安天長期基于流量側數(shù)據(jù)跟蹤分析網(wǎng)絡攻擊活動，識別和捕獲惡意網(wǎng)絡行為，研發(fā)相應的檢測機制與方法，積累沉淀形成了安天自主創(chuàng)新的網(wǎng)絡行為檢測引擎。安天定期發(fā)布最近的網(wǎng)絡行為檢測能力升級通告，幫助客戶洞察流量側的網(wǎng)絡安全威脅與近期惡意行為趨勢，協(xié)助客戶及時調整安全應對策略，賦能客戶提升網(wǎng)絡安全整體水平。

?

一、網(wǎng)絡流量威脅趨勢

近期勒索軟件攻擊較為活躍，涉及到Rhysida、8Base和MalasLocker等惡意軟件。這些勒索軟件利用了多種傳播方式，如釣魚郵件、RDP漏洞、WebShell和惡意軟件下載器等，以便感染目標系統(tǒng)，并使用雙重勒索策略來威脅受害者。這種策略不僅加密受害者的數(shù)據(jù)，還威脅要在其泄露網(wǎng)站上公開被盜的數(shù)據(jù)，迫使受害者支付贖金。新勒索軟件變種的迅速出現(xiàn)和新勒索軟件組織的形成凸顯了這些犯罪活動的可擴展性和盈利能力。

【本期活躍的安全漏洞信息】

GitLab 路徑遍歷漏洞(CVE-2023-2825)

Apache RocketMQ 命令注入漏洞(CVE-2023-33246)

Linux Kernel ksmbd遠程代碼執(zhí)行漏洞(CVE-2023-32254)

IBM InfoSphere Information Server RMI反序列化漏洞(CVE-2023-32336)

用友NC反序列化遠程代碼執(zhí)行漏洞

【值得關注的安全事件】

(1) 白象組織使用BADNEWS和Remcos商業(yè)木馬的最新攻擊活動

近期，安天CERT捕獲到一起白象組織針對我國相關單位的攻擊活動。在本次攻擊活動中，攻擊者向目標投遞釣魚郵件，郵件附件為一個包含惡意LNK文件的壓縮包，LNK文件用于下載BADNEWS遠控木馬，最終實現(xiàn)對目標的信息竊取、遠程控制等功能。進一步關聯(lián)分析發(fā)現(xiàn)，LNK系列攻擊與近期針對南亞地區(qū)的軍事政治等目標的網(wǎng)絡攻擊相關，關聯(lián)到的攻擊使用技術成熟的商業(yè)遠控工具如Remcos，也是通過LNK類型誘餌，或文件名以軍政題材命名的EXE程序、釣魚網(wǎng)站等作為攻擊前導，為此攻陷、注冊了相當數(shù)量的網(wǎng)絡基礎設施來支撐載荷分發(fā)和控制通聯(lián)，分析研判后發(fā)現(xiàn)關聯(lián)到的攻擊具有明顯的印度方向背景。

(2) BlackCat勒索軟件利用惡意Windows內核驅動繞過安全軟件

研究人員發(fā)現(xiàn)，BlackCat(又稱ALPHV)勒索軟件團伙在攻擊中使用了經(jīng)過簽名的惡意Windows內核驅動，以繞過安全軟件的檢測。這個驅動是去年微軟、Mandiant、Sophos和SentinelOne在勒索軟件攻擊中發(fā)現(xiàn)的惡意軟件“POORTRY”的改進版本。POORTRY惡意軟件是一個Windows內核驅動程序，使用屬于Microsoft Windows硬件開發(fā)人員計劃中合法帳戶的被盜密鑰進行簽名。這個惡意驅動被UNC3944組織(又稱0ktapus或Scattered Spider)用來終止Windows設備上運行的安全軟件進程，以避免被發(fā)現(xiàn)。由于安全軟件通常受到保護，不容易被終止或篡改，但Windows內核驅動在操作系統(tǒng)中具有最高的權限，可以用來終止幾乎任何進程。

?

二、安天網(wǎng)絡行為檢測能力概述

安天網(wǎng)絡行為檢測引擎收錄了近期流行的網(wǎng)絡攻擊行為特征。本期新增網(wǎng)絡攻擊行為特征涉及代碼執(zhí)行、任意文件讀取等高風險，涉及未授權訪問、認證繞過、目錄穿越等中風險。??

?

三、更新列表

本期安天網(wǎng)絡行為檢測引擎規(guī)則庫部分更新列表如下：

安天網(wǎng)絡行為檢測引擎最新規(guī)則庫版本為Antiy_AVLX_2023052419，建議及時更新安天探海威脅檢測系統(tǒng)-網(wǎng)絡行為檢測引擎規(guī)則庫（請確認探海系統(tǒng)版本為：6.6.1.2 SP1及以上，舊版本建議先升級至最新版本），安天售后服務熱線：400-840-9234。

安天探海網(wǎng)絡檢測實驗室簡介

安天探海網(wǎng)絡檢測實驗室是安天科技集團旗下的網(wǎng)絡安全研究團隊，致力于發(fā)現(xiàn)網(wǎng)絡流量中隱藏的各種網(wǎng)絡安全威脅，從多維度分析網(wǎng)絡安全威脅的原始流量數(shù)據(jù)形態(tài)，研究各種新型攻擊的流量基因，提供包含漏洞利用、異常行為、應用識別、惡意代碼活動等檢測能力，為網(wǎng)絡安全產(chǎn)品賦能，研判網(wǎng)絡安全形勢并給出專業(yè)解讀。

?

?