shubho57: bat 文件释放器的分析
Rizqi Mulki 在 System Weakness: Android 应用程序逆向工程：揭示隐藏的秘密
Zhassulan Zhussupov: Linux 黑客第七部分：Linux sysinfo 窃密软件：Telegram Bot API。简单的 C 示例
بانک اطلاعات تهدیدات بدافزاری پادویش: HackTool.Win32.APT-GANG8220

MISCELLANEOUS

Decrypting a Defense: ICE 能力增强、SIM 卡农场、NYCHA 监控听证会、修复损坏手机以进行提取及更多内容
Josibel Mendoza 在 DFIR Dominican: DFIR 职位更新 – 2025年10月6日
Forensic Focus:
- Exterro 推出 FTK Imager Pro，为全球调查人员解锁对加密证据的更快访问
- 关于 PDF 解密的一切 – 在 Passware 知识库中发现
- 即将举行的网络研讨会 – 2025年秋季发布版内部预览
- Alexander Fehrmann: 如何在 Amped FIVE 中分析痕迹证据
- 2025年10月10日 Forensic Focus 文摘
GreyNoise: 介绍 GreyNoise Feeds：用于实时响应的实时情报
Group-IB: 值得您关注的 7 大网络安全简报
Manuel Feifel 在 InfoGuard Labs: 分析与阻断 Microsoft Defender for Endpoint 的云通信
Kevin Pagano 在 Stark 4N6: 与 Magnet Forensics 合作的 Cyber Unpacked 专题
Magnet Forensics:
- Magnet Axiom 秋季更新：ChatGPT、Chromium、私密消息支持等
- 使用 Magnet One 节省数字调查时间：第 4 部分 – 简化数据管理
- 利用数字取证打击毒品和帮派暴力
MISP: Wazuh 和 MISP 集成
Oxygen Forensics:
- 事件响应团队可立即改进远程数据收集的 5 种方法
- 如何在 Oxygen Remote Explorer 中使用代理管理中心
Shantaciak: 事件响应策略：风暴前的蓝图
Pilar Garcia 在 Sucuri: 介绍 Sucuri 学院：您网站安全教育的新目的地
System Weakness: Blue Cape Security 的新取证认证？我拿到了，这是我的评价。
Bernardo.Quintero 在 VirusTotal: 更简单的访问，更强的 VirusTotal

SOFTWARE UPDATES

Brian Maloney: OneDriveExplorer v2025.10.09
Digital Sleuth: winfor-salt v2025.11.1
Doug Metz 在 Baker Street Forensics: 跨平台 DFIR 工具：Windows 上的 MalChelaGUI
North Loop Consulting: Arsenic v2.0
OpenCTI: 6.8.4
Passmark Software: OSForensics V11.1 build 1011 2025年10月8日
Passware: Passware Kit Mobile 2025 v4 现已推出
Phil Harvey: ExifTool 13.39
Ulf Frisk: MemProcFS 版本 5.16
WithSecure Labs: Chainsaw v2.13.1
Xways:
- X-Ways Forensics 21.5 SR-8
- X-Ways Forensics 21.6 Beta 6