安天長期基于流量側(cè)數(shù)據(jù)跟蹤分析網(wǎng)絡(luò)攻擊活動，識別和捕獲惡意網(wǎng)絡(luò)行為，研發(fā)相應(yīng)的檢測機(jī)制與方法，積累沉淀形成了安天自主創(chuàng)新的網(wǎng)絡(luò)行為檢測引擎。安天定期發(fā)布最近的網(wǎng)絡(luò)行為檢測能力升級通告，幫助客戶洞察流量側(cè)的網(wǎng)絡(luò)安全威脅與近期惡意行為趨勢，協(xié)助客戶及時調(diào)整安全應(yīng)對策略，賦能客戶提升網(wǎng)絡(luò)安全整體水平。

一、網(wǎng)絡(luò)流量威脅趨勢

近期惡意軟件攻擊較為活躍，研究人員發(fā)現(xiàn)了一個發(fā)布到 npm 的可疑軟件包，名為“ emails-helper ”。該軟件包是涉及 Base64 編碼和加密二進(jìn)制文件的復(fù)雜攻擊的一部分。該方案獲取來自遠(yuǎn)程服務(wù)器上托管的 DNS TXT 記錄的加密密鑰。此外，從該遠(yuǎn)程服務(wù)器檢索十六進(jìn)制編碼的 URL，然后傳遞到生成的二進(jìn)制文件。最終結(jié)果是部署強大的滲透測試工具，例如 dnscat2、mettle和 Cobalt Strike Beacon。

同時，研究人員還發(fā)現(xiàn)了惡意垃圾郵件活動，該活動使用竊取的電子郵件線程來引誘受害者用戶單擊其中包含的超鏈接，從而下載惡意軟件。其中一個惡意軟件樣本被錯誤歸因于 Emotet，基于使用類似的初始感染例程（AutoIt 腳本）和觀察到的 C2 通信協(xié)議，發(fā)現(xiàn)與 DarkGate 惡意軟件的顯著相似性，因此該樣本識別為 DarkGate 惡意軟件家族的一部分。另外，研究人員披露 DarkGate 的唯一開發(fā)者。該攻擊者在多個網(wǎng)絡(luò)犯罪論壇上宣傳了 DarkGate 惡意軟件，并發(fā)布了與研究人員的分析結(jié)果相匹配的惡意軟件功能的信息。該攻擊者還發(fā)布了幾個演示視頻，其中顯示了 DarkGate 后端面板的詳細(xì)信息。

【本期活躍的安全漏洞信息】

Apache Tomcat 重定向漏洞(CVE-2023-41080)

D-Link DAR-8000-10 遠(yuǎn)程命令執(zhí)行漏洞(CVE-2023-4542)

weblogic-framework 反序列化漏洞(CVE-2023-40571)

Linux kernel Stack Rot 權(quán)限提升漏洞

Apache Airflow Run Task 權(quán)限繞過漏洞(CVE-2023-39508)

【值得關(guān)注的安全事件】

(1)? 研究人員披露BLISTER惡意軟件加載程序新變種

近期，研究人員發(fā)現(xiàn)BLISTER 是一種惡意軟件加載程序，最初發(fā)現(xiàn)于 2021 年，與經(jīng)濟(jì)動機(jī)的入侵相關(guān)。在首次發(fā)現(xiàn)兩年后，研究人員發(fā)現(xiàn)了更新的 SOCGHOLISH 感染鏈，用于分發(fā) BLISTER 并部署來自 MYTHIC 的有效負(fù)載。研究人員發(fā)現(xiàn)了 BLISTER 系列以前不具備的新功能，表明該惡意軟件仍在進(jìn)行開發(fā)。該惡意軟件繼續(xù)使用一種獨特的技術(shù)，將惡意代碼嵌入到合法的應(yīng)用程序中,編寫大量的良性代碼和使用加密來避免惡意代碼被安全廠商檢出。

(2)? 研究人員披露最活躍的3個惡意軟件加載程序

惡意軟件加載程序是一件棘手的事情。即使一個加載程序加載相同的惡意軟件，緩解措施也可能不適用于另一個加載程序。它們是網(wǎng)絡(luò)威脅行為者最常用的工具之一，用于保護(hù)對網(wǎng)絡(luò)的初始訪問，然后幫助刪除有效負(fù)載。研究人員發(fā)現(xiàn)了大量裝載機(jī)，對防御者造成嚴(yán)重破壞。“ QakBot ”（又名 QBot、QuackBot、Pinkslipbot）、“ SocGholish ”和“ Raspberry Robin ”是最受歡迎的加載程序。該群體占 ReliaQuest 觀察到的事件的 80%。其他惡意軟件加載程序包括“ Gootloader ”、“ Guloader ”、“ Chromeloader ”和“ Ursnif ”。研究人員稱檢測到惡意軟件加載程序，并不意味著目標(biāo)網(wǎng)絡(luò)受到損害。惡意軟件加載程序都會在殺傷鏈的早期被檢測到并停止。

二、安天網(wǎng)絡(luò)行為檢測能力概述

安天網(wǎng)絡(luò)行為檢測引擎收錄了近期流行的網(wǎng)絡(luò)攻擊行為特征。本期新增網(wǎng)絡(luò)攻擊行為特征涉及遠(yuǎn)程代碼執(zhí)行、命令注入等高風(fēng)險，涉及目錄遍歷、文件上傳、SQL注入等中風(fēng)險。

三、 更新列表

本期安天網(wǎng)絡(luò)行為檢測引擎規(guī)則庫部分更新列表如下：

安天網(wǎng)絡(luò)行為檢測引擎最新規(guī)則庫版本為Antiy_AVLX_2023083019，建議及時更新安天探海威脅檢測系統(tǒng)-網(wǎng)絡(luò)行為檢測引擎規(guī)則庫（請確認(rèn)探海系統(tǒng)版本為：6.6.1.2 SP1及以上，舊版本建議先升級至最新版本），安天售后服務(wù)熱線：400-840-9234。

?

安天探海網(wǎng)絡(luò)檢測實驗室簡介

安天探海網(wǎng)絡(luò)檢測實驗室是安天科技集團(tuán)旗下的網(wǎng)絡(luò)安全研究團(tuán)隊，致力于發(fā)現(xiàn)網(wǎng)絡(luò)流量中隱藏的各種網(wǎng)絡(luò)安全威脅，從多維度分析網(wǎng)絡(luò)安全威脅的原始流量數(shù)據(jù)形態(tài)，研究各種新型攻擊的流量基因，提供包含漏洞利用、異常行為、應(yīng)用識別、惡意代碼活動等檢測能力，為網(wǎng)絡(luò)安全產(chǎn)品賦能，研判網(wǎng)絡(luò)安全形勢并給出專業(yè)解讀。