安天网络行为检测能力升级通告(20241124)

科技   2024-11-24 11:00   山西  
点击上方"蓝字"
关注我们吧!


安天长期基于流量侧数据跟踪分析网络攻击活动,识别和捕获恶意网络行为,研发相应的检测机制与方法,积累沉淀形成了安天自主创新的网络行为检测引擎。安天定期发布网络行为检测能力升级通告,帮助客户洞察流量侧的网络安全威胁与近期恶意行为趋势,协助客户及时调整安全应对策略,赋能客户提升网络安全整体水平。

01

安天网络行为检测能力概述

安天网络行为检测引擎收录了近期流行的网络攻击行为特征。本期新增检测规则133,升级改进检测规则88条,网络攻击行为特征涉及变种木马、代码执行等高风险,涉及SQL注入、文件写入等中风险。

02

更新列表

本期安天网络行为检测引擎规则库部分更新列表如下:

安天网络行为检测引擎最新规则库版本为Antiy_AVLX_2024112107建议及时更新安天探海威胁检测系统-网络行为检测引擎规则库(请确认探海系统版本为:6.6.1.4 及以上,旧版本建议先升级至最新版本),安天售后服务热线:400-840-9234。


03

网络流量威胁趋势

近日,一场大规模社交媒体宣传活动以“免费AI视频编辑器”为幌子,诱导用户下载信息窃取恶意软件。攻击者利用X、Facebook和YouTube等平台发布链接,吸引用户进入一个看似专业的网站。然而,下载链接实际隐藏着Lumma Stealer(针对Windows用户)和Atomic Stealer(针对macOS用户)这两种恶意软件。攻击者搭建了一个外观专业的伪装网站,诱导用户下载文件“Edit-ProAI-Setup-newest_release.exe”或“EditProAi_v.4.36.dmg”。研究表明,Lumma Stealer通过恶意软件即服务(MaaS)模式分发,窃取加密钱包、浏览器扩展数据及双重身份验证信息。Atomic Stealer则以窃取信用卡信息、登录凭据和认证Cookie为目标,同时可利用浏览器插件获取更多敏感数据。

此外,微软近日在其“补丁星期二”更新中修复了Windows Kerberos认证协议中的一项关键漏洞(CVE-2024-43639)。该漏洞具有9.8的CVSS评分(严重级别),允许攻击者通过特制的请求实现未经授权的访问和远程代码执行(RCE)。由于Windows Server的广泛应用以及漏洞的易用性,这一漏洞对全球企业构成了重大威胁。Censys的研究表明,目前超过227万台Windows服务器暴露在互联网上,其中121万台可能受此漏洞影响,尤其是配置为Kerberos KDC Proxy协议服务器的系统。通过KDC Proxy服务,客户端可通过HTTPS与KDC服务器通信,这一功能常用于远程桌面网关和DirectAccess等服务。然而,该配置也为攻击者提供了入侵途径。研究发现,34%的受影响服务器位于美国,11%与Armstrong Enterprise Communications相关。微软和安全专家强烈建议系统管理员立即为配置为KDC Proxy的Windows服务器安装补丁,同时关闭不必要的KDC Proxy服务,并采用网络分段和防火墙等额外安全措施。请注意,显示的设备只有在配置为Kerberos KDC代理协议服务器时,才易受攻击。


本期活跃的安全漏洞信息
1
SQL Server Native Client 远程代码执行漏洞(CVE-2024-49011)
2
Microsoft Visual Studio Code 远程代码执行漏洞(CVE-2024-49050)
3

Adobe InDesign 缓冲区溢出漏洞(CVE-2024-49509)

4

IBM Concert SQL注入漏洞(CVE-2024-52360)

5

Oracle Agile PLM Framework 未授权访问漏洞(CVE-2024-21287)


值得关注的安全事件
1

Microsoft Power Pages配置错误可能导致敏感数据大规模泄露


SaaS安全公司AppOmni近日发现,微软Power Pages存在配置漏洞,导致多个组织的敏感数据被公开泄露。Power Pages作为一个低代码平台,每月有超过2.5亿用户使用,其灵活性和可操作性定制性在吸引企业的同时,也增加了配置错误的风险。研究指出,问题的核心在于对访问控制设置的不当配置。Power Pages依赖站点级、表级和列级权限进行分层控制,但当组织未正确设置这些权限时,敏感数据可能被公开访问。例如,英国国家健康服务(NHS)因配置问题泄露了超过110名员工的个人信息,包括电子邮件、电话号码和家庭地址。AppOmni强调,当Web API设置为允许访问表内所有列(如Webapi/<object>/fields值设置为*)时,数据泄露的风险进一步放大。这种情况可能影响包括金融、医疗、汽车等多个行业的机构、数据损失规模巨大。

2

攻击者利用Microsoft 365管理门户发送性勒索邮件


近期,有不法分子滥用Microsoft 365管理门户的消息中心功能,大量发送性勒索邮件。这些邮件伪装成微软官方通知,绕过传统电子邮件安全平台,直接进入用户的收件箱,从而增加受害者上当的可能性。性勒索邮件通常声称黑客窃取了用户的隐私视频或图像,并威胁公开这些内容以索要500至5000美元不等的赎金。这类骗局自2018年首次出现以来便具有高盈利性,当时每周可获利超5万美元。尽管传统邮件安全平台已能够识别并隔离大部分性勒索邮件,但利用Microsoft 365消息中心发送的邮件来源于微软合法地址,因此难以被标记为垃圾邮件。Microsoft 365消息中心的“分享”功能被滥用是此次骗局的核心漏洞,该功能原本旨在让管理员分享服务公告和功能更新信息。

安天探海网络检测实验室简介

安天探海网络检测实验室是安天科技集团旗下的网络安全研究团队,致力于发现网络流量中隐藏的各种网络安全威胁,从多维度分析网络安全威胁的原始流量数据形态,研究各种新型攻击的流量基因,提供包含漏洞利用、异常行为、应用识别、恶意代码活动等检测能力,为网络安全产品赋能,研判网络安全形势并给出专业解读。


往期回顾

安天集团
安天是引领威胁检测与防御能力发展的网络安全国家队,依托自主先进核心技术与安全理念,致力为战略客户和关键基础设施提供整体安全解决方案。安天产品和服务为客户构建端点防护、边界防护、流量监测、导流捕获、深度分析、应急处置等基础能力。
 最新文章