安天长期基于流量侧数据跟踪分析网络攻击活动，识别和捕获恶意网络行为，研发相应的检测机制与方法，积累沉淀形成了安天自主创新的网络行为检测引擎。安天定期发布最近的网络行为检测能力升级通告，帮助客户洞察流量侧的网络安全威胁与近期恶意行为趋势，协助客户及时调整安全应对策略，赋能客户提升网络安全整体水平。

1. 网络流量威胁趋势

近期，研究人员开始跟踪npm上的可疑出版物。有问题的包包含一个加密的blob，该blob似乎是针对目标计算机的密钥：只有使用一些本地计算机信息和解密密钥才能解密。然后将解密的blob传递给eval(...)执行。研究人员解密此负载，发现密钥是一家主要金融机构的domain.tld。此解密的有效负载包含一个嵌入的二进制文件，该二进制文件巧妙地将用户凭据泄露到相关目标公司内部的Microsoft Teams Webhook2。这表明存在内部工作、非常好的内部红队模拟或在网络中拥有强大立足点的外部攻击者。

同时，研究人员最近还发现了Lazarus组织利用Log4j中的安全缺陷，在受感染的主机上部署以前未记录的远程访问木马(RAT)。研究人员正在以“Operation Blacksmith”的名义跟踪该活动，注意到使用了三个基于DLang的恶意软件系列，其中包括一种名为NineRAT的RAT（利用Telegram进行命令和控制 (C2)）、DLRAT和一个名为BottomLoader的下载程序。

本期活跃的安全漏洞信息

1IBM Security Guardium Key Lifecycle Manager 目录遍历(CVE-2023-47702)

2Zabbix Server session 泄漏漏洞(CVE-2023-32725)

3OpenSSH命令注入漏洞(CVE-2023-51385)

4Apache Guacamole整数溢出漏洞(CVE-2023-43826)

5Google Chrome 类型混淆漏洞(CVE-2023-6702)

值得关注的安全事件

1研究人员称超过一半的内部攻击使用特权提升漏洞

特权提升缺陷是企业内部人员在网络上进行未经授权的活动时最常见的漏洞，无论是出于恶意目的还是以危险的方式下载有风险的工具。根据2021年1月至2023年4月期间收集的数据发布的一份报告显示，内部威胁正在上升，而利用权限升级漏洞是未经授权活动的重要组成部分。该报告称，该公司记录的内部威胁中有55%依赖于权限升级漏洞，而其余45%通过下载或滥用攻击性工具无意中引入了风险。利用权限升级漏洞来获取管理权限对于许多内部攻击至关重要，因为在大多数情况下，流氓内部人员都会从对其网络环境的低级别访问开始。

2研究人员披露Radamanthys信息窃取恶意软件新功能

Rhadamanthys 信息窃取恶意软件的开发人员最近发布了两个主要版本，全面添加改进和增强功能，包括新的窃取功能和增强的规避功能。Rhadamanthys 是一种 C++ 信息窃取程序，于 2022 年 8 月首次出现，目标是电子邮件、FTP 和在线银行服务帐户凭据。该窃取程序通过订阅模式出售给网络犯罪分子，因此它会通过各种渠道分发给目标，包括恶意广告、带有恶意的 torrent 下载、电子邮件、YouTube 视频等。尽管它最初在拥挤的信息窃取器市场中没有受到太多关注，但 Rhadamanthys 仍在继续改进，在其模块化特性的基础上根据需要添加新功能。

2. 安天网络行为检测能力概述

安天网络行为检测引擎收录了近期流行的网络攻击行为特征。本期新增网络攻击行为特征涉及远程代码执行、文件上传等高风险，涉及目录遍历、信息泄露等中风险。

3. 更新列表

本期安天网络行为检测引擎规则库部分更新列表如下：

安天网络行为检测引擎最新规则库版本为Antiy_AVLX_2023122207，建议及时更新安天探海威胁检测系统-网络行为检测引擎规则库（请确认探海系统版本为：6.6.1.2 SP1及以上，旧版本建议先升级至最新版本），安天售后服务热线：400-840-9234。

安天探海网络检测实验室简介

安天探海网络检测实验室是安天科技集团旗下的网络安全研究团队，致力于发现网络流量中隐藏的各种网络安全威胁，从多维度分析网络安全威胁的原始流量数据形态，研究各种新型攻击的流量基因，提供包含漏洞利用、异常行为、应用识别、恶意代码活动等检测能力，为网络安全产品赋能，研判网络安全形势并给出专业解读。