安天長(zhǎng)期基于流量側(cè)數(shù)據(jù)跟蹤分析網(wǎng)絡(luò)攻擊活動(dòng)，識(shí)別和捕獲惡意網(wǎng)絡(luò)行為，研發(fā)相應(yīng)的檢測(cè)機(jī)制與方法，積累沉淀形成了安天自主創(chuàng)新的網(wǎng)絡(luò)行為檢測(cè)引擎。安天定期發(fā)布最近的網(wǎng)絡(luò)行為檢測(cè)能力升級(jí)通告，幫助客戶洞察流量側(cè)的網(wǎng)絡(luò)安全威脅與近期惡意行為趨勢(shì)，協(xié)助客戶及時(shí)調(diào)整安全應(yīng)對(duì)策略，賦能客戶提升網(wǎng)絡(luò)安全整體水平。

?

一、網(wǎng)絡(luò)流量威脅趨勢(shì)

近期勒索軟件攻擊較為活躍，涉及到Trigona、Rorschachdeng、Nokoyawa等勒索軟件。其中Rorschachdeng是研究人員發(fā)現(xiàn)的新型勒索軟件，Rorschach遵循間歇加密趨勢(shì)，即只對(duì)文件進(jìn)行部分加密，從而提高處理速度；還發(fā)現(xiàn)MuddyWater組織以勒索軟件作為幌子對(duì)混合環(huán)境進(jìn)行破壞性攻擊。同時(shí)，攻擊者利用零日漏洞提升權(quán)限并部署Nokoyawa勒索軟件有效載荷，用于攻擊零售、批發(fā)、能源、制造、醫(yī)療保健、軟件開發(fā)和其他行業(yè)；建議用戶及時(shí)關(guān)注勒索軟件攻擊活動(dòng)。

近期網(wǎng)絡(luò)安全事件涉及Balada Injector、Arid Viper、ARCHIPELAGO、MuddyWater等組織。其中Arid Viper組織被發(fā)現(xiàn)在使用其惡意軟件工具包的更新變種進(jìn)行攻擊；ARCHIPELAGO組織使用包含惡意鏈接的網(wǎng)絡(luò)釣魚電子郵件進(jìn)行社工攻擊，當(dāng)收件人單擊這些鏈接時(shí)，鏈接會(huì)重定向到旨在獲取憑據(jù)的虛假登錄頁面。

【本期活躍的安全漏洞信息】

Apache inLong SQL 注入漏洞(CVE-2023-30465)

RuoYi 任意文件下載漏洞(CVE-2023-27025)

Google Chrome越界訪問漏洞(CVE-2023-1529)

SFTP路徑~解決差異(CVE-2023-27534)

【值得關(guān)注的安全事件】

(1) 中國(guó)網(wǎng)絡(luò)安全產(chǎn)業(yè)聯(lián)盟發(fā)布《美國(guó)情報(bào)機(jī)構(gòu)網(wǎng)絡(luò)攻擊的歷史回顧》

斯諾登事件迄今已近十年，伴隨著棱鏡門的曝光，國(guó)家級(jí)網(wǎng)絡(luò)攻擊行為逐漸浮出水面。其實(shí)早在此前，已有多方信息顯示，美相關(guān)機(jī)構(gòu)利用其技術(shù)和先發(fā)優(yōu)勢(shì)針對(duì)他國(guó)開展網(wǎng)絡(luò)攻擊行為。全球網(wǎng)絡(luò)安全廠商、學(xué)者和研究機(jī)構(gòu)付出巨大的努力，對(duì)此進(jìn)行了深入細(xì)致的跟蹤分析和調(diào)查研究。為系統(tǒng)梳理美情報(bào)機(jī)構(gòu)對(duì)全球各國(guó)開展的網(wǎng)絡(luò)攻擊活動(dòng)，中國(guó)網(wǎng)絡(luò)安全產(chǎn)業(yè)聯(lián)盟（CCIA）組織編制了《美國(guó)情報(bào)機(jī)構(gòu)網(wǎng)絡(luò)攻擊的歷史回顧——基于全球網(wǎng)絡(luò)安全界披露信息分析》（中英文版）。

(2) Trigona勒索軟件攻擊MS-SQL服務(wù)器

近期，研究人員發(fā)現(xiàn)Trigona勒索軟件被安裝在管理不當(dāng)?shù)腗S-SQL服務(wù)器上。管理不當(dāng)?shù)腗S-SQL服務(wù)器是指暴露于外界環(huán)境，僅通過設(shè)置賬戶信息就容易受到暴力破解的環(huán)境。如果攻擊者登錄成功，系統(tǒng)的控制權(quán)就會(huì)轉(zhuǎn)移給攻擊者，并可以安裝惡意代碼或執(zhí)行惡意命令。

?

二、安天網(wǎng)絡(luò)行為檢測(cè)能力概述

安天網(wǎng)絡(luò)行為檢測(cè)引擎收錄了近期流行的網(wǎng)絡(luò)攻擊行為特征。本期新增網(wǎng)絡(luò)攻擊行為特征涉及代碼執(zhí)行、命令注入、遠(yuǎn)控木馬等高風(fēng)險(xiǎn)，涉及等目錄遍歷、跨站腳本、用戶枚舉等中風(fēng)險(xiǎn)及敏感函數(shù)等低風(fēng)險(xiǎn)。

??

三、更新列表

本期安天網(wǎng)絡(luò)行為檢測(cè)引擎規(guī)則庫部分更新列表如下：

?

安天網(wǎng)絡(luò)行為檢測(cè)引擎最新規(guī)則庫版本為Antiy_AVLX_2023041219，建議及時(shí)更新安天探海威脅檢測(cè)系統(tǒng)-網(wǎng)絡(luò)行為檢測(cè)引擎規(guī)則庫（請(qǐng)確認(rèn)探海系統(tǒng)版本為：6.6.1.2 SP1及以上，舊版本建議先升級(jí)至最新版本），安天售后服務(wù)熱線：400-840-9234。

安天探海網(wǎng)絡(luò)檢測(cè)實(shí)驗(yàn)室簡(jiǎn)介

安天探海網(wǎng)絡(luò)檢測(cè)實(shí)驗(yàn)室是安天科技集團(tuán)旗下的網(wǎng)絡(luò)安全研究團(tuán)隊(duì)，致力于發(fā)現(xiàn)網(wǎng)絡(luò)流量中隱藏的各種網(wǎng)絡(luò)安全威脅，從多維度分析網(wǎng)絡(luò)安全威脅的原始流量數(shù)據(jù)形態(tài)，研究各種新型攻擊的流量基因，提供包含漏洞利用、異常行為、應(yīng)用識(shí)別、惡意代碼活動(dòng)等檢測(cè)能力，為網(wǎng)絡(luò)安全產(chǎn)品賦能，研判網(wǎng)絡(luò)安全形勢(shì)并給出專業(yè)解讀。

?