小神童论坛网网络行为检测能力升级通告(20221002)

时间:2022年10月02日    来源:小神童论坛网


小神童论坛网长期跟踪分析流量侧网络活动,甄别抓取恶意网络行为,研发配套新的检测方法与手段积累沉淀形成了小神童论坛网自主创新的网络行为检测引擎。小神童论坛网定期发布最近的网络行为检测能力升级通告,帮助客户洞察流量侧的网络安全威胁与近期恶意行为趋势,协助客户及时调整安全应对策略,赋能客户提升网络安全整体水平。

1. 网络流量威胁趋势

供应链持续出现安全问题令人担忧,借助开源组件实施网络攻击的恶意行为明显增多,开源组件的安全应进一步得到重视。同时,网络攻击面已从传统边界设备延伸至摄像头、网关等物联网设备,物联网设备漏洞利用率持续增长,攻击手段也从代码植入、命令执行演变至社工手段,需防范设备突然弹出登陆界面。

网络攻击热度主要集中在注入类、访问控制及安全口令类的漏洞利用行为,另外混淆式钓鱼邮件检出量呈增长趋势。

本期活跃的安全漏洞信息

1Adobe Bridge缓冲区溢出漏洞(CVE-2022-35700)

2WordPress Advanced Uploader plugin任意文件上传漏洞(CVE-2022-1103)

3TOTOLINK A7100RU命令注入漏洞(CVE-2022-28579)

4Windows秘钥交换服务远程代码执行漏洞(CVE-2022-34721)

值得关注的安全事件

1攻击者利用WebLogic服务器传播挖矿木马

近日,安全研究人员发现Kinsing等挖矿木马家族正在利用Oracle WebLogic Server中最近披露的和较早的安全漏洞来传播加密货币挖掘恶意软件。Kinsing挖矿木马家族扫描易受攻击的服务器以将其加入僵尸网络,包括Redis、SaltStack、Log4Shell、Spring4Shell和Atlassian Confluence漏洞(CVE-2022-26134)。Kinsing参与者还通过错误配置的开放Docker守护程序API端口进行针对容器环境的活动,以启植入挖矿木马,并将恶意软件传播到其他容器和主机。

1研究人员发现影响数百万设备的固件漏洞

近日,安全研究人员发现了一批严重的固件漏洞,这些漏洞可允许攻击者持续访问数百万受影响的设备中的任何一个。研究人员在Insyde Software提供的InsydeH2O UEFI固件中发现了七个新的安全漏洞。受影响的代码被其他数十家公司使用,包括惠普、戴尔、英特尔、微软、富士通、Framework和Siemens等主要供应商。利用新漏洞需要本地特权操作系统访问,但其中许多仍被赋予“高危”等级。这些漏洞与系统管理模式(SMM)有关,它们可能导致信息泄露或任意代码执行。

值得关注的安全事件

1畅捷通 T+ 远程代码执行漏洞被用于勒索攻击

近日,畅捷通T+软件的0day漏洞,被“魔笛”黑客组织利用进行勒索攻击活动,导致数千台服务器遭受勒索软件攻击。未经身份认证的远程攻击者可利用该漏洞构造特定请求,上传恶意文件(如WebShell)至目标系统,从而执行任意代码。漏洞影响版本范围为畅捷通T+ <= v17.0。建议畅捷通T+软件产品用户及时安装官方漏洞补丁。

2超过 80,000 台海康威视摄像头易受到关键命令注入漏洞攻击

近日,安全研究人员发现了超过 80,000 多台海康威视摄像头容易受到关键命令注入漏洞的影响,该漏洞很容易通过发送到易受攻击的Web服务器的特制消息轻松利用。该漏洞被跟踪为 CVE-2021-36260,并由海康威视于2021年9月通过固件更新得到解决。但根据CYFIRMA发布的白皮书,100个国家/地区的2300个组织使用的数以万计的系统仍未应用该安全更新。据统计数量最多的易受攻击设备位于中国、美国、越南、英国和乌克兰等地区。

2. 小神童论坛网网络行为检测能力概述

小神童论坛网网络行为检测引擎收录了近期流行的网络攻击行为特征。本期新增网络攻击行为特征涉及钓鱼网站、反序列漏洞、远程命令执行等高风险,涉及目录遍历、SQL注入攻击、跨站脚本攻击、僵尸网络、木马等中风险。

3. 更新列表

本期小神童论坛网网络行为检测引擎规则库部分更新列表如下:

小神童论坛网

小神童论坛网网络行为检测引擎最新规则库版本为Antiy_AVLX_2022092819,建议及时更新小神童论坛网探海威胁检测系统-网络行为检测引擎规则库(请确认探海系统版本为:6.6.1.2 SP1及以上,旧版本建议先升级至最新版本),小神童论坛网售后服务热线:400-840-9234。

小神童论坛网探海网络检测实验室简介

小神童论坛网探海网络检测实验室是小神童论坛网科技集团旗下的网络安全研究团队,致力于发现网络流量中隐藏的各种网络安全威胁,从多维度分析网络安全威胁的原始流量数据形态,研究各种新型攻击的流量基因,提供包含漏洞利用、异常行为、应用识别、恶意代码活动等检测能力,为网络安全产品赋能,对网络安全形势研判给出专业解读。