安天网络行为检测能力升级通告（20250209）

安天网络行为检测引擎收录了近期流行的网络攻击行为特征。本期新增检测规则 137 条 ，升级改进检测规则 55 条 ，网络攻击行为特征涉及 漏洞利用、代码执行 等高风险，涉及 文件上传、代码注入 等中风险。

近期，一项复杂的网络钓鱼活动被曝光，攻击者通过伪造Microsoft Active Directory联合身份验证服务（ADFS）登录页面，成功绕过多因素身份验证（MFA），窃取用户凭据。攻击者冒充公司IT团队，向目标发送带有紧急语气的电子邮件，诱导受害者进入与真实ADFS登录页面完全相同的钓鱼网站。受害者提交信息后，会被重定向至合法登录页面，以减少怀疑。攻击者则利用窃取的凭据登录账户，窃取数据并发起横向网络钓鱼攻击。安全专家建议引入额外的电子邮件过滤器和异常活动检测机制，以阻止此类攻击。

此外，2025年2月6日微软发布了一份安全报告，揭示了威胁行为体利用公开披露的ASP.NET机器密钥进行ViewState代码注入攻击的新威胁。通过这些公开密钥，攻击者生成恶意ViewState负载并注入目标服务器，在未经授权的情况下实现远程代码执行能力，并传播Godzilla后利用框架，用以执行命令或注入shellcode。微软调查发现，超过3000个公开披露的密钥可能面临滥用风险，这些密钥甚至可能来自公开的代码存储库和文档。为应对此类威胁，微软建议开发者避免使用公开资源中的密钥、定期轮换机器密钥，并加密配置文件中的敏感信息。

往期回顾