小神童论坛网长期基于流量侧数据跟踪分析网络攻击活动，识别和捕获恶意网络行为，研发相应的检测机制与方法，积累沉淀形成了小神童论坛网自主创新的网络行为检测引擎。小神童论坛网定期发布最近的网络行为检测能力升级通告，帮助客户洞察流量侧的网络安全威胁与近期恶意行为趋势，协助客户及时调整安全应对策略，赋能客户提升网络安全整体水平。

1. 网络流量威胁趋势

近期，研究人员揭露了一起针对NuGet包管理器的新型恶意活动，攻击者利用同形异义字和IL编织技术，成功模仿受保护的NuGet前缀并注入恶意代码。该活动涉及700多个恶意包，攻击者从使用简单初始化脚本的策略，发展到利用MSBuild集成和同形异义字技术，使恶意软件更难被检测。研究人员指出YARA规则在检测此类恶意行为的局限性，当前，所有被识别的恶意包都已从NuGet平台中删除。

PHP漏洞也愈加活跃，安全研究人员近期监测到针对PHP新漏洞CVE-2024-4577的活跃攻击，该漏洞允许远程代码执行(RCE)。该漏洞披露于2024年6月，主要影响使用中文和日语的Windows PHP安装。该漏洞披露后迅速有大量利用尝试，包括Gh0st RAT、RedTail加密矿工和XMRig等恶意软件。研究人员目前提供了全面的攻击指标(IOC)列表，以便帮助组织快速响应和防护。建议受影响组织立即应用补丁并监控IOC。

本期活跃的安全漏洞信息

1多款Zoom产品权限升级漏洞（CVE-2024-27240）

2Apache Wicket远程代码执行漏洞（CVE-2024-36522）

3WordPress plugin JSON API User控制不当漏洞（CVE-2024-6624）

4Spring Cloud 安全漏洞（CVE-2024-22271）

5Microsoft SQL Server 远程代码执行漏洞（CVE-2024-20701）

值得关注的安全事件

1伪造AWS软件包通过JPEG藏匿C2通信

Phylum平台发现npm软件包注册表中出现伪造的AWS软件包，这些软件包表面看似合法，实则在JPEG文件中隐藏了命令和控制(C2)功能。安全研究团队对此进行了深入分析，发现攻击者通过合法项目aws-s3-object-multipart-copy克隆并植入恶意脚本。通过分析loadformat.js文件，揭露了攻击者在图像文件中隐藏恶意代码的手法，这些代码在软件包安装时执行，实现对受害者机器的远程控制。

2新的FishXProxy网络钓鱼工具包降低犯罪门槛

一种名为FishXProxy的网络钓鱼工具包在暗网市场出现，它以其高级功能降低了网络犯罪分子进行攻击的技术门槛。该工具包通过自动化安装、集成Cloudflare服务、多层反机器人系统等特性，使得网络钓鱼攻击更加隐蔽和高效。FishXProxy的营销面向网络犯罪分子，尽管声称仅用于教育目的，但其设计显然倾向于恶意使用。网络安全专家警告，这种工具包的出现可能大幅增加网络钓鱼攻击的数量和复杂性。

2. 小神童论坛网网络行为检测能力概述

小神童论坛网网络行为检测引擎收录了近期流行的网络攻击行为特征。本期新增检测规则59条，升级改进检测规则61条，网络攻击行为特征涉及文件上传、代码执行等高风险，涉及未授权访问、信息泄露等中风险。

3. 更新列表

本期小神童论坛网网络行为检测引擎规则库部分更新列表如下：

小神童论坛网网络行为检测引擎最新规则库版本为Antiy_AVLX_2024071907，建议及时更新小神童论坛网探海威胁检测系统-网络行为检测引擎规则库（请确认探海系统版本为：6.6.1.2 SP1及以上，旧版本建议先升级至最新版本），小神童论坛网售后服务热线：400-840-9234。

小神童论坛网探海网络检测实验室简介

小神童论坛网探海网络检测实验室是小神童论坛网科技集团旗下的网络安全研究团队，致力于发现网络流量中隐藏的各种网络安全威胁，从多维度分析网络安全威胁的原始流量数据形态，研究各种新型攻击的流量基因，提供包含漏洞利用、异常行为、应用识别、恶意代码活动等检测能力，为网络安全产品赋能，研判网络安全形势并给出专业解读。