安天网络行为检测能力升级通告(20240707)
时间:2024年07月07日 来源:安天
安天长期基于流量侧数据跟踪分析网络攻击活动,识别和捕获恶意网络行为,研发相应的检测机制与方法,积累沉淀形成了安天自主创新的网络行为检测引擎。安天定期发布最近的网络行为检测能力升级通告,帮助客户洞察流量侧的网络安全威胁与近期恶意行为趋势,协助客户及时调整安全应对策略,赋能客户提升网络安全整体水平。
1. 网络流量威胁趋势
近期,研究人员发现原本潜伏的、动机不明的点对点恶意软件僵尸网络P2PInfect最近开始变得活跃起来,在对Redis服务器的攻击中部署了勒索软件模块和加密矿工,研究人员声称有证据表明该恶意软件以“雇佣僵尸网络”的形式运行。从2024年5月16日开始,感染P2PInfect的设备开始收到从指定URL下载并运行勒索软件负载(rsagen)的指令,该命令有效期至2024年12月17日,勒索软件针对与数据库(SQL、SQLITE3、DB)、文档(DOC、XLS)和媒体文件(MP3、WAV、MKV)相关的特定扩展名的文件进行加密。
同时,研究人员发现威胁行为体使用搜索引擎优化(SEO)投毒技术在Google搜索结果页面上显示虚假网站,诱导毫无戒心的网站访问者下载包含Windows批处理脚本的ZIP存档,最终安装一个名为AdsExhaust的恶意广告软件,该广告软件能够从受感染的设备中窃取截图,并使用模拟按键与浏览器进行交互,例如自动点击广告或将浏览器重定向到特定的URL,从而为广告软件运营商创造收入。
本期活跃的安全漏洞信息
1Puppeteer Renderer 路径遍历漏洞(CVE-2024-36527)
2Progress MOVEit Transfer身份认证绕过漏洞(CVE-2024-5806)
3WordPress WP-Recall SQL注入漏洞(CVE-2024-32709)
4Apache HTTP Server 代码问题漏洞(CVE-2024-38477)
5OpenSSH远程代码执行漏洞(CVE-2024-6387)
值得关注的安全事件
1研究人员揭露新型勒索软件组织VolcanoDemon
安全研究人员揭露了一个新的勒索软件组织VolcanoDemon,该组织在过去两周内发动了数起攻击。VolcanoDemon使用名为LukaLocker的加密器,特别针对带有.nba文件扩展名的文件进行加密。攻击者在攻击前清除了日志,使得取证评估受限。此外值得注意的是,该勒索组织通过频繁的电话与受害者的领导层和IT高管进行勒索和协商,目前尚不清楚 Volcano Demon是独立运作还是某个已知勒索软件组织的附属机构。
2安天发布《OpenSSH远程代码执行漏洞(CVE-2024-6387)风险提示》
近日,安天CERT监测发现OpenSSH修复了一个远程代码执行漏洞(CVE-2024-6387),该漏洞是由于OpenSSH服务器(sshd)中的信号处理程序竞争问题导致,未经身份验证的攻击者可以利用此漏洞在Linux系统上以root身份执行任意代码,目前该漏洞技术细节(含PoC)已在互联网上公开。且有近千万个OpenSSH实例在互联网公开,建议受漏洞影响的用户及时升级至最新版本修复该漏洞,或采用安全防护措施加强防护能力,防范网络攻击。
2. 安天网络行为检测能力概述
安天网络行为检测引擎收录了近期流行的网络攻击行为特征。本期新增检测规则77条,升级改进检测规则85条,网络攻击行为特征涉及变种木马、代码执行等高风险,涉及SQL注入、文件写入等中风险。
3. 更新列表
本期安天网络行为检测引擎规则库部分更新列表如下:
安天网络行为检测引擎最新规则库版本为Antiy_AVLX_2024070507建议及时更新安天探海威胁检测系统-网络行为检测引擎规则库(请确认探海系统版本为:6.6.1.2 SP1及以上,旧版本建议先升级至最新版本),安天售后服务热线:400-840-9234。
安天探海网络检测实验室简介
安天探海网络检测实验室是安天科技集团旗下的网络安全研究团队,致力于发现网络流量中隐藏的各种网络安全威胁,从多维度分析网络安全威胁的原始流量数据形态,研究各种新型攻击的流量基因,提供包含漏洞利用、异常行为、应用识别、恶意代码活动等检测能力,为网络安全产品赋能,研判网络安全形势并给出专业解读。