安天长期基于流量侧数据跟踪分析网络攻击活动,识别和捕获恶意网络行为,研发相应的检测机制与方法,积累沉淀形成了安天自主创新的网络行为检测引擎。安天定期发布网络行为检测能力升级通告,帮助客户洞察流量侧的网络安全威胁与近期恶意行为趋势,协助客户及时调整安全应对策略,赋能客户提升网络安全整体水平。安天网络行为检测引擎收录了近期流行的网络攻击行为特征。本期新增检测规则150条,本期升级改进检测规则180条,网络攻击行为特征涉及代码执行、代码注入等高风险,涉及漏洞利用、文件上传等中风险。
安天网络行为检测引擎最新规则库版本为Antiy_AVLX_2026012207建议及时更新安天探海威胁检测系统-网络行为检测引擎规则库(请确认探海系统版本为:6.6.1.4 及以上,旧版本建议先升级至最新版本),安天售后服务热线:400-840-9234。
近日,研究人员发现类ClickFix攻击手法“CrashFix”,攻击者通过伪装成广告拦截器的恶意Chrome扩展“NexShield – Advanced Web Protection”实施攻击,该扩展曾上架官方应用商店,目前已被下架但存在更名复现风险。扩展安装后会向拼写错误的nexsnield[.]com回传数据,借助Chrome闹钟接口延迟60分钟启动恶意行为,通过循环创建端口连接耗尽资源致浏览器崩溃。浏览器重启后,会弹出诱导弹窗,唆使用户通过Win+R粘贴执行剪贴板中的恶意命令。攻击会检测设备是否加入域,对企业设备植入ModeloRAT远程控制木马。
此外,GootLoader恶意软件通过拼接数百个ZIP文件生成畸形压缩包,以此绕过安全检测,作为初始访问工具为勒索软件团伙提供入口,占近年绕过检测恶意软件的11%。该恶意软件隶属2014年活跃至今的GootKit家族,由Mandiant追踪的UNC2565组织操控,采用访问即服务模式,可分发多款勒索软件及木马。2025年11月重现后,其已关联Vanilla Tempest和Rhysida勒索软件,利用500至1000个串联ZIP文件构造畸形包,借Windows默认解压工具可读取特性规避检测。攻击经编码文件诱导下载,解码生成恶意ZIP,运行其中JScript文件后持久化并通过PowerShell扩散。Microsoft Windows Virtualization-Based Security (VBS)信息泄漏漏洞(CVE-2026-20819)Microsoft Windows Virtualization-Based Security (VBS)权限提升漏洞(CVE-2026-20938)Microsoft Windows Kernel信息泄漏漏洞(CVE-2026-20818)
n8n远程代码执行漏洞(CVE-2026-21877)
Google Golang拒绝服务漏洞(CVE-2025-58181)
近期,安天监测到游蛇(银狐)黑产组织活动主要通过搜狗输入法、汽水音乐、谷歌浏览器等仿冒网站传播,主要手法是程序自解压包内含一个正常软件的安装包和一个恶意程序,恶意程序释放“白加黑”组件,黑DLL采取VMP加壳的方式进行保护。微软宣布联合欧洲刑警组织、德国等多国机构,通过跨国行动瓦解大型网络犯罪虚拟桌面服务RedVDS,冻结其基础设施并关停交易平台。该平台自2019年起以犯罪即服务模式运营,月费低至24美元,向多个黑客团伙提供可操控虚拟Windows服务器,关联2025年3月以来美国境内至少4000万美元损失。其虚拟机均克隆自同一镜像,留下独特指纹便于追踪,服务器遍布多国以规避地域防护。黑客借助该平台发送钓鱼邮件、实施诈骗,甚至用AI生成钓鱼内容,四个月内攻陷近20万个微软账号。安天探海网络检测实验室是安天科技集团旗下的网络安全研究团队,致力于发现网络流量中隐藏的各种网络安全威胁,从多维度分析网络安全威胁的原始流量数据形态,研究各种新型攻击的流量基因,提供包含漏洞利用、异常行为、应用识别、恶意代码活动等检测能力,为网络安全产品赋能,研判网络安全形势并给出专业解读。 
还没有评论,来说两句吧...