安天网络行为检测能力升级通告(20231112)
时间:2023年11月12日 来源:安天
安天长期基于流量侧数据跟踪分析网络攻击活动,识别和捕获恶意网络行为,研发相应的检测机制与方法,积累沉淀形成了安天自主创新的网络行为检测引擎。安天定期发布最近的网络行为检测能力升级通告,帮助客户洞察流量侧的网络安全威胁与近期恶意行为趋势,协助客户及时调整安全应对策略,赋能客户提升网络安全整体水平。
1. 网络流量威胁趋势
近期,研究人员发现在PyPI库中发现恶意Python包,该活动于2023年1月开始,共有8个包,名为Pyobftoexe、Pyobfusfile、Pyobfexecute、Pyobfpremium、Pyobflite、Pyobfadvances、Pyobfuse和pyobfgood,最后一个包于10月发布。这些模块中包含setup.py和init.py文件,这些文件检索托管于Transfer上的Python脚本,该脚本执行后将接收并执行代码。被执行hi ing的恶意软件为BlazeStealer,它运行Discord Bot程序,使攻击者能够窃取浏览器中的数据、获取屏幕截图、执行任意命令、加密文件,并在受感染的主机上停止Microsoft Defender。更严重的是,它可以通过增加CPU使用率、在启动目录中插入Windows批处理脚本来关闭计算机,甚至强制出现蓝屏(BSoD)错误,使计算机无法使用。
同时,研究人员还发现了Gootloader的新变种——GootBot,它实现了隐蔽的横向移动,使Gootloader的攻击活动更加难以被检测。以前,攻击者通常将Gootloader作为初始阶段的恶意软件,然后利用Gootloader加载工具,如CobaltStrike,或使用RDP在内网在横向移动。现在攻击者将利用Gootloader下载GootBot载荷,GootBot是一个轻量级的混淆的PS脚本,能够以加密PowerShell脚本的形式接收C2指令。
本期活跃的安全漏洞信息
1Apache UIMA Java SDK 反序列化漏洞(CVE-2023-39913)
2Redis RedisGraph代码执行漏洞(CVE-2023-47004)
37-Zip 安全漏洞(CVE-2023-31102)
4Remote Desktop Manager Windows 远程代码执行漏洞(CVE-2023-5766)
5Google Android权限提升漏洞(CVE-2023-21231)
值得关注的安全事件
1 研究人员发现APT组织SideCopy的新一轮攻击活动
SideCopy组织被认为是一个与巴基斯坦相关的APT组织,自2019年以来一直针对南亚国家,主要是印度国防和阿富汗政府机构进行攻击活动,并被认为是是Transparent Tribe(APT36)的一个分支。研究人员在过去几个月里发现该组织多次针对印度政府和国防机构进行的攻击活动。该组织正在利用最新的WinRAR漏洞CVE-2023-38831传播AllaKore RAT、DRat和其他恶意载荷。此外,该组织还在传播一种名为Ares RAT的开源代理的Linux变种,并在初始载荷中发现与Transparent Tribe(APT36)存在相似的代码。
2研究人员发现名为Trap Stealer的窃密木马
近期,研究人员通过VirusTotal发现了一个名为“Trap Stealer”的新型窃密木马,并且已经确定其开发者在GitHub上公开分享了完整的源代码。Trap Stealer基于Python编写,通过一个开源构建器构建,具有各种功能,包括绕过安全措施以及窃取用户数据并回传给攻击者。这个窃取工具旨在秘密提取受感染系统中的各种敏感信息,包括Cookies、网络浏览器的浏览历史、Discord应用程序的令牌、剪贴板内容、加密钱包数据、WhatsApp文件等。目前其开发者仍在不断改进这个窃取工具的代码、引入新的功能。
2. 安天网络行为检测能力概述
安天网络行为检测引擎收录了近期流行的网络攻击行为特征。本期新增网络攻击行为特征涉及文件上传、代码执行等高风险,涉及SQL注入、回连C2行为等中风险。
3. 更新列表
本期安天网络行为检测引擎规则库部分更新列表如下:
安天网络行为检测引擎最新规则库版本为Antiy_AVLX_2023111007,建议及时更新安天探海威胁检测系统-网络行为检测引擎规则库(请确认探海系统版本为:6.6.1.2 SP1及以上,旧版本建议先升级至最新版本)。安天售后服务热线:400-840-9234。
安天探海网络检测实验室简介
安天探海网络检测实验室是安天科技集团旗下的网络安全研究团队,致力于发现网络流量中隐藏的各种网络安全威胁,从多维度分析网络安全威胁的原始流量数据形态,研究各种新型攻击的流量基因,提供包含漏洞利用、异常行为、应用识别、恶意代码活动等检测能力,为网络安全产品赋能,研判网络安全形势并给出专业解读。