安天長(zhǎng)期基于流量側(cè)數(shù)據(jù)跟蹤分析網(wǎng)絡(luò)攻擊活動(dòng)，識(shí)別和捕獲惡意網(wǎng)絡(luò)行為，研發(fā)相應(yīng)的檢測(cè)機(jī)制與方法，積累沉淀形成了安天自主創(chuàng)新的網(wǎng)絡(luò)行為檢測(cè)引擎。安天定期發(fā)布最近的網(wǎng)絡(luò)行為檢測(cè)能力升級(jí)通告，幫助客戶(hù)洞察流量側(cè)的網(wǎng)絡(luò)安全威脅與近期惡意行為趨勢(shì)，協(xié)助客戶(hù)及時(shí)調(diào)整安全應(yīng)對(duì)策略，賦能客戶(hù)提升網(wǎng)絡(luò)安全整體水平。

?

一、網(wǎng)絡(luò)流量威脅趨勢(shì)

近期勒索軟件攻擊活躍，涉及Royal、IceFire、BlackSnake等多種勒索軟件，CISA和FBI針對(duì)Royal勒索軟件發(fā)出警告，稱(chēng)其正在針對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施進(jìn)行攻擊，涉及制造業(yè)、通信、醫(yī)療保健以及教育科研行業(yè)；與此同時(shí)，IceFire勒索軟件擴(kuò)大了攻擊目標(biāo)，使用新的專(zhuān)用加密器攻擊全球Linux系統(tǒng)，建議用戶(hù)及時(shí)關(guān)注網(wǎng)內(nèi)勒索軟件攻擊活動(dòng)。

近期網(wǎng)絡(luò)安全事件涉及Lazarus、UNC2970、8220、APT-C-36等組織。

【本期活躍的安全漏洞信息】

Adobe Acrobat Reader RCE漏洞(CVE-2023-21608)

Apache Kafka Connect 遠(yuǎn)程代碼執(zhí)行漏洞預(yù)警(CVE-2023-25194)

Linux Kernel內(nèi)存泄露漏洞(CVE-2023-23000)

Apache Dubbo 反序列化遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2023-23638)

【值得關(guān)注的安全事件】

(1) 8220 挖礦組織采用ScrubCrypt新加密器進(jìn)行加密劫持活動(dòng)

近日，研究人員發(fā)現(xiàn)8220挖礦組織在加密劫持攻擊中使用了一種名為ScrubCrypt的新型加密器。攻擊載荷在成功利用易受攻擊的Oracle WebLogic服務(wù)器后，將下載名為“bypass.ps1”的PowerShell腳本，該P(yáng)owerShell腳本進(jìn)行了編碼，來(lái)規(guī)避防病毒軟件的檢測(cè)，該腳本包含 ScrubCrypt加密器。ScrubCrypt加密器已在黑客論壇上出售，它允許使用獨(dú)特的BAT打包方法保護(hù)應(yīng)用程序。

(2) VMware NSX Manager漏洞被廣泛利用

近日，安全研究人員發(fā)現(xiàn)攻擊者正在利用VMware NSX Manager中的嚴(yán)重漏洞進(jìn)行持續(xù)攻擊，這些漏洞被追蹤為CVE-2021-39144（CVSS評(píng)分為9.8）和CVE-2022-31678（CVSS評(píng)分為9.1），該漏洞允許攻擊者執(zhí)行任意代碼，甚至竊取數(shù)據(jù)、控制網(wǎng)絡(luò)基礎(chǔ)設(shè)施，建議用戶(hù)及時(shí)更新至安全版本。

?

二、安天網(wǎng)絡(luò)行為檢測(cè)能力概述

安天網(wǎng)絡(luò)行為檢測(cè)引擎收錄了近期流行的網(wǎng)絡(luò)攻擊行為特征。本期新增網(wǎng)絡(luò)攻擊行為特征涉及代碼注入攻擊、遠(yuǎn)程代碼執(zhí)行、木馬等高風(fēng)險(xiǎn)，涉及WebShell、目錄遍歷、溢出攻擊等中風(fēng)險(xiǎn)及網(wǎng)絡(luò)爬蟲(chóng)、目錄穿越等低風(fēng)險(xiǎn)。??

?

三、更新列表

本期安天網(wǎng)絡(luò)行為檢測(cè)引擎規(guī)則庫(kù)部分更新列表如下：

安天網(wǎng)絡(luò)行為檢測(cè)引擎最新規(guī)則庫(kù)版本為Antiy_AVLX_2023031519，建議及時(shí)更新安天探海威脅檢測(cè)系統(tǒng)-網(wǎng)絡(luò)行為檢測(cè)引擎規(guī)則庫(kù)（請(qǐng)確認(rèn)探海系統(tǒng)版本為：6.6.1.2 SP1及以上，舊版本建議先升級(jí)至最新版本），安天售后服務(wù)熱線(xiàn)：400-840-9234。

?

安天探海網(wǎng)絡(luò)檢測(cè)實(shí)驗(yàn)室簡(jiǎn)介

安天探海網(wǎng)絡(luò)檢測(cè)實(shí)驗(yàn)室是安天科技集團(tuán)旗下的網(wǎng)絡(luò)安全研究團(tuán)隊(duì)，致力于發(fā)現(xiàn)網(wǎng)絡(luò)流量中隱藏的各種網(wǎng)絡(luò)安全威脅，從多維度分析網(wǎng)絡(luò)安全威脅的原始流量數(shù)據(jù)形態(tài)，研究各種新型攻擊的流量基因，提供包含漏洞利用、異常行為、應(yīng)用識(shí)別、惡意代碼活動(dòng)等檢測(cè)能力，為網(wǎng)絡(luò)安全產(chǎn)品賦能，研判網(wǎng)絡(luò)安全形勢(shì)并給出專(zhuān)業(yè)解讀。

?