安天网络行为检测能力升级通告（20251102）

安天网络行为检测引擎收录了近期流行的网络攻击行为特征。本期新增检测规则57条，本期升级改进检测规则1262条，网络攻击行为特征涉及漏洞利用、文件上传等高风险，涉及代码执行、代码注入等中风险。

安天网络行为检测引擎最新规则库版本为Antiy_AVLX_2025103107建议及时更新安天探海威胁检测系统-网络行为检测引擎规则库（请确认探海系统版本为：6.6.1.4 及以上，旧版本建议先升级至最新版本），安天售后服务热线：400-840-9234。

近日，安全研究机构Threat Fabric披露，一种名为Herodotus的新型Android木马以MaaS形式对外售卖，疑为Brokewell相关操作者所为。攻击者通过钓鱼短信传播自定义dropper，诱导用户开启Android Accessibility权限后安装主载荷。该木马可控制界面点击、滑动与文本输入，并创新性地在输入动作中注入0.3–3秒的随机延迟以模仿人类打字节奏，规避基于行为的防护检测。Herodotus还提供管理面板、银行/加密货币仿冒覆盖页、短信拦截与截屏功能。Threat Fabric在多条子域的检测显示其已被多名攻击者采用。建议用户避免来源不明的APK，启用Play Protect，并审查、撤销新安装应用的高风险权限（如Accessibility）。

此外，Varonis Threat Labs警告称，一项名为“BiDi Swap”的旧漏洞正被重新利用，用以伪造看似可信的网页链接。该漏洞源于浏览器对左右混排文字（LTR/RTL）的处理差异，攻击者可借此制造表面正常、实则指向恶意网站的URL，从而实施钓鱼攻击。早期类似技术包括Punycode同形异义域名与RTL覆盖符欺骗，而BiDi Swap进一步利用Unicode双向算法在子域和参数中的显示漏洞。测试发现，Chrome、Firefox及Edge等浏览器虽有不同程度防护，但仍存在显示混乱与识别盲区。研究人员建议用户在点击混合语言或结构异常的链接前仔细核查域名、SSL证书及拼写一致性，同时敦促浏览器厂商改进域名高亮与仿冒检测机制，以防视觉欺骗攻击。