安天网络行为检测能力升级通告(20240721)

时间:2024年07月21日    来源:安天


安天长期基于流量侧数据跟踪分析网络攻击活动,识别和捕获恶意网络行为,研发相应的检测机制与方法,积累沉淀形成了安天自主创新的网络行为检测引擎。安天定期发布最近的网络行为检测能力升级通告,帮助客户洞察流量侧的网络安全威胁与近期恶意行为趋势,协助客户及时调整安全应对策略,赋能客户提升网络安全整体水平。

1. 网络流量威胁趋势

近期,研究人员揭露了一起针对NuGet包管理器的新型恶意活动,攻击者利用同形异义字和IL编织技术,成功模仿受保护的NuGet前缀并注入恶意代码。该活动涉及700多个恶意包,攻击者从使用简单初始化脚本的策略,发展到利用MSBuild集成和同形异义字技术,使恶意软件更难被检测。研究人员指出YARA规则在检测此类恶意行为的局限性,当前,所有被识别的恶意包都已从NuGet平台中删除。

PHP漏洞也愈加活跃,安全研究人员近期监测到针对PHP新漏洞CVE-2024-4577的活跃攻击,该漏洞允许远程代码执行(RCE)。该漏洞披露于2024年6月,主要影响使用中文和日语的Windows PHP安装。该漏洞披露后迅速有大量利用尝试,包括Gh0st RAT、RedTail加密矿工和XMRig等恶意软件。研究人员目前提供了全面的攻击指标(IOC)列表,以便帮助组织快速响应和防护。建议受影响组织立即应用补丁并监控IOC。

本期活跃的安全漏洞信息

1多款Zoom产品权限升级漏洞(CVE-2024-27240)

2Apache Wicket远程代码执行漏洞(CVE-2024-36522)

3WordPress plugin JSON API User控制不当漏洞(CVE-2024-6624)

4Spring Cloud 安全漏洞(CVE-2024-22271)

5Microsoft SQL Server 远程代码执行漏洞(CVE-2024-20701)

值得关注的安全事件

1伪造AWS软件包通过JPEG藏匿C2通信

Phylum平台发现npm软件包注册表中出现伪造的AWS软件包,这些软件包表面看似合法,实则在JPEG文件中隐藏了命令和控制(C2)功能。安全研究团队对此进行了深入分析,发现攻击者通过合法项目aws-s3-object-multipart-copy克隆并植入恶意脚本。通过分析loadformat.js文件,揭露了攻击者在图像文件中隐藏恶意代码的手法,这些代码在软件包安装时执行,实现对受害者机器的远程控制。

2新的FishXProxy网络钓鱼工具包降低犯罪门槛

一种名为FishXProxy的网络钓鱼工具包在暗网市场出现,它以其高级功能降低了网络犯罪分子进行攻击的技术门槛。该工具包通过自动化安装、集成Cloudflare服务、多层反机器人系统等特性,使得网络钓鱼攻击更加隐蔽和高效。FishXProxy的营销面向网络犯罪分子,尽管声称仅用于教育目的,但其设计显然倾向于恶意使用。网络安全专家警告,这种工具包的出现可能大幅增加网络钓鱼攻击的数量和复杂性。

2. 安天网络行为检测能力概述

安天网络行为检测引擎收录了近期流行的网络攻击行为特征。本期新增检测规则59条,升级改进检测规则61条,网络攻击行为特征涉及文件上传、代码执行等高风险,涉及未授权访问、信息泄露等中风险。

3. 更新列表

本期安天网络行为检测引擎规则库部分更新列表如下:

安天网络行为检测引擎最新规则库版本为Antiy_AVLX_2024071907,建议及时更新安天探海威胁检测系统-网络行为检测引擎规则库(请确认探海系统版本为:6.6.1.2 SP1及以上,旧版本建议先升级至最新版本),安天售后服务热线:400-840-9234。

安天探海网络检测实验室简介

安天探海网络检测实验室是安天科技集团旗下的网络安全研究团队,致力于发现网络流量中隐藏的各种网络安全威胁,从多维度分析网络安全威胁的原始流量数据形态,研究各种新型攻击的流量基因,提供包含漏洞利用、异常行为、应用识别、恶意代码活动等检测能力,为网络安全产品赋能,研判网络安全形势并给出专业解读。