安天网络行为检测能力升级通告(20230514)
安天长期基于流量侧数据跟踪分析网络攻击活动,识别和捕获恶意网络行为,研发相应的检测机制与方法,积累沉淀形成了安天自主创新的网络行为检测引擎。安天定期发布最近的网络行为检测能力升级通告,帮助客户洞察流量侧的网络安全威胁与近期恶意行为趋势,协助客户及时调整安全应对策略,赋能客户提升网络安全整体水平。
网络流量威胁趋势
Apache Log4cxx ODBC SQL 注入(CVE-2023-31038)
2GitLab GraphQL未授权访问漏洞(CVE-2023-2478)
3泛微 E-Office 文件上传漏洞(CVE-2023-2523)
4Microsoft Office远程代码执行漏洞(CVE-2023-29344)
5Windows网络文件系统远程执行代码漏洞(CVE-2023-24941)
新的DDoS僵尸网络AndoryuBot利用Ruckus漏洞发起攻击
研究人员近期发现,一种名为“AndoryuBot”的新型恶意软件僵尸网络针对Ruckus无线管理面板中的严重漏洞,感染未打补丁的Wi-Fi接入点以用于DDoS攻击。该漏洞编号为CVE-2023-25717,影响所有Ruckus无线管理面板10.4及更早版本,允许远程攻击者通过向易受攻击的设备发送未经身份验证的HTTP GET请求来执行代码。该漏洞于2023年2月8日被发现并修复,尽管如此,许多人还没有应用可用的安全更新。AndoryuBot于2023年2月首次出现,但Fortinet表示其针对Ruckus设备的更新版本于4月中旬出现。僵尸网络旨在将易受攻击的设备纳入其以营利为目的的DDoS(分布式拒绝服务)群。
2
黑客开始使用双重DLL侧加载来逃避检测
近期发现一种名为“Dragon Breath”,“Golden Eye Dog”或“APT-Q-27”的APT黑客团伙展示了一种新趋势,即使用多个复杂的经典DLL侧载技术来逃避检测。此攻击从利用干净的应用程序,通常是电报开始,该应用程序侧载第二阶段有效载荷,有时也是干净的,该有效载荷反过来又侧载了恶意的恶意软件加载器DLL。对受害者的诱饵是针对中国内地、日本、新加坡和菲律宾等的汉语Windows用户的木马电报、LetsVPN或WhatsApp应用程序。Sophos分析人员发现该活动的目标范围是中国语言用户。此攻击使用了污染的汉语应用程序,诱导受害者侧载恶意DLL绕过防御。
安天网络行为检测能力概述
安天网络行为检测引擎收录了近期流行的网络攻击行为特征。本期新增网络攻击行为特征涉及代码执行、变形函数等高风险,涉及未授权访问、暴力破解、文件上传等中风险及信息泄露等低风险。
更新列表
本期安天网络行为检测引擎规则库部分更新列表如下:
安天探海网络检测实验室是安天科技集团旗下的网络安全研究团队,致力于发现网络流量中隐藏的各种网络安全威胁,从多维度分析网络安全威胁的原始流量数据形态,研究各种新型攻击的流量基因,提供包含漏洞利用、异常行为、应用识别、恶意代码活动等检测能力,为网络安全产品赋能,研判网络安全形势并给出专业解读。