安天長期基于流量側(cè)數(shù)據(jù)跟蹤分析網(wǎng)絡(luò)攻擊活動，識別和捕獲惡意網(wǎng)絡(luò)行為，研發(fā)相應(yīng)的檢測機(jī)制與方法，積累沉淀形成了安天自主創(chuàng)新的網(wǎng)絡(luò)行為檢測引擎。安天定期發(fā)布最近的網(wǎng)絡(luò)行為檢測能力升級通告，幫助客戶洞察流量側(cè)的網(wǎng)絡(luò)安全威脅與近期惡意行為趨勢，協(xié)助客戶及時調(diào)整安全應(yīng)對策略，賦能客戶提升網(wǎng)絡(luò)安全整體水平。

?

一、網(wǎng)絡(luò)流量威脅趨勢

近期勒索軟件攻擊較為活躍，其中LockBit 2.0勒索軟件需要重點(diǎn)關(guān)注。LockBit 2.0采用了更加隱蔽的攻擊手段和更高的贖金要求，給企業(yè)和個人用戶帶來了極大的安全威脅。該軟件利用Windows操作系統(tǒng)中的漏洞進(jìn)行攻擊，并使用加密算法對受害者的數(shù)據(jù)進(jìn)行加密，使其無法訪問。此外，LockBit 2.0還支持多種攻擊方式，包括網(wǎng)絡(luò)釣魚、惡意郵件等，使得其攻擊范圍更加廣泛。目前，LockBit 2.0已經(jīng)在全球范圍內(nèi)造成了嚴(yán)重的數(shù)據(jù)泄露事件，給企業(yè)和個人用戶帶來了巨大的經(jīng)濟(jì)損失和信譽(yù)損害。因此，用戶必須保持警惕并采取穩(wěn)健的安全措施來防范潛在的Lockbit勒索軟件攻擊。

【本期活躍的安全漏洞信息】

Apache Cassandra 權(quán)限提升漏洞(CVE-2023-30601)

Apache RocketMQ遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2023-33246)

Google Chrome V8 類型混淆漏洞(CVE-2023-2936)

GitLab CE/EE 存儲型XSS漏洞(CVE-2023-2442)

WordPress WPB Advanced FAQ Plugin跨站腳本漏洞(CVE-2023-0370)

【值得關(guān)注的安全事件】

(1) 安天發(fā)布通過視頻網(wǎng)站傳播的RecordBreaker竊密木馬分析報告

近期，安天CERT監(jiān)測到通過視頻網(wǎng)站進(jìn)行傳播的攻擊活動。攻擊者竊取訂閱者數(shù)量超過10萬的視頻創(chuàng)作者賬號，發(fā)布與破解版熱門軟件相關(guān)的演示視頻，誘導(dǎo)受害者下載RecordBreaker竊密木馬。RecordBreaker竊密木馬是Raccoon竊密木馬的2.0版本，該竊密木馬從C2服務(wù)器接收配置信息，根據(jù)配置信息中的內(nèi)容竊取相應(yīng)的敏感信息，并根據(jù)其中的URL下載載荷文件，最終投遞Laplas Clipper木馬和一個挖礦木馬。在本次攻擊活動中，攻擊者專門竊取具備認(rèn)證且訂閱人數(shù)達(dá)到10萬以上的視頻創(chuàng)作者賬號，發(fā)布經(jīng)過剪輯的演示視頻，試圖以這種方式快速擴(kuò)大傳播范圍并提高攻擊成功率。

(2) VMware產(chǎn)品存在嚴(yán)重漏洞，可被遠(yuǎn)程執(zhí)行代碼

VMware Aria Operations for Networks(原名vRealize Network Insight)存在一個嚴(yán)重的漏洞(CVE-2023-20887)，可被未經(jīng)身份驗(yàn)證的攻擊者利用，遠(yuǎn)程執(zhí)行任意代碼。VMware Aria Operations for Networks是一個網(wǎng)絡(luò)和應(yīng)用監(jiān)控工具，可以監(jiān)控、發(fā)現(xiàn)和分析多云環(huán)境中的網(wǎng)絡(luò)和應(yīng)用，構(gòu)建一個優(yōu)化、高可用和安全的網(wǎng)絡(luò)基礎(chǔ)設(shè)施。該漏洞是由于該產(chǎn)品在處理用戶輸入時缺乏適當(dāng)?shù)尿?yàn)證，導(dǎo)致攻擊者可以通過發(fā)送特制的請求，觸發(fā)命令注入漏洞，從而在目標(biāo)系統(tǒng)上執(zhí)行任意代碼。該漏洞影響了VMware Aria Operations for Networks 6.0.x、6.1.x、6.2.x、6.3.x和6.4.x版本1。VMware已經(jīng)發(fā)布了安全公告，并提供了相應(yīng)的補(bǔ)丁和臨時解決方案。VMware建議受影響的用戶盡快更新到最新版本或采取必要的措施，防止該漏洞被惡意利用。

?

二、安天網(wǎng)絡(luò)行為檢測能力概述

安天網(wǎng)絡(luò)行為檢測引擎收錄了近期流行的網(wǎng)絡(luò)攻擊行為特征。本期新增網(wǎng)絡(luò)攻擊行為特征涉及命令注入、代碼執(zhí)行等高風(fēng)險，涉及信息泄露、木馬、未授權(quán)訪問等中風(fēng)險，涉及目錄穿越、敏感目錄訪問等低風(fēng)險。

?

三、更新列表

本期安天網(wǎng)絡(luò)行為檢測引擎規(guī)則庫部分更新列表如下：

安天網(wǎng)絡(luò)行為檢測引擎最新規(guī)則庫版本為Antiy_AVLX_2023060719，建議及時更新安天探海威脅檢測系統(tǒng)-網(wǎng)絡(luò)行為檢測引擎規(guī)則庫（請確認(rèn)探海系統(tǒng)版本為：6.6.1.2 SP1及以上，舊版本建議先升級至最新版本），安天售后服務(wù)熱線：400-840-9234。

安天探海網(wǎng)絡(luò)檢測實(shí)驗(yàn)室簡介

安天探海網(wǎng)絡(luò)檢測實(shí)驗(yàn)室是安天科技集團(tuán)旗下的網(wǎng)絡(luò)安全研究團(tuán)隊(duì)，致力于發(fā)現(xiàn)網(wǎng)絡(luò)流量中隱藏的各種網(wǎng)絡(luò)安全威脅，從多維度分析網(wǎng)絡(luò)安全威脅的原始流量數(shù)據(jù)形態(tài)，研究各種新型攻擊的流量基因，提供包含漏洞利用、異常行為、應(yīng)用識別、惡意代碼活動等檢測能力，為網(wǎng)絡(luò)安全產(chǎn)品賦能，研判網(wǎng)絡(luò)安全形勢并給出專業(yè)解讀。

?

?