安天长期基于流量侧数据跟踪分析网络攻击活动,识别和捕获恶意网络行为,研发相应的检测机制与方法,积累沉淀形成了安天自主创新的网络行为检测引擎。安天定期发布网络行为检测能力升级通告,帮助客户洞察流量侧的网络安全威胁与近期恶意行为趋势,协助客户及时调整安全应对策略,赋能客户提升网络安全整体水平。安天网络行为检测引擎收录了近期流行的网络攻击行为特征。本期新增检测规则58条,本期升级改进检测规则8条,网络攻击行为特征涉及漏洞利用、文件上传等高风险,涉及代码执行、代码注入等中风险。
安天网络行为检测引擎最新规则库版本为Antiy_AVLX_20250040307建议及时更新安天探海威胁检测系统-网络行为检测引擎规则库(请确认探海系统版本为:6.6.1.4 及以上,旧版本建议先升级至最新版本),安天售后服务热线:400-840-9234。2025年4月2日,安全团队发现新型恶意软件KoiLoader变种利用PowerShell脚本及Windows快捷方式(LNK)文件实施攻击。该活动通过伪装金融机构的钓鱼邮件传播,利用Windows漏洞(ZDI-CAN-25373)隐藏命令行参数。攻击链采用多阶段脚本,通过计划任务执行,并注入内存加载窃取程序。
此外,研究人员发现了一个名为Triton RAT的恶意软件,该恶意软件基于Python进行编写。该Python脚本首先会从pastebin获取经过Base64编码的Telegram Bot令牌和聊天ID,还包含创建VBScript和BAT脚本的代码。VBScript脚本“updateagent.vbs”用于禁用Windows Defender、创建用于持久化的计划任务,并监视指定的进程。BAT脚本“check.bat”用于从DropBox获取一个名为“ProtonDrive.exe”的文件,将其存储在隐藏文件夹中,并以管理员权限执行它。”ProtonDrive.exe”是Triton RAT的pyinstaller编译版本。此外,Triton RAT还具有反分析、键盘记录、窃取凭证等恶意功能,并且通过Telegram Bot回传窃取的数据信息。
Google Chrome Navigations UAF漏洞(360LDYLD-2025-00047650)NVIDIA Riva访问控制错误漏洞(CVE-2025-23242)Adobe InDesign越界写入漏洞(CVE-2025-27166)
Google Chrome代码执行漏洞(CVE-2025-0434)
Google Chrome沙箱逃逸漏洞 (CVE-2025-2783)
2025年3月31日,美国CISA将思科智能许可工具两个高危漏洞(CVE-2024-20439、CVE-2024-20440)列入KEV目录。前者因内置静态管理员凭证,允许攻击者通过API控制设备;后者因调试日志泄露API凭据,可远程窃取数据。两漏洞CVSS均为9.8且无需认证即可触发,思科已发布补丁但未提供临时缓解方案。SANS监测显示,漏洞曝光后攻击激增,攻击者结合两者窃取日志权限,并可能关联利用DVR漏洞(CVE-2024-0305)。CISA要求联邦机构4月21日前完成修复,呼吁企业自查。2025年3月31日,Sucuri披露黑客滥用WordPress的mu-plugins目录植入恶意脚本,通过三个PHP文件实现多重攻击。该目录因无需激活且隐藏的特性,成为隐蔽攻击载体。攻击脚本可识别搜索引擎爬虫规避检测,并与“ClickFix”虚假验证码分发Lumma木马的攻击形成协同。安全团队建议更新插件、审核代码、启用WAF及强化管理员密码,防范供应链攻击。事件暴露WordPress老旧插件与弱密码策略仍是生态核心风险。安天探海网络检测实验室是安天科技集团旗下的网络安全研究团队,致力于发现网络流量中隐藏的各种网络安全威胁,从多维度分析网络安全威胁的原始流量数据形态,研究各种新型攻击的流量基因,提供包含漏洞利用、异常行为、应用识别、恶意代码活动等检测能力,为网络安全产品赋能,研判网络安全形势并给出专业解读。
还没有评论,来说两句吧...