安天网络行为检测能力升级通告(20240317)

时间:2024年03月17日    来源:安天


安天长期基于流量侧数据跟踪分析网络攻击活动,识别和捕获恶意网络行为,研发相应的检测机制与方法,积累沉淀形成了安天自主创新的网络行为检测引擎。安天定期发布最近的网络行为检测能力升级通告,帮助客户洞察流量侧的网络安全威胁与近期恶意行为趋势,协助客户及时调整安全应对策略,赋能客户提升网络安全整体水平。

1. 网络流量威胁趋势

近期,研究人员发现,威胁行为者正在将恶意软件隐藏于SVG图像文件中,从而绕过检测,传递勒索软件、下载银行特洛伊木马,并分发恶意软件。研究人员在1月份观察到一个为期两个月的运动,该运动利用SVG文件传递Agent Tesla键盘记录器和XWorm远程控制木马(RAT)恶意软件。在2023年12月和2024年1月的Agent Tesla键盘记录器活动中,电子邮件包含附带的SVG文件,打开后传递嵌入的.zip归档。这些归档启动了一系列有效载荷下载,最终执行了Agent Tesla键盘记录器。威胁行为者修改了AutoSmuggle生成的SVG文件,以增强其欺骗能力。XWorm RAT运动呈现出不同的感染链。有些使用嵌入式链接导向SVG文件,而有些则直接使用附带的SVG文件。这些文件启动了包含用于执行XWorm RAT的有效载荷的.zip归档的下载。这些在运动中使用的SVG文件缺乏在Agent Tesla键盘记录器运动中观察到的复杂性,并在打开时呈现空白页。

同时,研究人员最近还观察到,攻击者在针对一名客户的钓鱼攻击中恶意利用了Dropbox。在一月份,攻击者通过发送包含恶意链接的钓鱼邮件,来自合法的Dropbox地址,进而威胁到了该客户的软件即服务(SaaS)环境。虽然邮件来源和Dropbox链接看似合法,但研究人员发现一个红旗信号:PDF文件中含有一个指向“mmv-security[.]top”域的链接,而这个域在该客户的环境中从未出现过,随后在1月29日再次发送邮件提醒用户打开之前共享的PDF文件。尽管Darktrace已将其归类为垃圾邮件,并应用锁定链接操作,但员工仍打开了邮件并点击了PDF文件中的链接,最终导致与恶意端点建立了连接。这导致了用户关联的内部设备的安全受到威胁,研究人员后来还发现了一系列可疑活动,包括多个异常的SaaS登录、使用VPN服务隐藏位置,以及在受损Outlook账户内创建电子邮件规则来隐藏恶意活动。

本期活跃的安全漏洞信息

1Apache Pulsar 任意文件读取漏洞 (CVE-2024-27894)

2Google Pixel身份认证绕过漏洞(CVE-2024-22005)

3Apache InLong反序列化漏洞(CVE-2024-26580)

4Aruba Networks ArubaOS 命令注入漏洞(CVE-2024-25611)

5VMware ESXi & Workstation & Fusion释放后使用漏洞(CVE-2024-22252)

值得关注的安全事件

1(1) 新型Linux恶意软件攻击Docker和其他关键应用程序

近期,研究人员现了一种名为SpinningYarn的新型Linux恶意软件活动,其目标是运行ApacheHadoopYARN、Docker、Confluence和Redis面向Web服务的配置错误的服务器。SpinningYarn是一种恶意活动,利用了各行业企业使用的流行Linux软件的弱点。这些服务是组织IT基础设施中的重要组成部分。Docker对于开发、部署和管理容器化应用程序至关重要。ApacheHadoop允许分布式处理大型数据集。通过破坏这些应用程序,攻击者可以获得对系统的未经授权的访问、窃取敏感数据、破坏操作或部署勒索软件,从而对服务器和关键基础设施构成重大威胁。在SpinningYarn中,威胁行为者使用了几种独特的有效负载,包括四个Golang二进制文件,它们可以自动发现和感染主机并让它们利用代码。他们使用Confluence来利用常见的错误配置和漏洞,发起远程代码执行(RCE)攻击并感染新主机。

2(2) 黑客利用ConnectWise等缺陷部署TODDLERSHARK恶意软件

研究人员发现威胁行为者利用ConnectWise和ScreenConnect安全漏洞部署了一种名为TODDLERSHARK的新恶意软件。TODDLERSHARK与BabyShark和ReconShark等已知的Kimsuky恶意软件有重叠。利用现在的‘手动键盘’访问权限,使用cmd.exe来执行mshta.exe,其中包含基于VisualBasic(VB)的恶意软件的URL。所涉及的ConnectWise缺陷是CVE-2024-1708和CVE-2024-1709,这些缺陷于上个月曝光,此后遭到多个威胁行为者的大量利用,以传播加密货币挖矿程序、勒索软件、远程访问木马和窃取恶意软件。该恶意软件除了使用计划任务来实现持久性之外,还旨在捕获和泄露有关受感染主机的敏感信息,从而充当有价值的侦察工具。研究人员表示,TODDLERSHARK以更改代码中的身份字符串、通过生成的垃圾代码更改代码的位置以及使用唯一生成的C2URL的形式表现出多态行为的元素,这可能使该恶意软件在某些环境中难以检测。

2. 安天网络行为检测能力概述

安天网络行为检测引擎收录了近期流行的网络攻击行为特征。本期修改网络攻击行为特征涉及命令执行、文件上传等高风险,涉及回连C2、SQL注入等中风险。

3. 更新列表

本期安天网络行为检测引擎规则库部分更新列表如下:

安天网络行为检测引擎最新规则库版本为Antiy_AVLX_2024031507,建议及时更新安天探海威胁检测系统-网络行为检测引擎规则库(请确认探海系统版本为:6.6.1.2 SP1及以上,旧版本建议先升级至最新版本),安天售后服务热线:400-840-9234。

安天探海网络检测实验室简介

安天探海网络检测实验室是安天科技集团旗下的网络安全研究团队,致力于发现网络流量中隐藏的各种网络安全威胁,从多维度分析网络安全威胁的原始流量数据形态,研究各种新型攻击的流量基因,提供包含漏洞利用、异常行为、应用识别、恶意代码活动等检测能力,为网络安全产品赋能,研判网络安全形势并给出专业解读。