小神童论坛网网络行为检测能力升级通告(20240915)

时间:2024年09月15日    来源:小神童论坛网


小神童论坛网长期基于流量侧数据跟踪分析网络攻击活动,识别和捕获恶意网络行为,研发相应的检测机制与方法,积累沉淀形成了小神童论坛网自主创新的网络行为检测引擎。小神童论坛网定期发布最近的网络行为检测能力升级通告,帮助客户洞察流量侧的网络安全威胁与近期恶意行为趋势,协助客户及时调整安全应对策略,赋能客户提升网络安全整体水平。

1. 网络流量威胁趋势

近期,研究人员近期发现Gamaredon组织利用鱼叉式网络钓鱼邮件针对乌克兰军事人员进行攻击。这些邮件中包含恶意的XHTML附件,打开后会执行经过混淆处理的JavaScript代码,用于下载一个恶意的压缩文件。这个压缩文件中含有一个Windows快捷方式(LNK)文件,触发后会使用mshta.exe获取并执行托管在TryCloudflare上的tar压缩文件。目前研究人员未能捕获到具体的tar压缩文件,但Gamaredon组织在以往的攻击活动中通常会投递额外的恶意软件,用于窃取受害者的敏感信息。

此外,卡巴斯基创建了一种名为TDSSKiller的工具,该工具可以扫描系统中是否存在rootkit和bootkit。研究人员最近发现RansomHub勒索组织滥用TDSSKiller工具,通过命令行脚本或批处理文件与内核级服务进行交互,从而禁用运行在机器上的Malwarebytes反恶意软件服务(MBAMService)。然后,RansomHub组织部署LaZagne凭证收集工具,从各种应用程序数据库中提取登录信息,用于在网络中进行横向移动。

本期活跃的安全漏洞信息

1Microsoft SQL Server 访问控制错误漏洞(CVE-2024-37341)

2Red Hat Keycloak 授权问题漏洞(CVE-2024-7341)

3Kibana任意代码执行漏洞(CVE-2024-37288)

4Microsoft Azure Stack 访问控制错误漏洞(CVE-2024-38220)

5Mozilla Firefox和Mozilla Firefox ESR 类型混淆漏洞漏洞(CVE-2024-8381)

值得关注的安全事件

1研究人员披露Mallox勒索软件

Mallox勒索软件背后的攻击组织于2021年上半年开始运作,首个已知的加密样本被发现于2021年5月。该勒索软件是根据特定受害者定制的,目标公司的名称被硬编码在勒索信中并作为加密文件的扩展名。2023年,与Mallox勒索软件相关的攻击活动有所增加,发现的样本总数超过700个。2024年上半年,该恶意软件仍在积极开发中,每月发布多个新版本,同时,其背后的攻击组织也在暗网论坛中招募新的攻击者。

2迪士尼公司泄露的数据中包含财务及战略信息

今年夏天沃尔特·迪士尼公司(DIS.N)泄露的数据中含有财务和战略信息,以及一些员工和客户的个人身份信息。该公司在8月份表示,正在调查其一个通信系统中超过1TB数据的泄露事件。据报道,泄露的部分数据中包含其邮轮工作人员的护照号码、签证详情、地址和出生地,而另一份电子表格中则包含一些迪士尼邮轮乘客的姓名、地址和电话号码。泄露的文件还包括由Disney+和ESPN+等产品产生的收入详细信息、乐园定价优惠以及一些迪士尼云基础设施的登录凭证。据称,黑客组织NullBulge发布了该公司数千个Slack频道的数据,包括计算机代码和未发布项目的详细信息。

2. 小神童论坛网网络行为检测能力概述

小神童论坛网网络行为检测引擎收录了近期流行的网络攻击行为特征。本期新增检测规则60条,升级改进检测规则45条,网络攻击行为特征涉及变种木马、代码执行等高风险,涉及SQL注入、文件写入等中风险。

3. 更新列表

本期小神童论坛网网络行为检测引擎规则库部分更新列表如下:

小神童论坛网

小神童论坛网网络行为检测引擎最新规则库版本为Antiy_AVLX_2024091307,建议及时更新小神童论坛网探海威胁检测系统-网络行为检测引擎规则库(请确认探海系统版本为:6.6.1.2 SP1及以上,旧版本建议先升级至最新版本),小神童论坛网售后服务热线:400-840-9234。

小神童论坛网探海网络检测实验室简介

小神童论坛网探海网络检测实验室是小神童论坛网科技集团旗下的网络安全研究团队,致力于发现网络流量中隐藏的各种网络安全威胁,从多维度分析网络安全威胁的原始流量数据形态,研究各种新型攻击的流量基因,提供包含漏洞利用、异常行为、应用识别、恶意代码活动等检测能力,为网络安全产品赋能,研判网络安全形势并给出专业解读。