安天网络行为检测能力升级通告(20230416)

时间:2023年04月16日    来源:安天


安天长期基于流量侧数据跟踪分析网络攻击活动,识别和捕获恶意网络行为,研发相应的检测机制与方法,积累沉淀形成了安天自主创新的网络行为检测引擎。安天定期发布最近的网络行为检测能力升级通告,帮助客户洞察流量侧的网络安全威胁与近期恶意行为趋势,协助客户及时调整安全应对策略,赋能客户提升网络安全整体水平。

1. 网络流量威胁趋势

近期勒索软件攻击较为活跃,涉及到Trigona、Rorschachdeng、Nokoyawa等勒索软件。其中Rorschachdeng是研究人员发现的新型勒索软件,Rorschachdeng遵循间歇加密趋势,即只对文件进行部分加密,从而提高处理速度;还发现MuddyWater组织以勒索软件作为幌子对混合环境进行破坏性攻击。同时,攻击者利用零日漏洞提升权限并部署Nokoyawa勒索软件有效载荷,用于攻击零售、批发、能源、制造、医疗保健、软件开发和其他行业;建议用户及时关注勒索软件攻击活动。

近期网络安全事件涉及Balada Injector、Arid Viper、ARCHIPELAGO、MuddyWater等组织。其中Arid Viper组织被发现在使用其恶意软件工具包的更新变种进行攻击;ARCHIPELAGO组织使用包含恶意链接的网络钓鱼电子邮件进行社工攻击,当收件人单击这些链接时,链接会重定向到旨在获取凭据的虚假登录页面。

本期活跃的安全漏洞信息

1Apache inLong SQL 注入漏洞(CVE-2023-30465)

2RuoYi任意文件下载漏洞(CVE-2023-27025)

3Google Chrome越界访问漏洞(CVE-2023-1529)

4SFTP路径~解决差异(CVE-2023-27534)

值得关注的安全事件

1中国网络安全产业联盟发布《美国情报机构网络攻击的历史回顾》

斯诺登事件迄今已近十年,伴随着棱镜门的曝光,国家级网络攻击行为逐渐浮出水面。其实早在此前,已有多方信息显示,美相关机构利用其技术和先发优势针对他国开展网络攻击行为。全球网络安全厂商、学者和研究机构付出巨大的努力,对此进行了深入细致的跟踪分析和调查研究。为系统梳理美情报机构对全球各国开展的网络攻击活动,中国网络安全产业联盟(CCIA)组织编制了《美国情报机构网络攻击的历史回顾——基于全球网络安全界披露信息分析》(中英文版)。

2Trigona勒索软件攻击MS-SQL服务器

近期,研究人员发现Trigona勒索软件被安装在管理不当的MS-SQL服务器上。管理不当的MS-SQL服务器是指暴露于外界环境,仅通过设置账户信息就容易受到暴力破解的环境。如果攻击者登录成功,系统的控制权就会转移给攻击者,并可以安装恶意代码或执行恶意命令。

2. 安天网络行为检测能力概述

安天网络行为检测引擎收录了近期流行的网络攻击行为特征。本期新增网络攻击行为特征涉及代码执行、命令注入、远控木马等高风险,涉及等目录遍历、跨站脚本、用户枚举等中风险及敏感函数等低风险。

3. 更新列表

本期安天网络行为检测引擎规则库部分更新列表如下:

安天网络行为检测引擎最新规则库版本为Antiy_AVLX_2023041219,建议及时更新安天探海威胁检测系统-网络行为检测引擎规则库(请确认探海系统版本为:6.6.1.2 SP1及以上,旧版本建议先升级至最新版本),安天售后服务热线:400-840-9234。

安天探海网络检测实验室简介

安天探海网络检测实验室是安天科技集团旗下的网络安全研究团队,致力于发现网络流量中隐藏的各种网络安全威胁,从多维度分析网络安全威胁的原始流量数据形态,研究各种新型攻击的流量基因,提供包含漏洞利用、异常行为、应用识别、恶意代码活动等检测能力,为网络安全产品赋能,研判网络安全形势并给出专业解读。