该文章介绍了安天网络行为检测能力升级的相关内容,包括网络行为检测引擎的规则更新、近期网络流量威胁趋势以及值得关注的安全事件等。文章还提及了安天探海网络检测实验室的职责和近期活跃的安全漏洞信息。
安天基于流量侧数据跟踪分析网络攻击活动,识别和捕获恶意网络行为,并研发了相应的检测机制与方法,形成了自主创新的网络行为检测引擎。定期发布网络行为检测能力升级通告,帮助客户洞察网络安全威胁与趋势,并调整安全应对策略。
安天网络行为检测引擎最新规则库版本为Antiy_AVLX_2025010207。本期新增检测规则63条,升级改进检测规则124条,涉及变种木马、代码执行等高风险,以及SQL注入、文件写入等中风险的网络攻击行为特征。
近期出现了名为“双击劫持”的新型漏洞,攻击者利用JavaScript的Window Location对象在双击过程中将用户重定向至恶意页面,关闭原始窗口,实现UI操控攻击的隐蔽性提升。此外,安全研究员展示了利用Windows BitLocker漏洞(CVE-2023-21563)的攻击方法,通过PXE启动诱使设备遗忘加密密钥,从内存中提取数据。
文章中提到了多个值得关注的安全事件,包括LDAPNightmare漏洞PoC可导致未修复Windows服务器崩溃的利用方案、至少35款Chrome扩展被网络钓鱼攻击劫持并植入窃密代码等。
安天探海网络检测实验室是安天科技集团旗下的网络安全研究团队,致力于发现网络流量中隐藏的各种网络安全威胁,提供包括漏洞利用、异常行为、应用识别、恶意代码活动等检测能力,为网络安全产品赋能。
安天长期基于流量侧数据跟踪分析网络攻击活动,识别和捕获恶意网络行为,研发相应的检测机制与方法,积累沉淀形成了安天自主创新的网络行为检测引擎。安天定期发布网络行为检测能力升级通告,帮助客户洞察流量侧的网络安全威胁与近期恶意行为趋势,协助客户及时调整安全应对策略,赋能客户提升网络安全整体水平。安天网络行为检测引擎收录了近期流行的网络攻击行为特征。本期新增检测规则63条,升级改进检测规则124条,网络攻击行为特征涉及变种木马、代码执行等高风险,涉及SQL注入、文件写入等中风险。
安天网络行为检测引擎最新规则库版本为Antiy_AVLX_2025010207建议及时更新安天探海威胁检测系统-网络行为检测引擎规则库(请确认探海系统版本为:6.6.1.4 及以上,旧版本建议先升级至最新版本),安天售后服务热线:400-840-9234。
近日,研究人员近日披露了一种名为“双击劫持”(DoubleClickjacking)的新型漏洞。这一基于时间的攻击手法利用双击序列,成功绕过点击劫持防护措施,如X-Frame-Options头和SameSite: Lax/Strict
Cookie。攻击者通过恶意网站诱导用户双击,利用JavaScript的Window Location对象在双击过程中将用户重定向至恶意页面,并关闭原始窗口,使用户在不知情的情况下完成权限授权。这种方法显著提升了UI操控攻击的隐蔽性,可能导致账户接管和敏感数据泄露。研究人员指出,传统防护机制通常只针对单次点击,无法应对“双击劫持”。研究人员建议通过客户端方案,如要求鼠标手势或键盘输入来激活按钮,防止此类攻击。
此外,安全研究员在德国混沌通信大会上展示了名为“Bitpixie”的攻击方法,可通过网络利用已修复的Windows BitLocker漏洞(CVE-2023-21563)。该攻击通过PXE启动诱使设备遗忘加密密钥,进而从内存中提取主密钥解密数据。研究表明,仅禁用BIOS网络功能才能有效防御此攻击。微软正尝试在安全补丁与设备兼容性间寻求平衡,但其计划在2026年停止当前引导认证的提议可能带来新的安全与兼容性挑战。
Red
Hat OpenShift 访问控制错误漏洞(CVE-2024-25133)IBM WebSphere Automation 操作系统命令注入漏洞(CVE-2024-54181)Foxit
Reader 释放后重用漏洞(CVE-2024-47810)
Apache
MINA反序列化远程代码执行漏洞(CVE-2024-52046)
Linux
kernel 函数错误漏洞(CVE-2024-53156)
LDAPNightmare漏洞PoC可致未修复Windows服务器崩溃
研究人员近日公布了首个针对CVE-2024-49112的零点击概念验证(PoC)漏洞利用方案。该漏洞是一个影响Windows轻量级目录访问协议(LDAP)的远程代码执行漏洞,CVSS评分高达9.8,可导致未修复的Windows服务器,包括域控制器(DC),在无需用户交互的情况下崩溃重启。攻击流程涉及攻击者通过DCE/RPC请求触发受害服务器发送DNS和NBNS查询,再通过特定CLDAP回应包引发LSASS服务崩溃。研究团队证实,微软于2024年12月发布的补丁已修复该漏洞的整数溢出问题。
近期曝光的网络钓鱼攻击导致至少35款Chrome扩展被劫持,受影响用户超过260万。攻击者通过伪造谷歌政策违规通知邮件,引导开发者点击恶意链接并授权虚假OAuth应用,获得Chrome扩展管理权限。随后,攻击者篡改扩展代码,植入窃取Facebook账户信息的恶意脚本,包括用户ID、访问令牌、广告账户信息等。恶意代码还通过监听Facebook用户行为,绕过双因素认证,劫持商业账户。此次攻击影响范围广泛,始于2024年3月并在年底愈发猖獗。专家建议开发者提高安全意识,谨慎核实官方通知来源,避免类似攻击风险。安天探海网络检测实验室是安天科技集团旗下的网络安全研究团队,致力于发现网络流量中隐藏的各种网络安全威胁,从多维度分析网络安全威胁的原始流量数据形态,研究各种新型攻击的流量基因,提供包含漏洞利用、异常行为、应用识别、恶意代码活动等检测能力,为网络安全产品赋能,研判网络安全形势并给出专业解读。
