安天网络行为检测能力升级通告(20220724)
时间:2022年07月24日 来源:安天
安天长期研究和积累流量侧网络行为检测能力,沉淀形成安天自主研发的网络行为检测引擎,安天将定期发布网络行为检测能力升级通告,帮助客户洞察流量侧网络威胁趋势,及时调整检测策略,提升网络威胁检测效率。
1.网络流量威胁趋势
通过持续关注近期发生的网络安全事件,网络安全实战攻防演练活动前夕,重点单位组织内部攻防演习,渗透攻击组件活动频繁,致使各类高危漏洞利用行为活跃。活跃的网络威胁主要集中在漏扫设备、窃密软件、已知漏洞利用、攻击武器组件等。
网络中活跃的组织或家族有:苦象、TA505、AridViper、APT33、APT29、Alfa、PhoenixMiner等。
本期活跃的安全漏洞信息
1.Windows NFS远程代码执行漏洞(CVE-2022-30136)
2.铭飞CMS任意文件上传漏洞(CVE-2022-31943)
3.Atlassian Jira 服务端请求伪造漏洞(CVE-2022-26135)
4.ThinkPHP框架漏洞(CVE-2022-33107)
值得关注的安全事件
近期,安天监测到AutoCAD木马又开始活跃,针对我国重要企业进行渗透传播。AutoCAD木马威胁性较高,攻击者对于使用AutoCAD软件的个人和企业能够开展有针对性的攻击,且能造成影响较大的安全威胁。
8220 加密挖矿团伙一直在利用Linux和云应用程序漏洞,将其僵尸网络扩大到全球约30000多台受感染的主机。在最近的活动中,该组织利用了新版本的IRC僵尸网络、PwnRig加密货币矿工及其通用感染脚本,建议广大用户提高警惕!
2.安天网络行为检测能力概述
安天网络行为检测引擎收录了近期流行的网络攻击行为特征。本期新增网络攻击行为特征涉及白象、TransparentTribe、SideCopy 等多个APT组织,涉及木马后门、远控木马、僵尸网络、钓鱼网站等高风险,涉及挖矿木马、勒索木马、远程代码执行漏洞、目录遍历等中风险。
3.更新列表
本期安天网络行为检测引擎规则库部分更新列表如下:
安天网络行为检测引擎最新规则库版本为Antiy_AVLX_2022072019,建议及时更新安天探海威胁检测系统-网络行为检测引擎规则库(请确认探海系统版本为:6.6.1.2 SP1及以上,旧版本建议先升级至最新版本),安天售后服务热线:400-840-9234。
安天探海网络检测实验室简介
安天探海网络检测实验室是安天科技集团旗下的网络安全研究团队,致力于发现网络流量中隐藏的各种网络安全威胁,从多维度分析网络安全威胁的原始流量数据形态,研究各种新型攻击的流量基因,提供包含漏洞利用、异常行为、应用识别、恶意代码活动等检测能力,为网络安全产品赋能,对网络安全形势研判给出专业解读。