安天長(zhǎng)期基于流量側(cè)數(shù)據(jù)跟蹤分析網(wǎng)絡(luò)攻擊活動(dòng)，識(shí)別和捕獲惡意網(wǎng)絡(luò)行為，研發(fā)相應(yīng)的檢測(cè)機(jī)制與方法，積累沉淀形成了安天自主創(chuàng)新的網(wǎng)絡(luò)行為檢測(cè)引擎。安天定期發(fā)布最近的網(wǎng)絡(luò)行為檢測(cè)能力升級(jí)通告，幫助客戶洞察流量側(cè)的網(wǎng)絡(luò)安全威脅與近期惡意行為趨勢(shì)，協(xié)助客戶及時(shí)調(diào)整安全應(yīng)對(duì)策略，賦能客戶提升網(wǎng)絡(luò)安全整體水平。

?

一、網(wǎng)絡(luò)流量威脅趨勢(shì)

近期惡意軟件攻擊較為活躍，如Mystic Stealer惡意軟件。Mystic Stealer是一種新型的竊取者惡意軟件，它于2023年4月首次在地下市場(chǎng)上出現(xiàn)。它能夠從近40種網(wǎng)絡(luò)瀏覽器和70多種瀏覽器擴(kuò)展中竊取用戶的憑證、自動(dòng)填充數(shù)據(jù)、瀏覽歷史、任意文件和Cookie。此外，它還針對(duì)加密貨幣錢包、Steam和Telegram等應(yīng)用程序。該惡意軟件的代碼使用了多態(tài)字符串混淆、基于哈希的導(dǎo)入解析和運(yùn)行時(shí)常量計(jì)算等技術(shù)，以增加其隱蔽性和反分析能力。Mystic Stealer還實(shí)現(xiàn)了一種自定義的二進(jìn)制協(xié)議，該協(xié)議使用RC4加密，以避免被網(wǎng)絡(luò)防御設(shè)備檢測(cè)到。Mystic Stealer是一種具有高度威脅性和隱蔽性的惡意軟件，可能會(huì)給用戶和組織帶來(lái)數(shù)據(jù)泄露、財(cái)務(wù)損失、運(yùn)營(yíng)中斷、合規(guī)挑戰(zhàn)和聲譽(yù)損害等影響。

【本期活躍的安全漏洞信息】

Linux Kernel 權(quán)限提升漏洞 (CVE-2023-1829)

Microsoft Edge 特權(quán)提升漏洞(CVE-2023-33143)

Jenkins 跨站請(qǐng)求偽造漏洞(CVE-2023-35141)

Apache Struts 2拒絕服務(wù)漏洞(CVE-2023-34149)

Microsoft Exchange Server 遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2023-28310)

【值得關(guān)注的安全事件】

(1) 黑客假冒安全研究員在GitHub上發(fā)布惡意代碼

近日，一名黑客在GitHub上創(chuàng)建了多個(gè)虛假的代碼倉(cāng)庫(kù)，聲稱包含了一些流行應(yīng)用程序的零日漏洞利用代碼，但實(shí)際上是用來(lái)傳播惡意軟件的。這名黑客還在GitHub和Twitter上創(chuàng)建了多個(gè)假冒的安全研究員賬號(hào)，甚至使用了一些知名網(wǎng)絡(luò)安全公司的研究員的真實(shí)照片，以增加其可信度。據(jù)研究人員發(fā)現(xiàn)，這些虛假的代碼倉(cāng)庫(kù)至少有七個(gè)，分別聲稱是針對(duì)Discord、Google Chrome和Microsoft Exchange Server等應(yīng)用程序的零日漏洞利用代碼。這些代碼倉(cāng)庫(kù)都是在5月初開始出現(xiàn)的，當(dāng)時(shí)研究人員發(fā)現(xiàn)了一個(gè)聲稱是針對(duì)Signal應(yīng)用程序的零日遠(yuǎn)程代碼執(zhí)行漏洞利用代碼的倉(cāng)庫(kù)，并向GitHub舉報(bào)了該倉(cāng)庫(kù)。這些虛假的代碼倉(cāng)庫(kù)中的代碼實(shí)際上是一個(gè)Python腳本，用來(lái)下載并執(zhí)行一個(gè)惡意二進(jìn)制文件，無(wú)論目標(biāo)系統(tǒng)是Windows還是Linux。

(2) 加密貨幣挖礦池涉嫌洗錢被調(diào)查

加密貨幣挖礦池是一種將多個(gè)礦工的計(jì)算能力合并在一起，以提高挖礦效率和收益的方式。然而，一些礦池也被懷疑參與洗錢活動(dòng)，利用加密貨幣的匿名性和可轉(zhuǎn)移性，將非法所得的資金轉(zhuǎn)化為合法的資產(chǎn)。根據(jù)區(qū)塊鏈數(shù)據(jù)公司Chainalysis的報(bào)告，2021年有超過10億美元的加密貨幣從高風(fēng)險(xiǎn)的挖礦池流出，其中大部分流向了中心化的交易所。這些交易所可能沒有充分的反洗錢措施，或者故意與犯罪分子合作，為他們提供現(xiàn)金出口。研究人員指出，加密貨幣洗錢活動(dòng)主要集中在少數(shù)幾個(gè)服務(wù)上，如果能夠打擊這些服務(wù)，就能對(duì)加密貨幣相關(guān)犯罪造成重大打擊。同時(shí)，加密貨幣用戶也應(yīng)該注意選擇合規(guī)和透明的挖礦池和交易所，避免卷入洗錢風(fēng)險(xiǎn)中。

?

二、安天網(wǎng)絡(luò)行為檢測(cè)能力概述

安天網(wǎng)絡(luò)行為檢測(cè)引擎收錄了近期流行的網(wǎng)絡(luò)攻擊行為特征。本期新增網(wǎng)絡(luò)攻擊行為特征涉及木馬、命令執(zhí)行等高風(fēng)險(xiǎn)，涉及信息泄露、未授權(quán)訪問、文件包含等中風(fēng)險(xiǎn)。

三、更新列表

本期安天網(wǎng)絡(luò)行為檢測(cè)引擎規(guī)則庫(kù)部分更新列表如下：

安天網(wǎng)絡(luò)行為檢測(cè)引擎最新規(guī)則庫(kù)版本為Antiy_AVLX_2023062119，建議及時(shí)更新安天探海威脅檢測(cè)系統(tǒng)-網(wǎng)絡(luò)行為檢測(cè)引擎規(guī)則庫(kù)（請(qǐng)確認(rèn)探海系統(tǒng)版本為：6.6.1.2 SP1及以上，舊版本建議先升級(jí)至最新版本），安天售后服務(wù)熱線：400-840-9234。

安天探海網(wǎng)絡(luò)檢測(cè)實(shí)驗(yàn)室簡(jiǎn)介

安天探海網(wǎng)絡(luò)檢測(cè)實(shí)驗(yàn)室是安天科技集團(tuán)旗下的網(wǎng)絡(luò)安全研究團(tuán)隊(duì)，致力于發(fā)現(xiàn)網(wǎng)絡(luò)流量中隱藏的各種網(wǎng)絡(luò)安全威脅，從多維度分析網(wǎng)絡(luò)安全威脅的原始流量數(shù)據(jù)形態(tài)，研究各種新型攻擊的流量基因，提供包含漏洞利用、異常行為、應(yīng)用識(shí)別、惡意代碼活動(dòng)等檢測(cè)能力，為網(wǎng)絡(luò)安全產(chǎn)品賦能，研判網(wǎng)絡(luò)安全形勢(shì)并給出專業(yè)解讀。