安天网络行为检测能力升级通告(20230514)
时间:2023年05月14日 来源:安天
安天长期基于流量侧数据跟踪分析网络攻击活动,识别和捕获恶意网络行为,研发相应的检测机制与方法,积累沉淀形成了安天自主创新的网络行为检测引擎。安天定期发布最近的网络行为检测能力升级通告,帮助客户洞察流量侧的网络安全威胁与近期恶意行为趋势,协助客户及时调整安全应对策略,赋能客户提升网络安全整体水平。
1. 网络流量威胁趋势
近期勒索软件攻击较为活跃,涉及到Cactus、Akira等恶意软件。其中,名为Cactus的新型勒索软件一直在利用VPN设备中的漏洞对“大型商业实体”的网络进行初始访问。Cactus勒索软件行动至少从3月开始就一直活跃,并正在索求受害者的大笔赎金。虽然新的威胁行为者采用了勒索软件攻击中常见的策略——文件加密和数据盗窃,但它增加了自己的手段来避免被发现。Cactus与其他勒索软件的不同之处在于使用加密来保护勒索软件二进制文件。
本期活跃的安全漏洞信息
1Apache Log4cxx ODBC SQL 注入(CVE-2023-31038)
2GitLab GraphQL未授权访问漏洞(CVE-2023-2478)
3泛微 E-Office 文件上传漏洞(CVE-2023-2523)
4Microsoft Office远程代码执行漏洞(CVE-2023-29344)
5Windows网络文件系统远程执行代码漏洞(CVE-2023-24941)
值得关注的安全事件
1新的DDoS僵尸网络AndoryuBot利用Ruckus漏洞发起攻击
研究人员近期发现,一种名为“AndoryuBot”的新型恶意软件僵尸网络针对Ruckus无线管理面板中的严重漏洞,感染未打补丁的Wi-Fi接入点以用于DDoS攻击。该漏洞编号为CVE-2023-25717,影响所有Ruckus无线管理面板10.4及更早版本,允许远程攻击者通过向易受攻击的设备发送未经身份验证的HTTP GET请求来执行代码。该漏洞于2023年2月8日被发现并修复,尽管如此,许多人还没有应用可用的安全更新。AndoryuBot于2023年2月首次出现,但Fortinet表示其针对Ruckus设备的更新版本于4月中旬出现。僵尸网络旨在将易受攻击的设备纳入其以营利为目的的DDoS(分布式拒绝服务)群。
2黑客开始使用双重DLL侧加载来逃避检测
近期发现一种名为“Dragon Breath”,“Golden Eye Dog”或“APT-Q-27”的APT黑客团伙展示了一种新趋势,即使用多个复杂的经典DLL侧载技术来逃避检测。此攻击从利用干净的应用程序,通常是电报开始,该应用程序侧载第二阶段有效载荷,有时也是干净的,该有效载荷反过来又侧载了恶意的恶意软件加载器DLL。对受害者的诱饵是针对中国内地、日本、新加坡和菲律宾等的汉语Windows用户的木马电报、LetsVPN或WhatsApp应用程序。Sophos分析人员发现该活动的目标范围是中国语言用户。此攻击使用了污染的汉语应用程序,诱导受害者侧载恶意DLL绕过防御。
2. 安天网络行为检测能力概述
安天网络行为检测引擎收录了近期流行的网络攻击行为特征。本期新增网络攻击行为特征涉及代码执行、变形函数等高风险,涉及未授权访问、暴力破解、文件上传等中风险及信息泄露等低风险。
3. 更新列表
本期安天网络行为检测引擎规则库部分更新列表如下:
安天网络行为检测引擎最新规则库版本为Antiy_AVLX_2023051017,建议及时更新安天探海威胁检测系统-网络行为检测引擎规则库(请确认探海系统版本为:6.6.1.2 SP1及以上,旧版本建议先升级至最新版本),安天售后服务热线:400-840-9234。
安天探海网络检测实验室简介
安天探海网络检测实验室是安天科技集团旗下的网络安全研究团队,致力于发现网络流量中隐藏的各种网络安全威胁,从多维度分析网络安全威胁的原始流量数据形态,研究各种新型攻击的流量基因,提供包含漏洞利用、异常行为、应用识别、恶意代码活动等检测能力,为网络安全产品赋能,研判网络安全形势并给出专业解读。