安天長期基于流量側(cè)數(shù)據(jù)跟蹤分析網(wǎng)絡(luò)攻擊活動(dòng)，識(shí)別和捕獲惡意網(wǎng)絡(luò)行為，研發(fā)相應(yīng)的檢測(cè)機(jī)制與方法，積累沉淀形成了安天自主創(chuàng)新的網(wǎng)絡(luò)行為檢測(cè)引擎。安天定期發(fā)布最近的網(wǎng)絡(luò)行為檢測(cè)能力升級(jí)通告，幫助客戶洞察流量側(cè)的網(wǎng)絡(luò)安全威脅與近期惡意行為趨勢(shì)，協(xié)助客戶及時(shí)調(diào)整安全應(yīng)對(duì)策略，賦能客戶提升網(wǎng)絡(luò)安全整體水平。

一、網(wǎng)絡(luò)流量威脅趨勢(shì)

近期惡意軟件攻擊較為活躍，研究人員發(fā)現(xiàn)了一種名為PyLoose的新型惡意軟件，該惡意軟件以云工作負(fù)載為目標(biāo)，劫持其計(jì)算資源從而進(jìn)行門羅幣挖礦活動(dòng)。PyLoose是一個(gè)Python腳本，包含一個(gè)經(jīng)過壓縮及編碼的XMRig挖礦程序。該腳本內(nèi)容僅含有9行代碼，執(zhí)行后對(duì)XMRig進(jìn)行解碼及解壓縮，然后通過內(nèi)存文件描述符memfd將其直接加載至內(nèi)存中執(zhí)行。

同時(shí)，研究人員還發(fā)現(xiàn)了一個(gè)以前未報(bào)告的初始訪問惡意軟件活動(dòng)，該活動(dòng)利用惡意廣告和假冒合法軟件來危害企業(yè)網(wǎng)絡(luò)。在調(diào)查這一活動(dòng)時(shí)，X-Ops分析師發(fā)現(xiàn)了一個(gè)新的初始訪問惡意軟件家族，名為Nitrogen。這個(gè)名字來源于在樣本中找到的組件和調(diào)試信息，這表明開發(fā)人員將這個(gè)項(xiàng)目稱為Nitron或Nitronet。攻擊者濫用谷歌和必應(yīng)廣告來瞄準(zhǔn)尋求某些IT工具的用戶，目標(biāo)是獲得對(duì)企業(yè)環(huán)境的訪問權(quán)，以部署第二階段攻擊工具，如Cobalt Strike。攻擊者引誘用戶訪問受威脅的WordPress站點(diǎn)和假冒熱門軟件分發(fā)站點(diǎn)的釣魚頁面，誘騙用戶下載安裝了木馬的ISO安裝程序。該安裝程序會(huì)側(cè)加載惡意NitrogenInstaller DLL，其中包含與惡意Python執(zhí)行環(huán)境捆綁在一起的合法軟件應(yīng)用程序。Python包使用動(dòng)態(tài)鏈接庫（DLL）預(yù)加載來執(zhí)行惡意的NitrogenStager文件，該文件連接到攻擊者的C2服務(wù)器，以將Meterpreter shell和Cobalt Strike信標(biāo)投放到目標(biāo)系統(tǒng)上。

【本期活躍的安全漏洞信息】

Ruijie EWEB管理 命令注入漏洞(CVE-2023-34644)

IBM Security Verify Governance 命令執(zhí)行漏洞(CVE-2023-35019)

WordPress Plugin User Activity Log SQL注入漏洞(CVE-2023-2761)

Codesys目錄權(quán)限漏洞(CVE-2023-3670)

Apache NiFi 遠(yuǎn)程資源檢索功能存在命令注入漏洞(CVE-2023-36542)

【值得關(guān)注的安全事件】

(1) OpenSSH漏洞使Linux系統(tǒng)面臨遠(yuǎn)程命令注入風(fēng)險(xiǎn)

