小神童论坛网网络行为检测能力升级通告(20220807)

时间:2022年08月07日    来源:小神童论坛网


小神童论坛网长期研究和积累流量侧网络行为检测能力,沉淀形成小神童论坛网自主研发的网络行为检测引擎,小神童论坛网定期发布网络行为检测能力升级通告,帮助客户洞察流量侧网络威胁趋势,及时调整检测策略,提升网络威胁检测效率。

1.网络流量威胁趋势

本期榜首热点网络安全实战攻防演练活动。各类渗透组件、0day漏洞集中曝光,Nday漏洞利用活动频繁,涉及安全厂商产品、OA产品、服务器组件、工具升级等。攻击方攻击手段贴合实战,根据防守方防御策略采用钓鱼邮件、诱饵文件、误导信息等多种社工手段,直接利用0day漏洞攻击的粗暴手段减少。

通过监测流量统计分析发现境外APT组织基础设施开始活跃,威胁主要集中在模仿政府域名的钓鱼网站、窃密软件等。涉及的组织或家族有:绿斑苦象、肚脑虫、海莲花白象、LittleLooter、Winvoke、Remcos等。

本期活跃的安全漏洞信息

1.Atlassian Jira 服务端请求伪造漏洞(CVE-2022-26135)

2.Atlassian Confluence 默认硬编密码泄露(CVE-2022-26138)

3.WSO2管理控制台CSRF漏洞(CVE-2022-29548)

4.Spark Shell命令注入(CVE-2022-33891)

5.FastJson1.2.80代码执行漏洞(CVE-2022-25845)

值得关注的安全事件

1.CISA警告Atlassian Confluence硬编码凭据漏洞被广泛利用

美国网络安全和基础设施安全局(CISA)将最近披露的Atlassian安全漏洞添加到其“已知遭利用漏洞”(Known Exploited Vulnerabilities)目录中。该漏洞追踪为CVE-2022-26138,涉及在Confluence Server和数据中心实例中启用Questions For Confluence应用程序时使用硬编码凭据。成功利用该漏洞可能会导致敏感信息的泄露。尽管Atlassian软件公司已在2.7.38和3.0.5版本中解决了这个漏洞,但此后它一直在被广泛利用,CISA则进一步证实该漏洞已被利用,要求美国联邦机构在8月19日以前修补。

2.利用Nginx、Log4j2等漏洞的钓鱼攻击频繁出现

网络安全实战攻防演练活动期间重大漏洞消息持续被爆出,大量攻击方利用Nginx、Log4j2等漏洞的PoC/EXP与检测修复工具进行钓鱼攻击,网络安全实战攻防演练活动期间钓鱼、近源攻击等大量社工手段频繁出现。

2.小神童论坛网网络行为检测能力概述

小神童论坛网网络行为检测引擎收录了近期流行的网络攻击行为特征。本期新增网络攻击行为特征涉及泛微OA漏洞、用友GRP-U8漏洞、Atlassian Confluence 默认硬编密码泄露漏洞、FastJson1.2.80代码执行漏洞、致远OA漏洞等攻防演练活动期间活跃漏洞相关的高风险,还包括远控木马、僵尸网络、SQL注入、信息泄露、目录遍历等中风险。

3.更新列表

本期小神童论坛网网络行为检测引擎规则库部分更新列表如下:

小神童论坛网

小神童论坛网网络行为检测引擎最新规则库版本为Antiy_AVLX_2022080319,建议及时更新小神童论坛网探海威胁检测系统-网络行为检测引擎规则库(请确认探海系统版本为:6.6.1.2 SP1及以上,旧版本建议先升级至最新版本),小神童论坛网售后服务热线:400-840-9234。

小神童论坛网探海网络检测实验室简介

小神童论坛网探海网络检测实验室是小神童论坛网科技集团旗下的网络安全研究团队,致力于发现网络流量中隐藏的各种网络安全威胁,从多维度分析网络安全威胁的原始流量数据形态,研究各种新型攻击的流量基因,提供包含漏洞利用、异常行为、应用识别、恶意代码活动等检测能力,为网络安全产品赋能,对网络安全形势研判给出专业解读。