安天长期基于流量侧数据跟踪分析网络攻击活动，识别和捕获恶意网络行为，研发相应的检测机制与方法，积累沉淀形成了安天自主创新的网络行为检测引擎。安天定期发布最近的网络行为检测能力升级通告，帮助客户洞察流量侧的网络安全威胁与近期恶意行为趋势，协助客户及时调整安全应对策略，赋能客户提升网络安全整体水平。

1. 网络流量威胁趋势

近期，研究人员发现了 Secure Shell ( SSH ) 加密网络协议中的一个漏洞，该漏洞可能允许攻击者通过破坏安全通道的完整性来降低连接的安全性。该漏洞被称为Terrapin（CVE-2023-48795，CVSS 评分：5.9），被描述为“有史以来第一个实际上可利用的前缀截断攻击”。SSH 是一种通过不安全的网络安全地向计算机发送命令的方法。它依靠加密技术来验证和加密设备之间的连接。这是通过握手来实现的，其中客户端和服务器就加密原语达成一致，并交换建立可提供机密性和完整性保证的安全通道所需的密钥。

同时，研究人员还发现一个新的网络钓鱼活动正在利用诱饵 Microsoft Word 文档作为诱饵来提供用Nim 编程语言编写的后门。用不常见的编程语言编写的恶意软件使安全社区处于不利地位，因为研究人员和逆向工程师的不熟悉可能会阻碍他们的调查。NimzaLoader、Nimbda、IceXLoader等加载程序以及以Dark Power和Kanti名称追踪的勒索软件系列都证明了这一点。Netskope 记录的攻击链始于一封包含 Word 文档附件的网络钓鱼电子邮件，打开该附件后，会敦促收件人启用宏以激活 Nim 恶意软件的部署。电子邮件发件人将自己伪装成尼泊尔政府官员。一旦启动，植入程序将负责枚举正在运行的进程，以确定受感染主机上是否存在已知的分析工具，并在发现后立即终止自身。

本期活跃的安全漏洞信息

1Google Chrome 释放后重用漏洞(CVE-2024-0222)

2Apache InLong updateAuditSource 代码注入漏洞(CVE-2023-51784)

3Apache DolphinScheduler JS 任意代码执行漏洞(CVE-2023-49299)

4Cacti任意代码执行漏洞(CVE-2023-49084)

5Linux kernel 安全漏洞(CVE-2023-6546)

值得关注的安全事件

1安天发布《Mirai僵尸网络变种“Aquabot”分析》报告

近期，安天CERT捕获到一个Mirai僵尸网络新变种，针对MIPS、ARM和X86等多种架构，利用弱口令感染目标，并等待控制指令进行DDoS攻击。由于该僵尸网络文件名以“Aqua*”命名，我们将其命名为Aquabot。经分析，Aquabot僵尸网络至少迭代过2个版本。其中v1以Mirai开源框架为基础开发，主要功能为进程管理、弱口令扫描和DDoS攻击。2023年11月捕获的最新v2样本在v1基础上针对进程管理、隐匿和传播等功能进行迭代，同时增加了检测设备进程启动参数，以防止设备重启、关机和断电从而延长其生存时间的功能。

2安天发布《波音遭遇勒索攻击事件分析复盘——定向勒索的威胁趋势分析与防御思考》

勒索攻击的主要威胁形态已经从传播扩展勒索软件，转化为依托RaaS（勒索即服务）基础设施展开的定向勒索攻击，防御者和用户需要深度了解定向勒索攻击的运行机理，才能有效构建敌情想定，针对性的改善防御和响应能力。为此，安天CERT在近两年最活跃的勒索攻击组织LockBit的系列攻击中，选取了支撑分析复盘信息最为充分的波音遭遇勒索攻击事件，进行了详细的技术分析、过程还原、损失评估，基于事件总结了攻击进化趋势和防御侧的共性缺陷，对防范RaaS+定向勒索攻击提出的建议。形成了超过两万五千字的长篇分析报告。

2. 安天网络行为检测能力概述

安天网络行为检测引擎收录了近期流行的网络攻击行为特征。本期新增网络攻击行为特征涉及代码执行、文件上传等高风险，涉及代码注入、文件读取等中风险。

3. 更新列表

本期安天网络行为检测引擎规则库部分更新列表如下：

安天网络行为检测引擎最新规则库版本为Antiy_AVLX_2024010407，建议及时更新安天探海威胁检测系统-网络行为检测引擎规则库（请确认探海系统版本为：6.6.1.2 SP1及以上，旧版本建议先升级至最新版本），安天售后服务热线：400-840-9234。

安天探海网络检测实验室简介

安天探海网络检测实验室是安天科技集团旗下的网络安全研究团队，致力于发现网络流量中隐藏的各种网络安全威胁，从多维度分析网络安全威胁的原始流量数据形态，研究各种新型攻击的流量基因，提供包含漏洞利用、异常行为、应用识别、恶意代码活动等检测能力，为网络安全产品赋能，研判网络安全形势并给出专业解读。