安天長期基于流量側(cè)數(shù)據(jù)跟蹤分析網(wǎng)絡攻擊活動，識別和捕獲惡意網(wǎng)絡行為，研發(fā)相應的檢測機制與方法，積累沉淀形成了安天自主創(chuàng)新的網(wǎng)絡行為檢測引擎。安天定期發(fā)布最近的網(wǎng)絡行為檢測能力升級通告，幫助客戶洞察流量側(cè)的網(wǎng)絡安全威脅與近期惡意行為趨勢，協(xié)助客戶及時調(diào)整安全應對策略，賦能客戶提升網(wǎng)絡安全整體水平。

?

一、網(wǎng)絡流量威脅趨勢

近期勒索軟件攻擊較為活躍，涉及到Cactus、Akira等惡意軟件。其中，名為Cactus的新型勒索軟件一直在利用VPN設備中的漏洞對“大型商業(yè)實體”的網(wǎng)絡進行初始訪問。Cactus勒索軟件行動至少從3月開始就一直活躍，并正在索求受害者的大筆贖金。雖然新的威脅行為者采用了勒索軟件攻擊中常見的策略——文件加密和數(shù)據(jù)盜竊，但它增加了自己的手段來避免被發(fā)現(xiàn)。Cactus與其他勒索軟件的不同之處在于使用加密來保護勒索軟件二進制文件。

【本期活躍的安全漏洞信息】

Apache Log4cxx ODBC SQL 注入(CVE-2023-31038)

GitLab GraphQL未授權(quán)訪問漏洞(CVE-2023-2478)

泛微 E-Office 文件上傳漏洞(CVE-2023-2523)

Microsoft Office遠程代碼執(zhí)行漏洞(CVE-2023-29344)

Windows 網(wǎng)絡文件系統(tǒng)遠程執(zhí)行代碼漏洞(CVE-2023-24941)

【值得關注的安全事件】

(1) 新的DDoS僵尸網(wǎng)絡AndoryuBot利用Ruckus漏洞發(fā)起攻擊

研究人員近期發(fā)現(xiàn)，一種名為“AndoryuBot”的新型惡意軟件僵尸網(wǎng)絡針對Ruckus無線管理面板中的嚴重漏洞，感染未打補丁的Wi-Fi接入點以用于DDoS攻擊。該漏洞編號為CVE-2023-25717，影響所有Ruckus無線管理面板10.4及更早版本，允許遠程攻擊者通過向易受攻擊的設備發(fā)送未經(jīng)身份驗證的HTTP GET請求來執(zhí)行代碼。該漏洞于2023年2月8日被發(fā)現(xiàn)并修復，盡管如此，許多人還沒有應用可用的安全更新。AndoryuBot于2023年2月首次出現(xiàn)，但Fortinet表示其針對Ruckus設備的更新版本于4月中旬出現(xiàn)。僵尸網(wǎng)絡旨在將易受攻擊的設備納入其以營利為目的的DDoS（分布式拒絕服務）群。

(2) 黑客開始使用雙重DLL側(cè)加載來逃避檢測

近期發(fā)現(xiàn)一種名為“Dragon Breath”，“Golden Eye Dog”或“APT-Q-27”的APT駭客團伙展示了一種新趨勢，即使用多個復雜的經(jīng)典DLL側(cè)載技術變體來逃避檢測。此攻擊變體從利用干凈的應用程序，通常是Telegram開始，該應用程序側(cè)載第二階段有效載荷，有時也是干凈的，該有效載荷反過來又側(cè)載了惡意的惡意軟件加載器DLL。對受害者的誘餌是針對中國內(nèi)地、日本、臺灣、新加坡、香港和菲律賓的漢語Windows用戶的木馬電報、LetsVPN或WhatsApp應用程序。Sophos分析人員發(fā)現(xiàn)該活動的目標范圍是中國語言用戶。此攻擊使用了污染的漢語應用程序，誘導受害者側(cè)載惡意DLL繞過防御。

?

二、安天網(wǎng)絡行為檢測能力概述

安天網(wǎng)絡行為檢測引擎收錄了近期流行的網(wǎng)絡攻擊行為特征。本期新增網(wǎng)絡攻擊行為特征涉及代碼執(zhí)行、變形函數(shù)等高風險，涉及未授權(quán)訪問、暴力破解、文件上傳等中風險及信息泄露等低風險。

?

三、更新列表

本期安天網(wǎng)絡行為檢測引擎規(guī)則庫部分更新列表如下：

安天網(wǎng)絡行為檢測引擎最新規(guī)則庫版本為Antiy_AVLX_2023051017，建議及時更新安天探海威脅檢測系統(tǒng)-網(wǎng)絡行為檢測引擎規(guī)則庫（請確認探海系統(tǒng)版本為：6.6.1.2 SP1及以上，舊版本建議先升級至最新版本），安天售后服務熱線：400-840-9234。

安天探海網(wǎng)絡檢測實驗室簡介

安天探海網(wǎng)絡檢測實驗室是安天科技集團旗下的網(wǎng)絡安全研究團隊，致力于發(fā)現(xiàn)網(wǎng)絡流量中隱藏的各種網(wǎng)絡安全威脅，從多維度分析網(wǎng)絡安全威脅的原始流量數(shù)據(jù)形態(tài)，研究各種新型攻擊的流量基因，提供包含漏洞利用、異常行為、應用識別、惡意代碼活動等檢測能力，為網(wǎng)絡安全產(chǎn)品賦能，研判網(wǎng)絡安全形勢并給出專業(yè)解讀。

?