安天长期基于流量侧数据跟踪分析网络攻击活动，识别和捕获恶意网络行为，研发相应的检测机制与方法，积累沉淀形成了安天自主创新的网络行为检测引擎。安天定期发布最近的网络行为检测能力升级通告，帮助客户洞察流量侧的网络安全威胁与近期恶意行为趋势，协助客户及时调整安全应对策略，赋能客户提升网络安全整体水平。

1. 安天网络行为检测能力概述

安天网络行为检测引擎收录了近期流行的网络攻击行为特征。本期新增检测规则52条，本期升级改进检测规则30条，网络攻击行为特征涉及漏洞利用、文件上传等高风险，涉及代码执行、代码注入等中风险。

2. 更新列表

本期安天网络行为检测引擎规则库部分更新列表如下：

安天网络行为检测引擎最新规则库版本为Antiy_AVLX_2025062707，建议及时更新安天探海威胁检测系统-网络行为检测引擎规则库（请确认探海系统版本为：6.6.1.4 及以上，旧版本建议先升级至最新版本），安天售后服务热线：400-840-9234。

3. 网络流量威胁趋势

近日，安全研究员mr.d0x披露一种名为FileFix的新型社交工程攻击手法，该方法利用Windows文件资源管理器（File Explorer）的地址栏执行恶意命令，是ClickFix攻击的变种，攻击路径更隐蔽、更具迷惑性，未来可能被大量威胁行为体采用。传统的ClickFix攻击通常依赖浏览器，将恶意命令复制到剪贴板，再诱导用户通过“运行”对话框或命令行窗口粘贴执行。FileFix则将攻击场景转移到了更日常、更被信任的文件资源管理器界面中，提升了社会工程欺骗的成功率。攻击者创建一个仿真的钓鱼页面，声称有文件已分享，诱导受害者点击“打开文件资源管理器”，实则通过上传文件接口触发资源管理器打开，并悄悄将PowerShell命令复制到剪贴板。攻击关键在于利用PowerShell注释功能，将恶意命令前缀部分隐藏，仅展示一个“看起来正常”的伪造文件路径，引导用户粘贴到地址栏后直接执行。为了避免用户意外选择文件而中断攻击流程，页面还拦截文件选择事件，并提供提示引导用户重新尝试。

此外，SonicWall官方6月23日警告称，攻击者正在通过伪造的NetExtender客户端传播植入了木马程序的版本，以窃取用户的VPN登录凭据并将其发送至远程服务器。这一攻击行为利用了钓鱼网站和伪造软件签名手段，具有高度欺骗性与威胁性。根据SonicWall发布的通告，攻击者构建了仿冒官网页面，诱导用户下载名为NetExtender 10.3.2.27的“最新版本”安装程序。该版本被注入了恶意代码，可在用户安装并连接公司网络时，后台窃取VPN配置、用户名、密码和域信息，并将这些数据发送到硬编码的IP地址 32.196.198.163。SonicWall联合微软迅速展开应对行动，下架恶意网站并吊销Citylight Media的数字证书，并提醒用户务必从可信来源下载官方软件，避免因软件供应链污染而成为攻击目标。

本期活跃的安全漏洞信息

1Linux libblockdev组件本地权限提升漏洞（CVE-2025-6019）

2泛微e-cology9 SQL注入漏洞（QVD-2025-23834）

3Microsoft Office代码执行漏洞（CVE-2025-47164）

4Microsoft Edge (Chromium-based) 欺骗漏洞（CVE-2025-29825）

5WordPress Simple User Registration权限提升漏洞（CVE-2025-4334）

值得关注的安全事件

1微软宣布清除Windows Update旧驱动以提升系统安全

微软近日宣布，将定期从Windows Update中移除旧版驱动程序，以降低安全和兼容性风险，优化系统稳定性。官方表示，此举旨在维护Windows生态中硬件设备驱动的质量，同时强化整体安全防护能力。此次清除计划的首个阶段将聚焦于那些已有更新替代版本的旧驱动，相关驱动将在Windows硬件开发中心（Hardware Development Center）中删除受众分配，从而不再通过Windows Update提供给任何系统。微软强调，这一策略将成为常规操作，并计划发布新的驱动发布指南，帮助用户维持系统的安全与可靠。尽管部分驱动将被下架，合作伙伴仍可在具备合理业务理由的前提下重新发布被清理的驱动程序。此外，微软在今年5月已宣布对预生产驱动签名机制进行调整，并计划在7月弃用WMIS（Windows Metadata and Internet Services）与设备元数据服务，以进一步加强驱动发布流程的安全性。

2伊朗证实关闭互联网是为了保护国家免受网络攻击

在与以色列冲突持续升级之际，伊朗政府首次证实，其于本周实施全国范围的网络中断，旨在应对来自以色列的持续网络攻击威胁。此前，伊朗多个关键基础设施遭受网络攻击，包括国有银行和加密货币交易平台，引发政府出于“国家安全”理由采取断网措施。伊朗政府发言人莫哈杰拉尼在电视采访中表示，当前局势下，许多敌方无人机依靠互联网进行操控，同时网络也是信息交换的关键手段之一。政府担忧网络攻击将进一步危及国家安全、银行系统及民众生活，故决定启用“国家互联网”，限制全球网络访问。知名黑客组织“掠食性麻雀”（Predatory Sparrow）已宣称对多起攻击事件负责，包括入侵伊朗最大加密平台Nobitex并将资金转入无法使用的钱包，以及摧毁国有银行Bank Sepah的数据，称其与伊朗伊斯兰革命卫队有关。相关追踪机构Elliptic与TRM Labs也确认了加密资金被盗事件。尽管伊朗断网之举引发国内外通信困难，但政府坚称该措施是为了防范更严重的基础设施瘫痪和金融风险。此次事件反映出当前中东冲突中网络空间对抗日趋激烈，断网已成为某些国家应急响应的一部分。

安天探海网络检测实验室简介

安天探海网络检测实验室是安天科技集团旗下的网络安全研究团队，致力于发现网络流量中隐藏的各种网络安全威胁，从多维度分析网络安全威胁的原始流量数据形态，研究各种新型攻击的流量基因，提供包含漏洞利用、异常行为、应用识别、恶意代码活动等检测能力，为网络安全产品赋能，研判网络安全形势并给出专业解读。