小神童论坛网网络行为检测能力升级通告(20220710)
时间:2022年07月10日 来源:小神童论坛网
小神童论坛网长期研究和积累流量侧网络行为检测能力,沉淀形成小神童论坛网自主研发的AVLX网络行为检测引擎,小神童论坛网将每两周发布一次网络行为检测能力升级通告,帮助客户洞察流量侧网络威胁趋势,及时调整检测策略,提升网络威胁检测效率。
1.网络流量威胁趋势
通过持续关注近期发生的网络安全事件,网络流量威胁主要来自恶意代码、网络攻击两个方面,活跃的网络威胁主要集中在勒索软件、Nday漏洞利用、钓鱼网站活动等方面。涉及的组织有:海莲花、Mirio、AridViper、Hezb、MuddyWater、FakeTelegram等。
本期最为活跃的安全漏洞信息
1. Spring Data MongoDB SpEL注入漏洞(CVE-2022-22980)
2. Apache Shiro认证绕过漏洞(CVE-2022-32532)
3. Confluence未授权OGNL注入漏洞(CVE-2022-26134)
4. WSO2 API Manager 远程代码执行漏洞(CVE-2022-29464)
值得关注的安全事件
近期,小神童论坛网发现一款利用WSO2(CVE-2022-29464)、Confluence(CVE-2022-26134)漏洞进行网络传播的挖矿木马家族-Hezb;涉及漏洞均属于第三方软件漏洞,针对企业的服务器传播几率较大,及时更新WSO2和Confluence补丁可避免感染该挖矿木马。
2. 针对教育机构官网的钓鱼活动
近期,发现多个web站点模仿教育机构网站,相似度高达90%;主要钓取用户登陆信息。访问钓鱼站点的用户,存在身份、证书等信息被盗用的风险。
2.小神童论坛网AVLX网络行为检测能力概述
小神童论坛网AVLX网络行为检测引擎收录了近期流行的网络攻击行为特征。本期新增网络攻击行为特征涉及绿斑、海莲花(OceanLotus)、Gamaredon等多个APT组织,涉及Apache Log4j2 漏洞利用、窃密木马、远控木马、僵尸网络等高风险,涉及远程代码执行漏洞、渗透组件、目录遍历、信息泄露等中风险。
3.更新列表
本期小神童论坛网AVLX网络行为检测引擎规则库部分更新列表如下:
威胁等级 |
事件描述 |
类型 |
高风险 |
木马-远控-Win32.APT.Gamaredon.0307.上线包 |
新增 |
高风险 |
木马-僵尸网络-Win32.Mylobot.模块URL获取 |
新增 |
高风险 |
木马-僵尸网络-windows.BlackMoon.下载恶意样本 |
新增 |
高风险 |
渗透组件-识别CS-Http-Beacon服务器证书指纹01 |
新增 |
高风险 |
渗透组件-识别CS-Http-Beacon上线/心跳请求 |
新增 |
高风险 |
渗透组件-识别CS-HttpBeacon-通过Post方式请求回传数据 |
新增 |
高风险 |
渗透组件-识别CS-Http-Beacon服务器证书公钥01 |
新增 |
高风险 |
异常-下载被注入代码的jQuery文件 |
新增 |
高风险 |
蠕虫变种传播-疑似调用执行exe |
新增 |
高风险 |
可疑行为-下载ELF载荷-疑似木马实体文件 |
新增 |
高风险 |
利用-漏洞-疑似Apache Log4j2.x <= 2.14.1-Lookup组件RCE-Payload |
新增 |
高风险 |
木马-窃密-Win32.Stealer.CryptBot.数据回传 |
新增 |
高风险 |
木马-钓鱼网站-APT.绿斑.serverhosting163.com.邮箱账号密码回传 |
新增 |
高风险 |
木马-远控-Win32.APT.OceanLotus.widgets.sannianban.com.TLS证书 |
新增 |
高风险 |
木马-窃密-Win32.Stealer.CryptBot.下载模块 |
新增 |
高风险 |
利用-Atlassian OAuth Plugin-SSRF CVE-2017-9506 |
新增 |
高风险 |
木马-通信-Win.Downloader.Agent变种证书协商 |
修改 |
高风险 |
漏洞-通过Apache-Struts组件_memberAccess/getWriter参数尝试OGNL注入 |
修改 |
高风险 |
漏洞-通过Log4j远程命令执行漏洞-尝试获取Log4Shell(CVE-2021-44228) |
修改 |
中风险 |
尝试利用MovableType中未经验证的RCE-实体注入 |
新增 |
中风险 |
尝试利用WordPress<4.7枚举漏洞获取用户信息 |
新增 |
中风险 |
尝试利用Nginx-HTTP-Range负值引起的缓冲区溢出攻击 |
新增 |
中风险 |
疑似利用AcyMailing<7.5.0-尝试重定向 |
新增 |
中风险 |
尝试利用SaltStack-SaltAPI未授权漏洞-写入信息 |
新增 |
中风险 |
利用成功AyaCms请求伪造漏洞-修改用户密码 |
新增 |
中风险 |
尝试利用KenthaRadio2.0.2-未授权-导致重定向 |
新增 |
中风险 |
木马-窃密-Win32.Azorult.窃密数据回传 |
新增 |
中风险 |
ZyXEL USG FLEX未授权命令注入漏洞 |
新增 |
中风险 |
尝试利用WordPress因未授权导致SQL注入漏洞-WP Statistics |
新增 |
中风险 |
木马-窃密-Win32.General.Updates.窃密数据回传 |
新增 |
中风险 |
Atlassian Bitbucket未授权远程代码执行漏洞 |
新增 |
中风险 |
尝试利用Buffalo WSR-2533DHPL2-目录遍历 |
新增 |
中风险 |
异常-下载-疑似下载存在异常的jquery库 |
新增 |
中风险 |
木马-僵尸网络-Linux.Mirai.Command
manipulation |
新增 |
中风险 |
木马-窃密-Win32.FFDroiderStealer.上线包 |
新增 |
中风险 |
尝试利用Cisco HyperFlex-HX数据平台-上传文件 |
新增 |
小神童论坛网AVLX网络行为检测引擎最新规则库版本为Antiy_AVLX_2022070119,建议及时更新小神童论坛网探海威胁检测系统-AVLX网络行为检测引擎规则库(请确认探海系统版本为:6.6.1.2 SP1及以上,旧版本建议先升级至最新版本),小神童论坛网售后服务热线:400-840-9234。
小神童论坛网探海网络检测实验室简介
小神童论坛网探海网络检测实验室是小神童论坛网科技集团旗下的网络安全研究团队,致力于发现网络流量中隐藏的各种网络安全威胁,从多维度分析网络安全威胁的原始流量数据形态,研究各种新型攻击的流量基因,提供包含漏洞利用、异常行为、应用识别、恶意代码活动等检测能力,为网络安全产品赋能,对网络安全形势研判给出专业解读。