安天長期基于流量側(cè)數(shù)據(jù)跟蹤分析網(wǎng)絡(luò)攻擊活動(dòng)，識(shí)別和捕獲惡意網(wǎng)絡(luò)行為，研發(fā)相應(yīng)的檢測機(jī)制與方法，積累沉淀形成了安天自主創(chuàng)新的網(wǎng)絡(luò)行為檢測引擎。安天定期發(fā)布最近的網(wǎng)絡(luò)行為檢測能力升級(jí)通告，幫助客戶洞察流量側(cè)的網(wǎng)絡(luò)安全威脅與近期惡意行為趨勢，協(xié)助客戶及時(shí)調(diào)整安全應(yīng)對(duì)策略，賦能客戶提升網(wǎng)絡(luò)安全整體水平。

一、網(wǎng)絡(luò)流量威脅趨勢

近期針對(duì)開源代碼庫的惡意活動(dòng)大幅增加，使用開源代碼庫需謹(jǐn)慎。同時(shí)Chrome瀏覽器被披露存在高危漏洞，全球超25億用戶的數(shù)據(jù)面臨安全威脅，建議用戶及時(shí)更新至安全版本，以此來規(guī)避漏洞風(fēng)險(xiǎn)。

近期網(wǎng)絡(luò)安全事件涉及Automated Libra、Blind Eagle、Hive、Kinsing等組織。

【本期活躍的安全漏洞信息】

Windows遠(yuǎn)程執(zhí)行代碼漏洞(CVE-2023-21539)

Windows特權(quán)提升漏洞(CVE-2023-21541)

Apache Shiro身份認(rèn)證繞過漏洞（CVE-2023-22602）

禪道項(xiàng)目管理系統(tǒng)遠(yuǎn)程命令執(zhí)行漏洞（CNVD-2023-02709）

【值得關(guān)注的安全事件】

(1) Kinsing利用PostgreSQL服務(wù)器中的錯(cuò)誤配置攻擊Kubernetes集群

近期，研究人員發(fā)現(xiàn)Kinsing惡意軟件利用PostgreSQL服務(wù)器的錯(cuò)誤配置訪問了Kubernetes服務(wù)器，同時(shí)發(fā)現(xiàn)大量的PostgreSQL服務(wù)器感染了Kinsing惡意軟件，其使用了針對(duì)容器環(huán)境的獨(dú)特技術(shù)。Kinsing是一種基于Golang語言的Linux惡意軟件，主要針對(duì)容器化環(huán)境進(jìn)行加密挖掘。

(2) 2萬多個(gè)項(xiàng)目使用的JsonWebToken開源庫存在安全缺陷

JsonWebToken是一個(gè)開源庫，用于創(chuàng)建、簽署和驗(yàn)證JSON Web令牌。研究人員發(fā)現(xiàn)，JsonWebToken開源庫中存在遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2022-23529），該漏洞影響JsonWebToken 9.0.0以下版本。攻擊者在驗(yàn)證惡意制作的JWS令牌后，可以使用JsonWebToken在服務(wù)器上實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行。該開源庫被用于微軟、Twilio、Salesforce、Intuit、Box、IBM、Docusign、Slack、SAP等公司創(chuàng)建的開源項(xiàng)目。使用該庫的項(xiàng)目超過22000個(gè)，每月在NPM上下載超過3600萬次。目前該漏洞（CVE-2022-23529）已經(jīng)修復(fù)，建議受影響的用戶及時(shí)升級(jí)到JsonWebToken 9.0.0版本。

二、安天網(wǎng)絡(luò)行為檢測能力概述

安天網(wǎng)絡(luò)行為檢測引擎收錄了近期流行的網(wǎng)絡(luò)攻擊行為特征。本期新增網(wǎng)絡(luò)攻擊行為特征涉及竊密木馬、僵尸網(wǎng)絡(luò)、遠(yuǎn)程命令注入等高風(fēng)險(xiǎn)，涉及勒索軟件、SQL注入、溢出攻擊、信息泄露等中風(fēng)險(xiǎn)。??

三、更新列表

本期安天網(wǎng)絡(luò)行為檢測引擎規(guī)則庫部分更新列表如下：

安天網(wǎng)絡(luò)行為檢測引擎最新規(guī)則庫版本為Antiy_AVLX_2023011505，建議及時(shí)更新安天探海威脅檢測系統(tǒng)-網(wǎng)絡(luò)行為檢測引擎規(guī)則庫（請(qǐng)確認(rèn)探海系統(tǒng)版本為：6.6.1.2 SP1及以上，舊版本建議先升級(jí)至最新版本），安天售后服務(wù)熱線：400-840-9234。

安天探海網(wǎng)絡(luò)檢測實(shí)驗(yàn)室簡介

安天探海網(wǎng)絡(luò)檢測實(shí)驗(yàn)室是安天科技集團(tuán)旗下的網(wǎng)絡(luò)安全研究團(tuán)隊(duì)，致力于發(fā)現(xiàn)網(wǎng)絡(luò)流量中隱藏的各種網(wǎng)絡(luò)安全威脅，從多維度分析網(wǎng)絡(luò)安全威脅的原始流量數(shù)據(jù)形態(tài)，研究各種新型攻擊的流量基因，提供包含漏洞利用、異常行為、應(yīng)用識(shí)別、惡意代碼活動(dòng)等檢測能力，為網(wǎng)絡(luò)安全產(chǎn)品賦能，研判網(wǎng)絡(luò)安全形勢并給出專業(yè)解讀。