近期，研究人員發(fā)現(xiàn)披露OpenSSH中一個(gè)現(xiàn)已修復(fù)的安全漏洞的詳細(xì)信息，攻擊者可以在特定條件下利用該漏洞在受感染主機(jī)上遠(yuǎn)程運(yùn)行任意命令。影響OpenSSH 9.3p2之前的所有版本。OpenSSH是一種流行的遠(yuǎn)程登錄連接工具，使用SSH協(xié)議加密所有流量，以消除竊聽、連接劫持和其他攻擊。成功利用該漏洞需要受害者系統(tǒng)上存在某些庫，并將SSH身份驗(yàn)證代理轉(zhuǎn)發(fā)到攻擊者控制的系統(tǒng)。SSH代理是一個(gè)后臺(tái)程序，它將用戶的密鑰保存在內(nèi)存中，便于遠(yuǎn)程登錄到服務(wù)器，而無需再次輸入密碼。網(wǎng)絡(luò)安全公司Qualys表示，它能夠針對(duì)Ubuntu Desktop 22.04和21.10的默認(rèn)安裝設(shè)計(jì)出一個(gè)成功的概念證明（PoC），但其他Linux發(fā)行版預(yù)計(jì)也容易受到攻擊。該公司強(qiáng)烈建議OpenSSH用戶更新到最新版本，以防范潛在的網(wǎng)絡(luò)威脅。

(2) 研究人員披露NodeStealer新變體針對(duì)Facebook企業(yè)賬戶的攻擊活動(dòng)

近期，研究人員發(fā)現(xiàn)了惡意軟件NodeStealer的 Python 變體，該變體能夠攻擊 Facebook 企業(yè)帳戶并竊取加密貨幣。NodeStealer于 2023 年 5 月首次被研究人員曝光，將其描述為能夠從網(wǎng)絡(luò)瀏覽器收集 cookie 和密碼以危害 Facebook、Gmail 和 Outlook 帳戶的竊取程序。該惡意軟件過去使用 JavaScript 編寫，而最新版本則是用 Python 編碼的。

二、 安天網(wǎng)絡(luò)行為檢測(cè)能力概述

安天網(wǎng)絡(luò)行為檢測(cè)引擎收錄了近期流行的網(wǎng)絡(luò)攻擊行為特征。本期新增網(wǎng)絡(luò)攻擊行為特征涉及認(rèn)證繞過、命令執(zhí)行、代碼執(zhí)行等高風(fēng)險(xiǎn)，涉及SQL注入、目錄遍歷、信息泄露等中風(fēng)險(xiǎn)，涉及探測(cè)行為、目錄遍歷等低風(fēng)險(xiǎn)。

三、 更新列表

本期安天網(wǎng)絡(luò)行為檢測(cè)引擎規(guī)則庫部分更新列表如下：

安天網(wǎng)絡(luò)行為檢測(cè)引擎最新規(guī)則庫版本為Antiy_AVLX_2023080219，建議及時(shí)更新安天探海威脅檢測(cè)系統(tǒng)-網(wǎng)絡(luò)行為檢測(cè)引擎規(guī)則庫（請(qǐng)確認(rèn)探海系統(tǒng)版本為：6.6.1.2 SP1及以上，舊版本建議先升級(jí)至最新版本），安天售后服務(wù)熱線：400-840-9234。

?

安天探海網(wǎng)絡(luò)檢測(cè)實(shí)驗(yàn)室簡(jiǎn)介

安天探海網(wǎng)絡(luò)檢測(cè)實(shí)驗(yàn)室是安天科技集團(tuán)旗下的網(wǎng)絡(luò)安全研究團(tuán)隊(duì)，致力于發(fā)現(xiàn)網(wǎng)絡(luò)流量中隱藏的各種網(wǎng)絡(luò)安全威脅，從多維度分析網(wǎng)絡(luò)安全威脅的原始流量數(shù)據(jù)形態(tài)，研究各種新型攻擊的流量基因，提供包含漏洞利用、異常行為、應(yīng)用識(shí)別、惡意代碼活動(dòng)等檢測(cè)能力，為網(wǎng)絡(luò)安全產(chǎn)品賦能，研判網(wǎng)絡(luò)安全形勢(shì)并給出專業(yè)解讀。