安天网络行为检测能力升级通告(20221113)

时间:2022年11月13日    来源:安天


安天长期跟踪分析流量侧网络活动,甄别抓取恶意网络行为,研发配套新的检测方法与手段积累沉淀形成了安天自主创新的网络行为检测引擎。安天定期发布最近的网络行为检测能力升级通告,帮助客户洞察流量侧的网络安全威胁与近期恶意行为趋势,协助客户及时调整安全应对策略,赋能客户提升网络安全整体水平。

1. 网络流量威胁趋势

Emotet僵尸网络再次活跃,并开始向全球发送电子邮件,钓鱼邮件需警惕!与此同时Cloud9浏览器僵尸网络近期也十分活跃,其目标是全球各种浏览器,建议不要下载非官网上的恶意插件。近日OpenSSL发布两个严重漏洞的补丁,OpenSSL是一个开放源代码的软件库包,被广泛应用在互联网的网页服务器上,多数SSL加密的网站都使用OpenSSL的开源软件包,该漏洞虽然没有“心脏出血”漏洞危害大,但同样值得注意,建议用户及时修复。

本期活跃的安全漏洞信息

1WordPress plugin Web Stories 代码问题漏洞(CVE-2022-3708)

2OpenSSL远程代码执行漏洞(CVE-2022-3602)

3OpenSSL缓冲区溢出漏洞(CVE-2022-3786)

4蓝凌智慧协同平台SQL注入漏洞(CNVD-2022-70699)

值得关注的安全事件

1OpenSSL修复两个严重漏洞

近日,OpenSSL修复了用于加密通信信道、HTTPS连接的开源加密库中的两个严重漏洞,这两个漏洞被标记为CVE-2022-3602和CVE-2022-3786,影响OpenSSL 3.0.0及更高版本,并在OpenSSL 3.0.7中得到修复。CVE-2022-3602是一个任意的4字节堆栈缓冲区溢出漏洞,可能触发崩溃或导致远程代码执行;攻击者可以通过电子邮件利用CVE-2022-3786,通过缓冲区溢出导致拒绝服务。

2黑客滥用微软产品发送网络钓鱼链接

近日,研究人员发现黑客使用微软的Dynamics 365 Customer Voice发送网络钓鱼链接。Dynamics 365 Customer Voice是微软的一个产品,主要用于从客户处获得反馈,如客户满意度调查、跟踪客户反馈并将数据进行汇总,也可以通过电话与客户进行沟通,以此收集更多的数据。黑客利用微软通知发送语音邮件,并在邮件中添加一个微软的合法语音链接和一个“播放语音”的按钮,当用户点击此按钮时会被重定向到一个与微软登录页面相似的钓鱼网页,黑客利用此钓鱼网页窃取用户的账号和密码信息。

2. 安天网络行为检测能力概述

安天网络行为检测引擎收录了近期流行的网络攻击行为特征。本期新增网络攻击行为特征涉及一句话木马、远程命令执行、命令注入攻击等高风险,涉及WEBSHELL、目录遍历、跨站脚本攻击等中风险及扫描器识别、应用运行异常等低风险。

3. 更新列表

本期安天网络行为检测引擎规则库部分更新列表如下:

安天网络行为检测引擎最新规则库版本为Antiy_AVLX_2022083119,建议及时更新安天探海威胁检测系统-网络行为检测引擎规则库(请确认探海系统版本为:6.6.1.2 SP1及以上,旧版本建议先升级至最新版本),安天售后服务热线:400-840-9234。

安天探海网络检测实验室简介

安天探海网络检测实验室是安天科技集团旗下的网络安全研究团队,致力于发现网络流量中隐藏的各种网络安全威胁,从多维度分析网络安全威胁的原始流量数据形态,研究各种新型攻击的流量基因,提供包含漏洞利用、异常行为、应用识别、恶意代码活动等检测能力,为网络安全产品赋能,对网络安全形势研判给出专业解读。