安天长期基于流量侧数据跟踪分析网络攻击活动,识别和捕获恶意网络行为,研发相应的检测机制与方法,积累沉淀形成了安天自主创新的网络行为检测引擎。安天定期发布网络行为检测能力升级通告,帮助客户洞察流量侧的网络安全威胁与近期恶意行为趋势,协助客户及时调整安全应对策略,赋能客户提升网络安全整体水平。
网络流量威胁趋势
近期,研究人员警告称,网络犯罪分子正在通过使用ASCII和Unicode字符生成难以检测的QR码,提升其网络钓鱼攻击的隐蔽性。攻击者利用“全块”字符组合Cascading Style Sheets(CSS),构建出标准的49x49像素矩阵,绕过光学字符识别(OCR)工具的检测。这些伪造的QR码往往引导用户访问恶意网站,钓鱼邮件数量在2023年第四季度急剧上升,约每20个邮箱中有一个成为目标。此外,犯罪分子还采用Blob URI技术,在用户点击恶意链接后生成动态URL,从而绕过传统URL过滤器。这一创新手段使得网络钓鱼攻击更具威胁性,尤其是在QR码的使用日益广泛的情况下。
此外,研究人员于2024年10月警告用户,需立即修补其Expedition解决方案中的多个安全漏洞,这些漏洞可被攻击者利用,劫持PAN-OS防火墙。Expedition用于帮助迁移其他供应商的配置文件,这些漏洞可暴露敏感信息,如用户凭证,帮助攻击者接管防火墙管理员账户。漏洞包括命令注入、跨站脚本攻击、明文存储敏感信息、缺失认证和SQL注入等(CVE-2024-9463至CVE-2024-9467)。研究人员发布了一份概念验证(PoC)代码,展示如何利用这些漏洞进行未授权命令执行。Palo Alto建议尽快更新至Expedition 1.2.96版本并轮换所有相关凭证。
Mozilla Firefox UAF代码执行漏洞(CVE-2024-9680)
RSSHub 输入验证错误漏洞(CVE-2024-47179)
Microsoft Office远程代码执行漏洞(CVE-2024-43616)
LocalAI代码注入漏洞(CVE-2024-6983)
Lenovo XCC权限提升漏洞(CVE-2024-38508)
网络攻击重创伊朗政府及核设施致信息被窃取
随着中东局势升级,伊朗遭遇大规模网络攻击,重创政府部门并波及核设施。此次攻击发生在10月1日伊朗发射导弹后,以色列承诺作出回应的背景下。伊朗前网络空间最高委员会秘书阿布哈桑·菲鲁扎巴迪对外证实,几乎所有政府部门,包括司法、立法和行政机关,都受到了网络攻击,敏感信息被窃取。此外,伊朗的核设施、燃料分配、交通运输、港口等多个关键基础设施也成为攻击目标。这次攻击被认为是中东地区冲突加剧的结果。同时,伊朗民航组织在黎巴嫩针对真主党成员的破坏性袭击后,禁止在航班上携带寻呼机和对讲机,以防止类似事件再次发生。
APT34利用Windows漏洞攻击海湾地区关键基础设施
安天网络行为检测能力概述
更新列表
安天探海网络检测实验室是安天科技集团旗下的网络安全研究团队,致力于发现网络流量中隐藏的各种网络安全威胁,从多维度分析网络安全威胁的原始流量数据形态,研究各种新型攻击的流量基因,提供包含漏洞利用、异常行为、应用识别、恶意代码活动等检测能力,为网络安全产品赋能,研判网络安全形势并给出专业解读。
