安天网络行为检测能力升级通告(20240915)
时间:2024年09月15日 来源:安天
安天长期基于流量侧数据跟踪分析网络攻击活动,识别和捕获恶意网络行为,研发相应的检测机制与方法,积累沉淀形成了安天自主创新的网络行为检测引擎。安天定期发布最近的网络行为检测能力升级通告,帮助客户洞察流量侧的网络安全威胁与近期恶意行为趋势,协助客户及时调整安全应对策略,赋能客户提升网络安全整体水平。
1. 网络流量威胁趋势
近期,研究人员近期发现Gamaredon组织利用鱼叉式网络钓鱼邮件针对乌克兰军事人员进行攻击。这些邮件中包含恶意的XHTML附件,打开后会执行经过混淆处理的JavaScript代码,用于下载一个恶意的压缩文件。这个压缩文件中含有一个Windows快捷方式(LNK)文件,触发后会使用mshta.exe获取并执行托管在TryCloudflare上的tar压缩文件。目前研究人员未能捕获到具体的tar压缩文件,但Gamaredon组织在以往的攻击活动中通常会投递额外的恶意软件,用于窃取受害者的敏感信息。
此外,卡巴斯基创建了一种名为TDSSKiller的工具,该工具可以扫描系统中是否存在rootkit和bootkit。研究人员最近发现RansomHub勒索组织滥用TDSSKiller工具,通过命令行脚本或批处理文件与内核级服务进行交互,从而禁用运行在机器上的Malwarebytes反恶意软件服务(MBAMService)。然后,RansomHub组织部署LaZagne凭证收集工具,从各种应用程序数据库中提取登录信息,用于在网络中进行横向移动。
本期活跃的安全漏洞信息
1Microsoft SQL Server 访问控制错误漏洞(CVE-2024-37341)
2Red Hat Keycloak 授权问题漏洞(CVE-2024-7341)
3Kibana任意代码执行漏洞(CVE-2024-37288)
4Microsoft Azure Stack 访问控制错误漏洞(CVE-2024-38220)
5Mozilla Firefox和Mozilla Firefox ESR 类型混淆漏洞漏洞(CVE-2024-8381)
值得关注的安全事件
1研究人员披露Mallox勒索软件
Mallox勒索软件背后的攻击组织于2021年上半年开始运作,首个已知的加密样本被发现于2021年5月。该勒索软件是根据特定受害者定制的,目标公司的名称被硬编码在勒索信中并作为加密文件的扩展名。2023年,与Mallox勒索软件相关的攻击活动有所增加,发现的样本总数超过700个。2024年上半年,该恶意软件仍在积极开发中,每月发布多个新版本,同时,其背后的攻击组织也在暗网论坛中招募新的攻击者。
2迪士尼公司泄露的数据中包含财务及战略信息
今年夏天沃尔特·迪士尼公司(DIS.N)泄露的数据中含有财务和战略信息,以及一些员工和客户的个人身份信息。该公司在8月份表示,正在调查其一个通信系统中超过1TB数据的泄露事件。据报道,泄露的部分数据中包含其邮轮工作人员的护照号码、签证详情、地址和出生地,而另一份电子表格中则包含一些迪士尼邮轮乘客的姓名、地址和电话号码。泄露的文件还包括由Disney+和ESPN+等产品产生的收入详细信息、乐园定价优惠以及一些迪士尼云基础设施的登录凭证。据称,黑客组织NullBulge发布了该公司数千个Slack频道的数据,包括计算机代码和未发布项目的详细信息。
2. 安天网络行为检测能力概述
安天网络行为检测引擎收录了近期流行的网络攻击行为特征。本期新增检测规则60条,升级改进检测规则45条,网络攻击行为特征涉及变种木马、代码执行等高风险,涉及SQL注入、文件写入等中风险。
3. 更新列表
本期安天网络行为检测引擎规则库部分更新列表如下:
安天网络行为检测引擎最新规则库版本为Antiy_AVLX_2024091307,建议及时更新安天探海威胁检测系统-网络行为检测引擎规则库(请确认探海系统版本为:6.6.1.2 SP1及以上,旧版本建议先升级至最新版本),安天售后服务热线:400-840-9234。
安天探海网络检测实验室简介
安天探海网络检测实验室是安天科技集团旗下的网络安全研究团队,致力于发现网络流量中隐藏的各种网络安全威胁,从多维度分析网络安全威胁的原始流量数据形态,研究各种新型攻击的流量基因,提供包含漏洞利用、异常行为、应用识别、恶意代码活动等检测能力,为网络安全产品赋能,研判网络安全形势并给出专业解读。