数字取证与事件响应周刊:2026年第2周技术资源汇总

qife122
3 阅读10分钟

Week 02 – 2026 – 本周4n6动态

取证分析

  • Akash Patel:案例研究:使用Plaso(Log2Timeline)构建有效时间线
  • Christian Peter:“越过寒冷迷雾山脉 – iLEAPP Threema解析器”
  • Derek Eiri:使用API Forensics的Exponent Faces提取与匹配人脸
  • Martin Korman(DFIR Dudes):Regipy MCP:使用Claude进行自然语言注册表取证
  • Neal Krawetz博士(黑客因子博客):典型PDF分析
  • Elcomsoft
    • 从磁盘镜像到数字分诊的转变
    • 云鸿沟:按需同步时代的取证分诊与磁盘镜像
  • Forensafe:iOS Gmail取证
  • Marco Neumann(Be-binary 4n6)
    • 安卓三星“我的文件”应用:探索文件操作历史
    • 深入安卓三星DHMS:从Android提取设备健康、热管理和应用控制数据 – 第一部分
  • Vendrop:FortiGate DFIR笔记

威胁情报/狩猎

  • Apramey Shurpali:使用GitHub自动化威胁情报工作流
  • Ashok Sakthivel(Barracuda):威胁聚焦:2025年钓鱼工具包如何演变
  • Sean Minnick(Black Hills Information Security):欺骗性审计:一款Active Directory蜜罐工具
  • Rebecca Harpur(BlackFog):勒索软件状况:2025年12月
  • Brad Duncan(恶意软件流量分析)
    • 2026-01-06:SmartApeSG验证码页面使用ClickFix技术传播Remcos RAT
    • 2026-01-07:来自邮件附件的MassLogger感染
    • 2026-01-08:KongTuke ClickFix活动
    • 2026-01-09:来自邮件附件的VIP Recovery感染
  • Brian Krebs(Krebs安全博客):谁从Aisuru和Kimwolf僵尸网络中受益?
  • CERT-AGID
    • “医疗卡到期”网络钓鱼新活动正在进行中
    • 发现虚假内政部门户:针对居留许可的网络钓鱼
    • n8n中的Ni8mare关键新漏洞:无需认证的攻击
    • 1月3日至9日恶意活动周报摘要
  • Check Point
    • 1月5日威胁情报报告
    • 深入GoBruteforcer:AI生成的服务器默认凭据、弱密码及以加密货币为导向的活动
  • Asheer Malhotra, Vitor Ventura, Brandon White(Cisco Talos):UAT-7290瞄准南亚高价值电信基础设施
  • CloudSEK:Rust重生:MuddyWater使用RustyWater植入工具进化其工具集
  • Max Gannon(Cofense):国际威胁:区域钓鱼活动的主题
  • Cybersec Sentinel:VVS Stealer突显针对Discord的信息窃取器日益增长的风险
  • Cyfirma:每周情报报告 – 2026年1月9日
  • Darktrace
    • Madusa勒索软件2025:勒索软件活动中对RMM的滥用
    • Maduro被捕被用作传递后门的诱饵
  • Detect FYI
    • 为什么“基线化”是DLL劫持检测中缺失的一环
    • 正确狩猎WerFaultSecure“EDR-Freeze”的方法:技术构建指南
    • 滥用ROPC绕过MFA——以及如何在Microsoft Sentinel中为其构建检测规则
  • Disconinja:每周威胁基础设施调查(第1周)
  • DomainTools Investigations
    • 雨天通讯第12期(但不是35期)
    • KNOWNSEC泄露:中国承包商驱动的网络间谍生态系统的又一次泄露
  • Elastic Security Labs:从假设到行动:使用Elastic Security进行主动威胁狩猎
  • ExaTrack:2026新年礼物:给威胁猎人的礼物 – 12周狩猎技巧
  • FalconFeeds
    • 分裂的联盟:网络犯罪地下内斗的战略CTI分析
