安天长期基于流量侧数据跟踪分析网络攻击活动，识别和捕获恶意网络行为，研发相应的检测机制与方法，积累沉淀形成了安天自主创新的网络行为检测引擎。安天定期发布最近的网络行为检测能力升级通告，帮助客户洞察流量侧的网络安全威胁与近期恶意行为趋势，协助客户及时调整安全应对策略，赋能客户提升网络安全整体水平。

1. 网络流量威胁趋势

近期，研究人员发现了一款名为DreamLand的模块化恶意软件，在今年3月份最初被发现时，其主要是针对巴基斯坦的政府实体目标。DreamLand利用Lua脚本语言及其即时(JIT)编译器来执行难以检测的恶意代码，并还具有各种反调试功能，这还是自AnimalFarm和Project Sauron组织使用Lua语言以来，第一次看到有APT威胁行为者使用Lua。研究人员对其进行了简要分析，发现DreamLand最初通过名为libcurl.dll的初始文件加载UpdateCheck.dll程序，UpdateCheck.dll负责实现嵌入式LuaJIT编排器，最终加载updater.ver文件中包含的加密/压缩/编码/编译的LuaJIT脚本。

同时，研究人员还发现在 npm 软件包注册表中发现了一批新的恶意软件包，这些软件包旨在将 Kubernetes 配置和 SSH 密钥从受感染的计算机窃取到远程服务器。研究人员表示，到目前为止，它已经发现了 14 个不同的 npm 包。这些软件包[...]试图冒充 JavaScript 库和组件，例如 ESLint 插件和 TypeScript SDK 工具。但是，在安装后，发现该软件包的多个版本运行混淆代码，以从目标计算机收集敏感文件。除了 Kubernetes 配置和 SSH密钥之外，这些模块还能够收集系统元数据，例如用户名、IP 地址和主机名，所有这些都会传输到名为 app.thretest[.]com的域。

本期活跃的安全漏洞信息

1Windows本地提权漏洞(CVE-2023-21768)

2smartCARS日志信息泄露漏洞(CVE-2023-28441)

3Docker Desktop 代码注入漏洞(CVE-2023-0625)

4Linux netfilter数组索引漏洞(CVE-2023-42753)

5IBM Person Communications(PCOMM) 权限提升漏洞(CVE-2023-37410)

值得关注的安全事件

1攻击者利用合法软件Remcos和GuLoader进行网络攻击

近期，研究人员发现标榜合法的软件已成为网络犯罪分子的首选武器。此行为的两个著名示例是 Remcos RAT（远程管理工具）和 GuLoader（也称为 CloudEyE Protector）。这些程序被定位为合法工具，经常被用于攻击，并在最流行的恶意软件排名中占据前列。虽然卖家声称这些工具只能合法使用，但更深层次的事实是，他们的主要客户正是网络犯罪分子。由于 Remcos 很容易被防病毒解决方案检测到，因此很难用于犯罪目的。但是，GuLoader可用于帮助 Remcos 绕过防病毒保护。研究人员发现GuLoader 现在在与 Remcos 相同的平台上以新名称出售，并被隐式宣传为加密程序，使其有效负载完全无法被防病毒软件 (FUD) 检测到。

2研究人员披露基于Rust的恶意软件对阿塞拜疆的攻击活动

研究人员正在以 Operation Rusty Flag 的名义追踪此次行动。位于阿塞拜疆的目标已被挑选为新活动的一部分，该活动旨在在受感染的系统上部署基于 Rust 的恶意软件。它尚未与任何已知的攻击者或组织相关联。该操作至少有两个不同的初始访问向量。这次行动中使用的诱饵之一是 Storm-0978 组织使用的一份修改过的文件。这可能是故意的‘假旗’。这一行动看起来像是一次故意的虚假标记，试图将此次攻击归咎于 Storm-0978。Rust 后门（其中之一伪装为“WinDefenderHealth.exe”）具有从受感染主机收集信息并将其发送到攻击者控制的服务器的功能。

2. 安天网络行为检测能力概述

安天网络行为检测引擎收录了近期流行的网络攻击行为特征。本期新增网络攻击行为特征涉及命令注入、代码执行等高风险，涉及SQL注入等中风险。

3. 更新列表

本期安天网络行为检测引擎规则库部分更新列表如下：

安天网络行为检测引擎最新规则库版本为Antiy_AVLX_2023092807，建议及时更新安天探海威胁检测系统-网络行为检测引擎规则库（请确认探海系统版本为：6.6.1.2 SP1及以上，旧版本建议先升级至最新版本），安天售后服务热线：400-840-9234。

安天探海网络检测实验室简介

安天探海网络检测实验室是安天科技集团旗下的网络安全研究团队，致力于发现网络流量中隐藏的各种网络安全威胁，从多维度分析网络安全威胁的原始流量数据形态，研究各种新型攻击的流量基因，提供包含漏洞利用、异常行为、应用识别、恶意代码活动等检测能力，为网络安全产品赋能，研判网络安全形势并给出专业解读。