安天网络行为检测能力升级通告(20220710)
时间:2022年07月10日 来源:安天
安天长期研究和积累流量侧网络行为检测能力,沉淀形成安天自主研发的AVLX网络行为检测引擎,安天将每两周发布一次网络行为检测能力升级通告,帮助客户洞察流量侧网络威胁趋势,及时调整检测策略,提升网络威胁检测效率。
1.网络流量威胁趋势
通过持续关注近期发生的网络安全事件,网络流量威胁主要来自恶意代码、网络攻击两个方面,活跃的网络威胁主要集中在勒索软件、Nday漏洞利用、钓鱼网站活动等方面。涉及的组织有:海莲花、Mirio、AridViper、Hezb、MuddyWater、FakeTelegram等。
本期最为活跃的安全漏洞信息
1. Spring Data MongoDB SpEL注入漏洞(CVE-2022-22980)
2. Apache Shiro认证绕过漏洞(CVE-2022-32532)
3. Confluence未授权OGNL注入漏洞(CVE-2022-26134)
4. WSO2 API Manager 远程代码执行漏洞(CVE-2022-29464)
值得关注的安全事件
近期,安天发现一款利用WSO2(CVE-2022-29464)、Confluence(CVE-2022-26134)漏洞进行网络传播的挖矿木马家族-Hezb;涉及漏洞均属于第三方软件漏洞,针对企业的服务器传播几率较大,及时更新WSO2和Confluence补丁可避免感染该挖矿木马。
2. 针对教育机构官网的钓鱼活动
近期,发现多个web站点模仿教育机构网站,相似度高达90%;主要钓取用户登陆信息。访问钓鱼站点的用户,存在身份、证书等信息被盗用的风险。
2.安天AVLX网络行为检测能力概述
安天AVLX网络行为检测引擎收录了近期流行的网络攻击行为特征。本期新增网络攻击行为特征涉及绿斑、海莲花(OceanLotus)、Gamaredon等多个APT组织,涉及Apache Log4j2 漏洞利用、窃密木马、远控木马、僵尸网络等高风险,涉及远程代码执行漏洞、渗透组件、目录遍历、信息泄露等中风险。
3.更新列表
本期安天AVLX网络行为检测引擎规则库部分更新列表如下:
|
威胁等级 |
事件描述 |
类型 |
|
高风险 |
木马-远控-Win32.APT.Gamaredon.0307.上线包 |
新增 |
|
高风险 |
木马-僵尸网络-Win32.Mylobot.模块URL获取 |
新增 |
|
高风险 |
木马-僵尸网络-windows.BlackMoon.下载恶意样本 |
新增 |
|
高风险 |
渗透组件-识别CS-Http-Beacon服务器证书指纹01 |
新增 |
|
高风险 |
渗透组件-识别CS-Http-Beacon上线/心跳请求 |
新增 |
|
高风险 |
渗透组件-识别CS-HttpBeacon-通过Post方式请求回传数据 |
新增 |
|
高风险 |
渗透组件-识别CS-Http-Beacon服务器证书公钥01 |
新增 |
|
高风险 |
异常-下载被注入代码的jQuery文件 |
新增 |
|
高风险 |
蠕虫变种传播-疑似调用执行exe |
新增 |
|
高风险 |
可疑行为-下载ELF载荷-疑似木马实体文件 |
新增 |
|
高风险 |
利用-漏洞-疑似Apache Log4j2.x <= 2.14.1-Lookup组件RCE-Payload |
新增 |
|
高风险 |
木马-窃密-Win32.Stealer.CryptBot.数据回传 |
新增 |
|
高风险 |
木马-钓鱼网站-APT.绿斑.serverhosting163.com.邮箱账号密码回传 |
新增 |
|
高风险 |
木马-远控-Win32.APT.OceanLotus.widgets.sannianban.com.TLS证书 |
新增 |
|
高风险 |
木马-窃密-Win32.Stealer.CryptBot.下载模块 |
新增 |
|
高风险 |
利用-Atlassian OAuth Plugin-SSRF CVE-2017-9506 |
新增 |
|
高风险 |
木马-通信-Win.Downloader.Agent变种证书协商 |
修改 |
|
高风险 |
漏洞-通过Apache-Struts组件_memberAccess/getWriter参数尝试OGNL注入 |
修改 |
|
高风险 |
漏洞-通过Log4j远程命令执行漏洞-尝试获取Log4Shell(CVE-2021-44228) |
修改 |
|
中风险 |
尝试利用MovableType中未经验证的RCE-实体注入 |
新增 |
|
中风险 |
尝试利用WordPress<4.7枚举漏洞获取用户信息 |
新增 |
|
中风险 |
尝试利用Nginx-HTTP-Range负值引起的缓冲区溢出攻击 |
新增 |
|
中风险 |
疑似利用AcyMailing<7.5.0-尝试重定向 |
新增 |
|
中风险 |
尝试利用SaltStack-SaltAPI未授权漏洞-写入信息 |
新增 |
|
中风险 |
利用成功AyaCms请求伪造漏洞-修改用户密码 |
新增 |
|
中风险 |
尝试利用KenthaRadio2.0.2-未授权-导致重定向 |
新增 |
|
中风险 |
木马-窃密-Win32.Azorult.窃密数据回传 |
新增 |
|
中风险 |
ZyXEL USG FLEX未授权命令注入漏洞 |
新增 |
|
中风险 |
尝试利用WordPress因未授权导致SQL注入漏洞-WP Statistics |
新增 |
|
中风险 |
木马-窃密-Win32.General.Updates.窃密数据回传 |
新增 |
|
中风险 |
Atlassian Bitbucket未授权远程代码执行漏洞 |
新增 |
|
中风险 |
尝试利用Buffalo WSR-2533DHPL2-目录遍历 |
新增 |
|
中风险 |
异常-下载-疑似下载存在异常的jquery库 |
新增 |
|
中风险 |
木马-僵尸网络-Linux.Mirai.Command
manipulation |
新增 |
|
中风险 |
木马-窃密-Win32.FFDroiderStealer.上线包 |
新增 |
|
中风险 |
尝试利用Cisco HyperFlex-HX数据平台-上传文件 |
新增 |
安天AVLX网络行为检测引擎最新规则库版本为Antiy_AVLX_2022070119,建议及时更新安天探海威胁检测系统-AVLX网络行为检测引擎规则库(请确认探海系统版本为:6.6.1.2 SP1及以上,旧版本建议先升级至最新版本),安天售后服务热线:400-840-9234。
安天探海网络检测实验室简介
安天探海网络检测实验室是安天科技集团旗下的网络安全研究团队,致力于发现网络流量中隐藏的各种网络安全威胁,从多维度分析网络安全威胁的原始流量数据形态,研究各种新型攻击的流量基因,提供包含漏洞利用、异常行为、应用识别、恶意代码活动等检测能力,为网络安全产品赋能,对网络安全形势研判给出专业解读。