    • 从代码到文化:威胁行为者社区如何在Telegram和暗网论坛上演化
    • 暗影网络:私人消息应用如何成为威胁行为者的新游乐场
    • Akira勒索软件集团:全面战略评估、运营分析与威胁轨迹(2023–2026)
  • Flare
    • 现代Golang SSH暴力破解恶意软件的剖析及其与网络犯罪活动的关联
    • 新威胁行为者组织PayTool通过交通诈骗瞄准加拿大人
  • Flashpoint:司法部宣布打击两个俄罗斯国家支持的网络犯罪黑客组织的行动
  • GreyNoise
    • 威胁行为者正积极瞄准LLM
    • 勒索软件地面战:圣诞节扫描活动如何助长2026年的攻击
  • GreyNoise Labs:GreyNoise Labs每周OAST(知名带外交互域名)报告 • 截至2026年1月9日的一周
  • Group-IB
    • 具有实时可定制LogoKit的DocuSign冒充浪潮
    • Ghost Tapped:追踪中国安卓点对点支付恶意软件的兴起
  • HackTheBox:战情室:CVE-2025-14847——Mongobleed漏洞详解
  • Hudson Rock:数十家全球公司因信息窃取器感染泄露云凭证而被黑,更多公司面临风险
  • Anna Pham, Matt Anderson(Huntress):ESXi漏洞利用在野外传播
  • IC3:朝鲜Kimsuky行为者利用恶意二维码针对美国实体进行鱼叉式钓鱼活动
  • Intel 471:介绍HUNTER Tuning:推动行为威胁狩猎检测的新工具
  • Alexandre Carle(Intrinsec):从VPN失陷到勒索软件:5个真实世界的事件响应场景
  • KQL Query
    • KQL资源:2026年更新
    • 云账户调查工作簿:SOC分析师剧本
  • Microsoft Security:网络钓鱼行为者利用复杂路由和错误配置进行域名欺骗
  • Ucha Gobejishvili(Mitiga):ConsentFix OAuth钓鱼详解:基于令牌的攻击如何在Microsoft Entra ID中绕过MFA
  • Recorded Future
    • 2026年需警惕的新型勒索软件策略
    • 数字威胁检测工具与最佳实践
    • 与GRU关联的BlueDelta演化凭证窃取技术
  • Resecurity:网络反情报(CCI):当“闪亮目标”欺骗“闪亮猎手”
  • Sandfly Security:无代理EDR对Linux的优势白皮书
  • SANS互联网风暴中心
    • 通过IP KVM设备带外访问的风险(1月5日,周一)
    • 工具评测:Tailsnitch(1月6日,周二)
    • 使用HTML表格渲染二维码的网络钓鱼活动(1月7日,周三)
    • 使用Gephi分析DShield传感器数据(1月7日,周三)
    • 恶意进程环境块操作(1月9日,周五)
  • Securite360:迷人的Lotus:深入Sagerunex
  • SentinelOne:打击网络犯罪与防御企业的12个月 | SentinelLABS 2025年度回顾
  • Sarah Gooding(Socket):npm将在经典令牌动荡之后实施分阶段发布
  • Peter Djordjevic(Sublime Security):在GoDaddy电子邮件威胁狩猎中发现HostPapa滥用宝藏 · 博客 · Sublime Security
  • Marco A. De Felice(SuspectFile):独家 – 针对Copec的勒索软件攻击:Anubis声称窃取了6 TB数据
  • Akashwari(System Weakness):调查Let’sDefend SOC实验室中的跨站脚本(XSS)尝试
  • Lauren Proehl, Sydney Marrone(THOR Collective Dispatch):2026:建设者现身之年
  • Aswath A(Trellix):机器中的幽灵:揭露CrazyHunter的隐形战术
  • Carlos Perez(TrustedSec):更新Sysmon社区指南:一线经验教训
  • Trustwave SpiderLabs:来自LevelBlue SpiderLabs 2026年1月的威胁情报新闻
  • Ugur Koc, Bert-Jan Pals(Kusto Insights):Kusto Insights – 12月更新

