安天网络行为检测能力概述
安天网络行为检测引擎收录了近期流行的网络攻击行为特征。本期新增检测规则133条,升级改进检测规则88条,网络攻击行为特征涉及变种木马、代码执行等高风险,涉及SQL注入、文件写入等中风险。
更新列表
网络流量威胁趋势
近日,一场大规模社交媒体宣传活动以“免费AI视频编辑器”为幌子,诱导用户下载信息窃取恶意软件。攻击者利用X、Facebook和YouTube等平台发布链接,吸引用户进入一个看似专业的网站。然而,下载链接实际隐藏着Lumma Stealer(针对Windows用户)和Atomic Stealer(针对macOS用户)这两种恶意软件。攻击者搭建了一个外观专业的伪装网站,诱导用户下载文件“Edit-ProAI-Setup-newest_release.exe”或“EditProAi_v.4.36.dmg”。研究表明,Lumma Stealer通过恶意软件即服务(MaaS)模式分发,窃取加密钱包、浏览器扩展数据及双重身份验证信息。Atomic Stealer则以窃取信用卡信息、登录凭据和认证Cookie为目标,同时可利用浏览器插件获取更多敏感数据。
此外,微软近日在其“补丁星期二”更新中修复了Windows Kerberos认证协议中的一项关键漏洞(CVE-2024-43639)。该漏洞具有9.8的CVSS评分(严重级别),允许攻击者通过特制的请求实现未经授权的访问和远程代码执行(RCE)。由于Windows Server的广泛应用以及漏洞的易用性,这一漏洞对全球企业构成了重大威胁。Censys的研究表明,目前超过227万台Windows服务器暴露在互联网上,其中121万台可能受此漏洞影响,尤其是配置为Kerberos KDC Proxy协议服务器的系统。通过KDC Proxy服务,客户端可通过HTTPS与KDC服务器通信,这一功能常用于远程桌面网关和DirectAccess等服务。然而,该配置也为攻击者提供了入侵途径。研究发现,34%的受影响服务器位于美国,11%与Armstrong Enterprise Communications相关。微软和安全专家强烈建议系统管理员立即为配置为KDC Proxy的Windows服务器安装补丁,同时关闭不必要的KDC Proxy服务,并采用网络分段和防火墙等额外安全措施。请注意,显示的设备只有在配置为Kerberos KDC代理协议服务器时,才易受攻击。
Adobe InDesign 缓冲区溢出漏洞(CVE-2024-49509)
IBM Concert SQL注入漏洞(CVE-2024-52360)
Oracle Agile PLM Framework 未授权访问漏洞(CVE-2024-21287)
Microsoft Power Pages配置错误可能导致敏感数据大规模泄露
SaaS安全公司AppOmni近日发现,微软Power Pages存在配置漏洞,导致多个组织的敏感数据被公开泄露。Power Pages作为一个低代码平台,每月有超过2.5亿用户使用,其灵活性和可操作性定制性在吸引企业的同时,也增加了配置错误的风险。研究指出,问题的核心在于对访问控制设置的不当配置。Power Pages依赖站点级、表级和列级权限进行分层控制,但当组织未正确设置这些权限时,敏感数据可能被公开访问。例如,英国国家健康服务(NHS)因配置问题泄露了超过110名员工的个人信息,包括电子邮件、电话号码和家庭地址。AppOmni强调,当Web API设置为允许访问表内所有列(如Webapi/<object>/fields值设置为*)时,数据泄露的风险进一步放大。这种情况可能影响包括金融、医疗、汽车等多个行业的机构、数据损失规模巨大。
攻击者利用Microsoft 365管理门户发送性勒索邮件
安天探海网络检测实验室是安天科技集团旗下的网络安全研究团队,致力于发现网络流量中隐藏的各种网络安全威胁,从多维度分析网络安全威胁的原始流量数据形态,研究各种新型攻击的流量基因,提供包含漏洞利用、异常行为、应用识别、恶意代码活动等检测能力,为网络安全产品赋能,研判网络安全形势并给出专业解读。