安天网络行为检测能力升级通告（20241110）

安天网络行为检测引擎收录了近期流行的网络攻击行为特征。本期新增检测规则94条，升级改进检测规则38条，网络攻击行为特征涉及变种木马、代码执行等高风险，涉及SQL注入、文件写入等中风险。

近期，安全研究团队调查中发现了一种由矿工和窃密恶意软件组成的未知捆绑包引起的大量感染，并且将其命名为“SteelFox”。SteelFox主要传播途径时论坛帖子、torrent追踪器、博客和模仿流行的软件如Foxit PDF Editor和AutoCAD。安全研究人员发现，SteelFox使用窃密恶意软件提取受害者的信用卡数据和受感染设备的详细信息，随后利用受感染设备的计算资源进行加密货币挖矿，通过易受攻击的驱动程序提升权限，以便更深入地控制系统，最后利用SSL pinning和TLSv1.3与C2服务器通信，确保通信的安全性和隐蔽性。

此外，安全研究员披露了IBM Security Verify Access(ISVA)中存在的36个漏洞，这些漏洞可能导致攻击者完全破坏基于该授权和网络安全策略管理解决方案的整个认证基础设施。攻击者若想利用这些问题，需要进行中间人(MiTM)攻击或获取使用IBM ISVA设备和Docker镜像的组织内部网络的访问权限。至少一半的安全缺陷，包括七个远程代码执行漏洞、一个认证绕过漏洞、八个权限提升漏洞和其他一些问题，都可能被用于完全破坏系统。当IBM Security Verify Access(ISVA)运行时Docker实例(该解决方案的核心组件)在网络中可访问时，攻击者可以绕过所有认证，并作为任何用户与该后端实例进行交互，从而完全控制任何用户，而无需认证。