安天网络行为检测能力升级通告(20230305)

时间:2023年03月05日    来源:安天


安天长期跟踪分析流量侧网络活动,甄别抓取恶意网络行为,研发配套新的检测方法与手段积累沉淀形成了安天自主创新的网络行为检测引擎。安天定期发布最近的网络行为检测能力升级通告,帮助客户洞察流量侧的网络安全威胁与近期恶意行为趋势,协助客户及时调整安全应对策略,赋能客户提升网络安全整体水平。

1. 网络流量威胁趋势

近期钓鱼邮件攻击活动频繁,涉及制造、能源、互联网、教育科研、政府等多个行业,同时随着聊天机器人ChatGPT火爆出圈,其已成为AI届“顶流”,快速渗透至各个行业,目前黑客已利用ChatGPT钓鱼网站开始传播恶意软件。建议用户及时关注钓鱼邮件及钓鱼网站。

近期网络安全事件涉及OxtaRAT、Mirai、Clasiopa、Earth Yako等组织。

本期活跃的安全漏洞信息

1泛微e-cology9 SQL注入漏洞(CNVD-2023-12632)

2Microsoft Word远程代码执行漏洞(CVE-2023-21716)

3PHP缓冲区溢出漏洞(CVE-2023-0568)

4Windows 通用日志文件系统驱动程序特权提升漏洞(CVE-2023-23376)

值得关注的安全事件

1利用GuLoader加载器投递AgentTesla的钓鱼活动分析

近日,安天CERT监测到利用GuLoader加载器投递AgentTesla窃密木马的新一轮钓鱼活动。攻击者以产品报价为主题,向欧洲、亚洲多个国家的制造、能源、互联网等领域的企业发送钓鱼邮件,并在其中发现一起针对国内某企业的攻击活动。在此次钓鱼邮件活动中,攻击者以项目报价邀请函为主题对我国汽车行业某企业发送钓鱼邮件,将附件中的文件以项目名称命名,诱导目标执行附件中的VBS脚本,从而执行GuLoader加载器将Shellcode加载至内存中,投递的最终载荷为AgentTesla窃密木马,建议用户关注相关主题的钓鱼邮件。

2黑客利用ChatGPT钓鱼网站传播恶意软件感染用户

近日,聊天机器人ChatGPT火爆全球,同时引起人们对人工智能及其可能用途的兴趣,它已成为网络犯罪分子传播恶意软件和实施其他人工智能辅助网络攻击的新工具。研究人员发现一些黑客利用ChatGPT的图标和名称创建虚假网站,以此来传播恶意软件并窃取信用卡信息,这些网站是通过一个拥有超过3500名粉丝的非官方ChatGPT社交媒体页面推广的,其中一些帖子包含指向ChatGPT或其开发商OpenAI虚假网站的链接。当用户点击钓鱼网站上的“下载Windows”或“尝试ChatGPT”按钮时,带有窃取恶意软件的恶意文件会自动下载到他们的设备上。一旦恶意软件被执行,它可以在受害者不知情的情况下收集敏感数据。研究人员发现,这些钓鱼网站散布了几个臭名昭著的恶意软件家族。除了托管信息窃取程序和其他恶意软件外,黑客还利用ChatGPT和基于OpenAI的钓鱼网站实施财务欺诈。

2. 安天网络行为检测能力概述

安天网络行为检测引擎收录了近期流行的网络攻击行为特征。本期新增网络攻击行为特征涉及远程代码执行、命令注入攻击、后门等高风险,涉及SQL注入攻击、跨站脚本攻击、木马等中风险。

3. 更新列表

本期安天网络行为检测引擎规则库部分更新列表如下:

安天网络行为检测引擎最新规则库版本为Antiy_AVLX_2023030119,建议及时更新安天探海威胁检测系统-网络行为检测引擎规则库(请确认探海系统版本为:6.6.1.2 SP1及以上,旧版本建议先升级至最新版本),安天售后服务热线:400-840-9234。

安天探海网络检测实验室简介

安天探海网络检测实验室是安天科技集团旗下的网络安全研究团队,致力于发现网络流量中隐藏的各种网络安全威胁,从多维度分析网络安全威胁的原始流量数据形态,研究各种新型攻击的流量基因,提供包含漏洞利用、异常行为、应用识别、恶意代码活动等检测能力,为网络安全产品赋能,研判网络安全形势并给出专业解读。