安天网络行为检测能力升级通告(20230820)
时间:2023年08月20日 来源:安天
安天长期基于流量侧数据跟踪分析网络攻击活动,识别和捕获恶意网络行为,研发相应的检测机制与方法,积累沉淀形成了安天自主创新的网络行为检测引擎。安天定期发布最近的网络行为检测能力升级通告,帮助客户洞察流量侧的网络安全威胁与近期恶意行为趋势,协助客户及时调整安全应对策略,赋能客户提升网络安全整体水平。
1. 网络流量威胁趋势
近期恶意软件攻击较为活跃,研究人员发现APT34组织(也称OilRig)使用恶意IT职位招聘表作为诱饵发起网络攻击。该组织创建了一个虚假网站,伪装成阿联酋的一家 IT 公司,将招聘表格发送给目标 IT 公司,当受害者打开恶意文档以申请广告中的 IT 职位时,就会窃取信息的恶意软件被执行。该恶意软件收集了敏感信息和凭据,以访问IT公司客户的网络。
同时,研究人员还发现了Reptile恶意软件,此恶意软件是针对 Linux 系统的开源内核模块 Rootkit,可在 GitHub 上公开获取。Rootkit 是具有隐藏自身或其他恶意软件能力的恶意软件。Reptile恶意软件主要针对文件、进程和网络通信进行隐藏。该恶意软件的隐藏能力不仅包括其自身的内核模块,还包括文件、目录、文件内容、进程和网络流量。与其他通常仅提供隐藏功能的 Rootkit 恶意软件不同,Reptile恶意软件还具有反向shell功能,使攻击者能够轻松控制系统。
本期活跃的安全漏洞信息
1Linux kernel-6.5UAF漏洞(CVE-2023-4128)
2Apache RocketMQ NameServer 远程代码执行漏洞(CVE-2023-37582)
3Adobe Dimension缓冲区溢出漏洞(CVE-2023-38212)
4Linux内核权限提升漏洞(CVE-2023-0179)
5Linux kernel缓冲区溢出漏洞(CVE-2023-34319)
值得关注的安全事件
1研究披露AsyncRAT恶意软件
近期,研究人员发现一系列以金融为主题的恶意垃圾邮件活动通过批处理脚本 (.bat) 传播恶意软件。这些活动使用多种编程语言来实现感染链中的不同目标——从批处理脚本、PowerShell、Go、shellcode到 .NET。感染从简单的批处理脚本开始,使用PowerShell 从网络下载第二阶段的恶意软件。该恶意软件被打包两次以逃避检测,其中包括一个名为ShellGo的 Go加密器,该加密器在内存中解密并执行shellcode。shellcode 绕过两个Windows 安全功能,解密有效负载并在内存中运行它。我们在下面分析的活动中的有效负载是AsyncRAT,一种使用 .NET 开发的流行远程访问木马 (RAT)。
2研究人员披露SugarCRM零日漏洞可被利用以在云端访问密钥
研究人员披露SugarCRM(CVE-2023-22952)零日身份验证绕过和远程代码执行漏洞是一个典型的漏洞,实际上,防御者需要注意更多内容。由于它是一个 Web 应用程序,如果未正确配置或保护,幕后的基础设施可能会让攻击者扩大其影响。当攻击者了解云服务提供商使用的底层技术时,如果他们能够访问具有正确权限的凭据,攻击者就可以入侵更多的基础设施。
2. 安天网络行为检测能力概述
安天网络行为检测引擎收录了近期流行的网络攻击行为特征。本期新增网络攻击行为特征涉及登录绕过、文件上传、代码执行等高风险,涉及SQL注入、任意文件下载、目录遍历等中风险。
3. 更新列表
本期安天网络行为检测引擎规则库部分更新列表如下:
安天网络行为检测引擎最新规则库版本为Antiy_AVLX_2023081619,建议及时更新安天探海威胁检测系统-网络行为检测引擎规则库(请确认探海系统版本为:6.6.1.2 SP1及以上,旧版本建议先升级至最新版本),安天售后服务热线:400-840-9234。
安天探海网络检测实验室简介
安天探海网络检测实验室是安天科技集团旗下的网络安全研究团队,致力于发现网络流量中隐藏的各种网络安全威胁,从多维度分析网络安全威胁的原始流量数据形态,研究各种新型攻击的流量基因,提供包含漏洞利用、异常行为、应用识别、恶意代码活动等检测能力,为网络安全产品赋能,研判网络安全形势并给出专业解读。