即将举行的活动

  • Atola Technology:2026年必去的DFIR会议
  • Black Hills Information Security:Active Directory攻击路径实战(与Alyssa和Kaitlyn)
  • Magnet Forensics
    • 解锁2026年视频取证的工作流效率
    • 法律拆解 S1:E4 // eDiscovery:利用民事发现深入挖掘数字证据
  • Monolith Forensics:周三工作坊:掌握取证文档编写与报告
  • Silent Push
    • 工作坊:从告警到基础设施上下文,只需10分钟
    • 网络研讨会——Magecart揭面:一个指标如何揭开一个长达4年的网页掠取网络

演讲/播客

  • Alexis Brignoni:数字取证现在播客 S3 – 2
  • Black Hat:从隧道到欺骗:红队用于初始访问和规避的新型网络技术
  • BSides开普敦:让OpenINTEL开放 – Szymon | BSides开普敦2025
  • Cellebrite:周二提示:十六进制搜索提醒
  • 谷歌云安全播客:EP257 超越“轰隆”:当OT遇到云时,究竟会出什么问题?
  • InfoSec_Bret:SA – SOC257 事件ID:225 – 检测到来自未授权国家的VPN连接
  • John Hubbard(蓝图播客):渗透警报!如何与Zak Stufflebeam一起抓住网络中的虚假IT员工
  • Lesley Carhart:目的地网络播客之OT安全
  • Linux Artifact Parser (LAP)
    • 使用LAP解析Linux “audit.log”日志
    • 使用LAP进行ELF二进制分析
    • 使用LAP分析/proc虚拟文件系统
    • 使用LAP审查Linux取证工件
    • 使用LAP分析.RPM和.DEB安装包
  • Magnet Forensics:利用资助推动数字调查
  • Michael Haggis:这个Windows持久化技巧隐藏在强制配置文件(MAN)中 – 原子测试
  • Monolith Forensics:在Monolith中添加存储项
  • MSAB:#MSAB周一 – XRY语言检测
  • 开放威胁研究:使用GitHub Copilot(VS Code)运行代理技能 – 规划Windows威胁狩猎
  • 逐字节解析真理播客:S1 E34:专家证词三大支柱:准备、呈现与教育
  • Richard Davis(13Cubed):13Cubed课程重大更新:Cobalt的混乱
  • Sandfly Security:Sandfly操作 – 使用自定义Sandfly模块进行无代理Linux威胁狩猎
  • Security Onion:新视频:Security Onion 2.4介绍
  • 网络导师:直播:🕵️ 新年新我 | Sherlocks | 网络安全
  • 安全洞察秀:“AI”安全洞察秀第283集 – 网络安全中的AI革命
  • 每周紫队:🚨 武器化AppLocker
  • 三个伙伴问题:Hamid Kashfi谈伊朗局势;网络是否导致了委内瑞拉大停电?

恶意软件

  • Charlie Eriksen(Aikido):JavaScript、MSBuild与区块链:NeoShadow npm供应链攻击解剖
  • ASEC
    • Guloader恶意软件伪装成员工绩效报告
    • 2025年12月钓鱼邮件趋势报告
    • LockBit 5.0深度分析报告:操作与对策
    • 通过成人游戏Webhard分发的xRAT(QuasarRAT)恶意软件
  • Pieter Arntz(Malwarebytes):假的WinRAR下载使用真实安装程序隐藏恶意软件
  • Patrick Wardle(Objective-See):2025年的Mac恶意软件
  • Robert Simmons(ReversingLabs):解包加壳工具‘pkr_mtsi’
  • Securonix:分析PHALT#BLYX:虚假蓝屏死机和受信任构建工具如何用于构建恶意软件感染
  • Puja Srivastava(Sucuri)
    • 通过恶意插件针对WordPress管理员的虚假浏览器更新
    • 谷歌看到垃圾内容,你看到你的网站:一种隐藏式SEO垃圾攻击
  • Aswath A(Trellix):机器中的幽灵:揭露CrazyHunter的隐形战术
  • Zhassulan Zhussupov:MacOS恶意软件持久化技术1:LaunchAgents – 简单C语言示例
  • Satyam Singh, Lakhan Parashar(ZScaler):恶意的NPM包投递NodeCordRAT

其他杂项

  • Faan Rossouw(主动对策):上下文重于代码:人类猎手不可替代的角色
  • 解密防御:实时面部识别、白宫AI行政命令、未能保存视频、监控国家现状等
  • Josibel Mendoza(DFIR Dominican):DFIR职位更新 – 2026年1月5日
  • Forensic Focus
    • 数字取证职位汇总,2026年1月5日
    • 首个取证论坛(F3)分析师年度研讨会2025
    • Oxygen Forensic KeyScout – 王国之钥:第一部分
    • 数字取证新闻汇总,2026年1月7日
    • Forensic Focus国际福祉研究 – 发表你的意见
    • Forensic Focus文摘,2026年1月9日
  • Debbie Garner & Kim Gatson(Hexordia):宣誓就职还是文职?为成功构建数字取证职能架构
  • Magnet Forensics
    • 现代化聊天审查:Magnet Axiom Cyber用于eDiscovery的新RSMF分组功能
    • 获取为您的角色设计的新培训套装
  • Macie Thompson(Recon Infosec):为最坏情况做计划:使IR、BC和DR计划发挥作用

软件更新

  • Alexis Brignoni:AI_Provenance_Scanner
  • Brian Maloney:OneDriveExplorer v2026.01.06
  • Datadog Security Labs:GuardDog v2.7.1
  • Digital Sleuth:winfor-salt v2026.1.1
  • OpenCTI:6.9.6
  • Roberto Nardella:LAP
  • Securizame:eWintriage:已发布版本28112025
  • SigmaHQ:pySigma v1.1.0

以上就是本周的全部内容!如果你觉得我遗漏了什么,或者希望我特别报道某些内容,请通过联系页面或社交渠道联系我!

原文来源:This Week In 4n6,由Phill Moore发布于2026年1月11日。本文为技术资源导航,不构成具体操作建议。链接内容涉及具体技术细节,请根据实际需求访问原文。 bFU+5FNJK8is9JVnhmQWIcx+DCgiQqwwds/kBxZImMjH1kfJg79StswtV9imh28c2uE91yMMMvkLK6Ya9JK3jg==

avatar
文章
阅读
粉丝