安天网络行为检测能力升级通告(20240804)

时间:2024年08月04日    来源:安天


安天长期基于流量侧数据跟踪分析网络攻击活动,识别和捕获恶意网络行为,研发相应的检测机制与方法,积累沉淀形成了安天自主创新的网络行为检测引擎。安天定期发布最近的网络行为检测能力升级通告,帮助客户洞察流量侧的网络安全威胁与近期恶意行为趋势,协助客户及时调整安全应对策略,赋能客户提升网络安全整体水平。

1. 网络流量威胁趋势

近期,安全研究人员揭露了一起名为“EchoSpoofing”的大规模网络钓鱼活动,该活动利用Proofpoint电子邮件保护服务的漏洞,向全球多家知名企业发送了数百万封伪造电子邮件。受影响的客户包括迪士尼、IBM、耐克等知名品牌。攻击者通过滥用Proofpoint的基础设施,成功绕过SPF和DKIM等主要安全措施,使得这些钓鱼邮件看起来如同官方邮件一般可信。这些邮件的目的是欺骗收件人,窃取资金和信用卡信息。

漏洞利用活动近期也愈加活跃,安全机构最近发布了一款名为Specula的新型红队利用框架,并展示如何将Microsoft Outlook变为C2信标执行远程代码。该框架利用了2017年修补的CVE-2017-11774漏洞,通过WebView创建自定义Outlook主页,即使在最新Office 365版本上也有效。攻击者可通过注册表值设置恶意主页,利用Outlook执行VBscript文件。Specula允许攻击者实现持久性和系统横向传播,且因outlook.exe受信任,易于逃避安全软件。

本期活跃的安全漏洞信息

1Microsoft Edge 远程代码执行漏洞(CVE-2024-39379)

2Linux kernel 拒绝服务漏洞(CVE-2024-41091)

3Ampache 跨站脚本漏洞(CVE-2024-41665)

4Langflow 权限提升漏洞(CVE-2024-7297)

5snapd 安全漏洞(CVE-2024-1724)

值得关注的安全事件

1CrowdStrike蓝屏故障引发全球网络钓鱼热潮

CrowdStrike Falcon传感器的一次更新意外地在全球范围内触发了Windows计算机的蓝屏死机现象,导致众多用户遭遇服务中断。这一安全事件迅速被网络犯罪分子所利用,他们通过精心设计的网络钓鱼手段和恶意域名,试图误导并攻击用户。研究团队对这些攻击活动进行了持续监测和分析,识别出了攻击者所使用的多种恶意软件,包括但不限于Remcos远程访问木马和数据擦除器。研究团队还提供了详细的缓解措施,帮助受影响的用户保护自身安全。

2Mandrake间谍软件潜入Google Play应用

经过两年的隐蔽发展,Mandrake Android间谍软件再次在Google Play上被发现。这款恶意软件曾于2020年被分析,现在以新版本的形式回归,携带更高级的混淆和规避技术。在2022至2024年间,至少有五个Mandrake应用程序在Google Play上发布,总安装次数超过32000次,且未被其他安全供应商检测到。新版本恶意软件将核心功能隐藏在本机库中,使用证书固定技术进行C2通信,并通过多种测试来检测是否运行在root设备或模拟环境中。该间谍软件能够执行数据收集、屏幕录制、监控、命令执行等恶意活动,并通过模仿Google Play通知诱使用户安装更多恶意APK。尽管相关应用已被移除,但Mandrake的威胁依然存在。

2. 安天网络行为检测能力概述

安天网络行为检测引擎收录了近期流行的网络攻击行为特征。本期新增检测规则349条,升级改进检测规则58条,网络攻击行为特征涉及变种木马、代码执行等高风险,涉及SQL注入、文件写入等中风险。

3. 更新列表

本期安天网络行为检测引擎规则库部分更新列表如下:

安天网络行为检测引擎最新规则库版本为Antiy_AVLX_2024080207,建议及时更新安天探海威胁检测系统-网络行为检测引擎规则库(请确认探海系统版本为:6.6.1.2 SP1及以上,旧版本建议先升级至最新版本),安天售后服务热线:400-840-9234。

安天探海网络检测实验室简介

安天探海网络检测实验室是安天科技集团旗下的网络安全研究团队,致力于发现网络流量中隐藏的各种网络安全威胁,从多维度分析网络安全威胁的原始流量数据形态,研究各种新型攻击的流量基因,提供包含漏洞利用、异常行为、应用识别、恶意代码活动等检测能力,为网络安全产品赋能,研判网络安全形势并给出专业解读。