安天长期基于流量侧数据跟踪分析网络攻击活动，识别和捕获恶意网络行为，研发相应的检测机制与方法，积累沉淀形成了安天自主创新的网络行为检测引擎。安天定期发布最近的网络行为检测能力升级通告，帮助客户洞察流量侧的网络安全威胁与近期恶意行为趋势，协助客户及时调整安全应对策略，赋能客户提升网络安全整体水平。

1. 网络流量威胁趋势

近期勒索软件攻击较为活跃，涉及到Trigona、Rorschachdeng、Nokoyawa等勒索软件。其中Rorschachdeng是研究人员发现的新型勒索软件，Rorschachdeng遵循间歇加密趋势，即只对文件进行部分加密，从而提高处理速度；还发现MuddyWater组织以勒索软件作为幌子对混合环境进行破坏性攻击。同时，攻击者利用零日漏洞提升权限并部署Nokoyawa勒索软件有效载荷，用于攻击零售、批发、能源、制造、医疗保健、软件开发和其他行业；建议用户及时关注勒索软件攻击活动。

近期网络安全事件涉及Balada Injector、Arid Viper、ARCHIPELAGO、MuddyWater等组织。其中Arid Viper组织被发现在使用其恶意软件工具包的更新变种进行攻击；ARCHIPELAGO组织使用包含恶意链接的网络钓鱼电子邮件进行社工攻击，当收件人单击这些链接时，链接会重定向到旨在获取凭据的虚假登录页面。

本期活跃的安全漏洞信息

1Apache inLong SQL 注入漏洞(CVE-2023-30465)

2RuoYi任意文件下载漏洞(CVE-2023-27025)

3Google Chrome越界访问漏洞(CVE-2023-1529)

4SFTP路径~解决差异(CVE-2023-27534)

值得关注的安全事件

1中国网络安全产业联盟发布《美国情报机构网络攻击的历史回顾》

斯诺登事件迄今已近十年，伴随着棱镜门的曝光，国家级网络攻击行为逐渐浮出水面。其实早在此前，已有多方信息显示，美相关机构利用其技术和先发优势针对他国开展网络攻击行为。全球网络安全厂商、学者和研究机构付出巨大的努力，对此进行了深入细致的跟踪分析和调查研究。为系统梳理美情报机构对全球各国开展的网络攻击活动，中国网络安全产业联盟（CCIA）组织编制了《美国情报机构网络攻击的历史回顾——基于全球网络安全界披露信息分析》（中英文版）。

2Trigona勒索软件攻击MS-SQL服务器

近期，研究人员发现Trigona勒索软件被安装在管理不当的MS-SQL服务器上。管理不当的MS-SQL服务器是指暴露于外界环境，仅通过设置账户信息就容易受到暴力破解的环境。如果攻击者登录成功，系统的控制权就会转移给攻击者，并可以安装恶意代码或执行恶意命令。

2. 安天网络行为检测能力概述

安天网络行为检测引擎收录了近期流行的网络攻击行为特征。本期新增网络攻击行为特征涉及代码执行、命令注入、远控木马等高风险，涉及等目录遍历、跨站脚本、用户枚举等中风险及敏感函数等低风险。

3. 更新列表

本期安天网络行为检测引擎规则库部分更新列表如下：

安天网络行为检测引擎最新规则库版本为Antiy_AVLX_2023041219，建议及时更新安天探海威胁检测系统-网络行为检测引擎规则库（请确认探海系统版本为：6.6.1.2 SP1及以上，旧版本建议先升级至最新版本），安天售后服务热线：400-840-9234。

安天探海网络检测实验室简介

安天探海网络检测实验室是安天科技集团旗下的网络安全研究团队，致力于发现网络流量中隐藏的各种网络安全威胁，从多维度分析网络安全威胁的原始流量数据形态，研究各种新型攻击的流量基因，提供包含漏洞利用、异常行为、应用识别、恶意代码活动等检测能力，为网络安全产品赋能，研判网络安全形势并给出专业解读。