小神童论坛网网络行为检测能力升级通告(20240707)

时间:2024年07月07日    来源:小神童论坛网


小神童论坛网长期基于流量侧数据跟踪分析网络攻击活动,识别和捕获恶意网络行为,研发相应的检测机制与方法,积累沉淀形成了小神童论坛网自主创新的网络行为检测引擎。小神童论坛网定期发布最近的网络行为检测能力升级通告,帮助客户洞察流量侧的网络安全威胁与近期恶意行为趋势,协助客户及时调整安全应对策略,赋能客户提升网络安全整体水平。

1. 网络流量威胁趋势

近期,研究人员发现原本潜伏的、动机不明的点对点恶意软件僵尸网络P2PInfect最近开始变得活跃起来,在对Redis服务器的攻击中部署了勒索软件模块和加密矿工,研究人员声称有证据表明该恶意软件以“雇佣僵尸网络”的形式运行。从2024年5月16日开始,感染P2PInfect的设备开始收到从指定URL下载并运行勒索软件负载(rsagen)的指令,该命令有效期至2024年12月17日,勒索软件针对与数据库(SQL、SQLITE3、DB)、文档(DOC、XLS)和媒体文件(MP3、WAV、MKV)相关的特定扩展名的文件进行加密。

同时,研究人员发现威胁行为体使用搜索引擎优化(SEO)投毒技术在Google搜索结果页面上显示虚假网站,诱导毫无戒心的网站访问者下载包含Windows批处理脚本的ZIP存档,最终安装一个名为AdsExhaust的恶意广告软件,该广告软件能够从受感染的设备中窃取截图,并使用模拟按键与浏览器进行交互,例如自动点击广告或将浏览器重定向到特定的URL,从而为广告软件运营商创造收入。

本期活跃的安全漏洞信息

1Puppeteer Renderer 路径遍历漏洞(CVE-2024-36527)

2Progress MOVEit Transfer身份认证绕过漏洞(CVE-2024-5806)

3WordPress WP-Recall SQL注入漏洞(CVE-2024-32709)

4Apache HTTP Server 代码问题漏洞(CVE-2024-38477)

5OpenSSH远程代码执行漏洞(CVE-2024-6387)

值得关注的安全事件

1研究人员揭露新型勒索软件组织VolcanoDemon

安全研究人员揭露了一个新的勒索软件组织VolcanoDemon,该组织在过去两周内发动了数起攻击。VolcanoDemon使用名为LukaLocker的加密器,特别针对带有.nba文件扩展名的文件进行加密。攻击者在攻击前清除了日志,使得取证评估受限。此外值得注意的是,该勒索组织通过频繁的电话与受害者的领导层和IT高管进行勒索和协商,目前尚不清楚 Volcano Demon是独立运作还是某个已知勒索软件组织的附属机构。

2小神童论坛网发布《OpenSSH远程代码执行漏洞(CVE-2024-6387)风险提示》

近日,小神童论坛网CERT监测发现OpenSSH修复了一个远程代码执行漏洞(CVE-2024-6387),该漏洞是由于OpenSSH服务器(sshd)中的信号处理程序竞争问题导致,未经身份验证的攻击者可以利用此漏洞在Linux系统上以root身份执行任意代码,目前该漏洞技术细节(含PoC)已在互联网上公开。且有近千万个OpenSSH实例在互联网公开,建议受漏洞影响的用户及时升级至最新版本修复该漏洞,或采用安全防护措施加强防护能力,防范网络攻击。

2. 小神童论坛网网络行为检测能力概述

小神童论坛网网络行为检测引擎收录了近期流行的网络攻击行为特征。本期新增检测规则77条,升级改进检测规则85条,网络攻击行为特征涉及变种木马、代码执行等高风险,涉及SQL注入、文件写入等中风险。

3. 更新列表

本期小神童论坛网网络行为检测引擎规则库部分更新列表如下:

小神童论坛网

小神童论坛网网络行为检测引擎最新规则库版本为Antiy_AVLX_2024070507建议及时更新小神童论坛网探海威胁检测系统-网络行为检测引擎规则库(请确认探海系统版本为:6.6.1.2 SP1及以上,旧版本建议先升级至最新版本),小神童论坛网售后服务热线:400-840-9234。

小神童论坛网探海网络检测实验室简介

小神童论坛网探海网络检测实验室是小神童论坛网科技集团旗下的网络安全研究团队,致力于发现网络流量中隐藏的各种网络安全威胁,从多维度分析网络安全威胁的原始流量数据形态,研究各种新型攻击的流量基因,提供包含漏洞利用、异常行为、应用识别、恶意代码活动等检测能力,为网络安全产品赋能,研判网络安全形势并给出专业解读。