安天网络行为检测能力升级通告(20231126)
时间:2023年11月26日 来源:安天
安天长期基于流量侧数据跟踪分析网络攻击活动,识别和捕获恶意网络行为,研发相应的检测机制与方法,积累沉淀形成了安天自主创新的网络行为检测引擎。安天定期发布最近的网络行为检测能力升级通告,帮助客户洞察流量侧的网络安全威胁与近期恶意行为趋势,协助客户及时调整安全应对策略,赋能客户提升网络安全整体水平。
1. 网络流量威胁趋势
近期,研究人员对Lumma窃密木马4.0版本进行分析,发现该窃密木马在规避检测及对抗分析方面使用了新的技术手段。这些手段包括控制流平坦化混淆、鼠标活动检测、XOR加密字符串、动态配置文件以及在构建时进行加密。其中,Lumma窃密木马在对鼠标活动进行检测时,使用GetCursor跟踪主机上鼠标光标的位置,并在50毫秒的间隔内记录五个不同位置,然后它采用三角函数对这些位置进行分析,对移动形成的角度和矢量大小进行计算。如果计算出的矢量角度低于45度,Lumma窃密木马会认为这些动作不是由软件模拟的,将继续运行;如果角度大于45度,该恶意软件会停止所有恶意行为,但会继续监视鼠标移动,直到检测到类似人类的行为。
同时,研究人员最近还发现由8Base团伙发起的攻击活动有所增加,该团伙使用SmokeLoader木马传播Phobos勒索软件。SmokeLoader采用了多层解密的方式释放最终载荷文件。在初始阶段,SmokeLoader采用大量随机API调用来混淆执行流程,然后在内存中执行Shellcode并释放执行最终的载荷。Phobos是一种典型的勒索软件,能够在受感染的系统中建立持久性、执行快速加密并删除备份。2019年以后出现的Phobos勒索软件使用自定义的AES-256加密实现,每个加密文件使用不同的随机对称密钥。一旦文件被加密,用于加密的密钥以及附加元数据将使用硬编码的公钥进行RSA-1024加密,并保存到文件末尾。
本期活跃的安全漏洞信息
1Apache Submarine SQL注入漏洞(CVE-2023-37924)
2Viessmann Vitogate远程代码执行漏洞(CVE-2023-45852)
3基于Chromium的Microsoft Edge 远程代码执行漏洞(CVE-2023-36008)
4CrushFTP远程代码执行漏洞(CVE-2023-43177)
5IBM InfoSphere Information Server 安全漏洞(CVE-2023-40363)
值得关注的安全事件
1安天发布《LockBit勒索软件样本分析及针对定向勒索的防御思考》
2019LockBit勒索软件被发现于2019年9月,持续活跃至今,其背后的组织开发人员通过勒索软件即服务(RaaS)模式运营,组织附属成员较多,通过第三方获取访问凭证、新漏洞武器化利用和搭载其他恶意软件等方式入侵至受害者系统后投放勒索软件。该组织于2021年6月发布了LockBit勒索软件2.0版本,同时发布专属数据窃取工具StealBit,采用“威胁曝光企业数据+加密数据勒索”双重勒索策略,在此基础上,于2021年8月增加了DDoS攻击威胁,构成三重勒索;2022年6月推出了3.0版本,3.0版本的部分代码与BlackMatter勒索软件代码重叠,因此LockBit 3.0又被称为LockBit Black。
2APT组织TA402针对中东的政府机构进行攻击活动
2023年7月至10月,研究人员发现APT组织TA402发起的钓鱼攻击活动,该组织在攻击活动中传播一中被称为IronWind的新型恶意下载器,该下载器用于下载Shellcode并执行后续流程。在同一时期,TA402调整了其传播恶意载荷的方法,从原本使用Dropbox链接转为使用XLL和RAR文件附件,这可能是为了规避检测。该组织一直在进行具有针对性的攻击活动,每次攻击活动针对的目标少于5个,并一直保持着对中东和北非政府机构的高度关注。
2. 安天网络行为检测能力概述
安天网络行为检测引擎收录了近期流行的网络攻击行为特征。本期新增网络攻击行为特征涉及代码执行等高风险,涉及文件上传、文件读取等中风险。
3. 更新列表
本期安天网络行为检测引擎规则库部分更新列表如下:
安天网络行为检测引擎最新规则库版本为Antiy_AVLX_2023112407,建议及时更新安天探海威胁检测系统-网络行为检测引擎规则库(请确认探海系统版本为:6.6.1.2 SP1及以上,旧版本建议先升级至最新版本)。安天售后服务热线:400-840-9234。
安天探海网络检测实验室简介
安天探海网络检测实验室是安天科技集团旗下的网络安全研究团队,致力于发现网络流量中隐藏的各种网络安全威胁,从多维度分析网络安全威胁的原始流量数据形态,研究各种新型攻击的流量基因,提供包含漏洞利用、异常行为、应用识别、恶意代码活动等检测能力,为网络安全产品赋能,研判网络安全形势并给出专业解读。