安天网络行为检测能力升级通告(20220918)

时间:2022年09月18日    来源:安天


安天长期研究和积累流量侧网络行为检测能力,沉淀形成安天自主研发的网络行为检测引擎,安天定期发布网络行为检测能力升级通告,帮助客户洞察流量侧网络威胁趋势,及时调整检测策略,提升网络威胁检测效率。

1. 网络流量威胁趋势

热门盗版软件下载有风险,伪装成多款实用软件的“魔盗”窃密木马正在大规模传播,国内已有近万台设备受其感染,整体感染量呈上升趋势。除了“魔盗”,网络间谍组织通过投放新型窃密软件,针对亚洲国防、航空航天等政府机构正在进行新一轮的间谍窃密活动。请广大用户强化风险意识,加强安全防范,避免不必要的经济损失。

值得关注的安全事件

1“魔盗”窃密木马大规模传播

近期,CNCERT和安天联合监测到一批伪装成CorelDraw、Notepad++、IDA Pro、WinHex等多款实用软件进行传播的窃密木马。通过跟踪监测发现其每日上线境内肉鸡数(以IP数计算)最多已超过1.3万,攻击者利用“cdr[.]jyxwlkj.cn”及“cdrnb[.]jyxwlkj.cn”域名建立多个软件下载页面,用于投放伪装成实用软件的“魔盗”窃密木马。窃密木马运行后会收集受害者主机中已安装的软件列表与多款浏览器的历史记录、书签数据和邮件客户端邮箱账户信息,并加密回传至攻击者服务器。攻击者正在持续更新木马组件,近一月内国内已有近65000台设备受其感染,整体感染量呈上升趋势。

2. 安天网络行为检测能力概述

安天网络行为检测引擎收录了近期流行的网络攻击行为特征。本期新增网络攻击行为特征涉及提权攻击、远程命令执行漏洞、反弹Shell等高风险,涉及目录遍历、未授权登录、外带攻击、SQL注入等中风险。

3. 更新列表

本期安天网络行为检测引擎规则库部分更新列表如下:

安天网络行为检测引擎最新规则库版本为Antiy_AVLX_2022083119,建议及时更新安天探海威胁检测系统-网络行为检测引擎规则库(请确认探海系统版本为:6.6.1.2 SP1及以上,旧版本建议先升级至最新版本),安天售后服务热线:400-840-9234。

安天探海网络检测实验室简介

安天探海网络检测实验室是安天科技集团旗下的网络安全研究团队,致力于发现网络流量中隐藏的各种网络安全威胁,从多维度分析网络安全威胁的原始流量数据形态,研究各种新型攻击的流量基因,提供包含漏洞利用、异常行为、应用识别、恶意代码活动等检测能力,为网络安全产品赋能,对网络安全形势研判给出专业解读。