安天長期基于流量側數(shù)據(jù)跟蹤分析網(wǎng)絡攻擊活動，識別和捕獲惡意網(wǎng)絡行為，研發(fā)相應的檢測機制與方法，積累沉淀形成了安天自主創(chuàng)新的網(wǎng)絡行為檢測引擎。安天定期發(fā)布最近的網(wǎng)絡行為檢測能力升級通告，幫助客戶洞察流量側的網(wǎng)絡安全威脅與近期惡意行為趨勢，協(xié)助客戶及時調(diào)整安全應對策略，賦能客戶提升網(wǎng)絡安全整體水平。

一、網(wǎng)絡流量威脅趨勢

近期惡意軟件攻擊較為活躍，研究人員發(fā)現(xiàn)APT34組織（也稱OilRig）使用惡意IT職位招聘表作為誘餌發(fā)起網(wǎng)絡攻擊。該組織創(chuàng)建了一個虛假網(wǎng)站，偽裝成阿聯(lián)酋的一家 IT 公司，將招聘表格發(fā)送給目標 IT 公司，當受害者打開惡意文檔以申請廣告中的 IT 職位時，就會竊取信息的惡意軟件被執(zhí)行。該惡意軟件收集了敏感信息和憑據(jù)，以訪問IT公司客戶的網(wǎng)絡。

同時，研究人員還發(fā)現(xiàn)了Reptile惡意軟件，此惡意軟件是針對 Linux 系統(tǒng)的開源內(nèi)核模塊 Rootkit，可在 GitHub 上公開獲取。Rootkit 是具有隱藏自身或其他惡意軟件能力的惡意軟件。Reptile惡意軟件主要針對文件、進程和網(wǎng)絡通信進行隱藏。該惡意軟件的隱藏能力不僅包括其自身的內(nèi)核模塊，還包括文件、目錄、文件內(nèi)容、進程和網(wǎng)絡流量。與其他通常僅提供隱藏功能的 Rootkit 惡意軟件不同，Reptile惡意軟件還具有反向shell功能，使攻擊者能夠輕松控制系統(tǒng)。

【本期活躍的安全漏洞信息】

Linux kernel-6.5UAF漏洞(CVE-2023-4128)

Apache RocketMQ NameServer 遠程代碼執(zhí)行漏洞(CVE-2023-37582)

Adobe Dimension緩沖區(qū)溢出漏洞(CVE-2023-38212 )

Linux內(nèi)核權限提升漏洞(CVE-2023-0179)

Linux kernel緩沖區(qū)溢出漏洞(CVE-2023-34319 )

【值得關注的安全事件】

(1) 研究披露AsyncRAT惡意軟件

近期，研究人員發(fā)現(xiàn)一系列以金融為主題的惡意垃圾郵件活動通過批處理腳本 (.bat) 傳播惡意軟件。這些活動使用多種編程語言來實現(xiàn)感染鏈中的不同目標——從批處理腳本、PowerShell、Go、shellcode 到 .NET。感染從簡單的批處理腳本開始，使用 PowerShell 從網(wǎng)絡下載第二階段的惡意軟件。該惡意軟件被打包兩次以逃避檢測，其中包括一個名為 ShellGo的 Go加密器，該加密器在內(nèi)存中解密并執(zhí)行 shellcode。shellcode 繞過兩個 Windows 安全功能，解密有效負載并在內(nèi)存中運行它。我們在下面分析的活動中的有效負載是AsyncRAT，一種使用 .NET 開發(fā)的流行遠程訪問木馬 (RAT)。

(2)? 研究人員披露SugarCRM零日漏洞可被利用以在云端訪問密鑰

研究人員披露SugarCRM（CVE-2023-22952）零日身份驗證繞過和遠程代碼執(zhí)行漏洞是一個典型的漏洞，實際上，防御者需要注意更多內(nèi)容。由于它是一個 Web 應用程序，如果未正確配置或保護，幕后的基礎設施可能會讓攻擊者擴大其影響。當攻擊者了解云服務提供商使用的底層技術時，如果他們能夠訪問具有正確權限的憑據(jù)，攻擊者就可以入侵更多的基礎設施。

?

二、 安天網(wǎng)絡行為檢測能力概述

安天網(wǎng)絡行為檢測引擎收錄了近期流行的網(wǎng)絡攻擊行為特征。本期新增網(wǎng)絡攻擊行為特征涉及登錄繞過、文件上傳、代碼執(zhí)行等高風險，涉及SQL注入、任意文件下載、目錄遍歷等中風險。

?

三、 更新列表

本期安天網(wǎng)絡行為檢測引擎規(guī)則庫部分更新列表如下：

安天網(wǎng)絡行為檢測引擎最新規(guī)則庫版本為Antiy_AVLX_2023081619，建議及時更新安天探海威脅檢測系統(tǒng)-網(wǎng)絡行為檢測引擎規(guī)則庫（請確認探海系統(tǒng)版本為：6.6.1.2 SP1及以上，舊版本建議先升級至最新版本），安天售后服務熱線：400-840-9234。

安天探海網(wǎng)絡檢測實驗室簡介

安天探海網(wǎng)絡檢測實驗室是安天科技集團旗下的網(wǎng)絡安全研究團隊，致力于發(fā)現(xiàn)網(wǎng)絡流量中隱藏的各種網(wǎng)絡安全威脅，從多維度分析網(wǎng)絡安全威脅的原始流量數(shù)據(jù)形態(tài)，研究各種新型攻擊的流量基因，提供包含漏洞利用、異常行為、應用識別、惡意代碼活動等檢測能力，為網(wǎng)絡安全產(chǎn)品賦能，研判網(wǎng)絡安全形勢并給出專業(yè)解讀。

?