===============================================================================================================================================================================
网络攻防没有尽头,但有持续无声的对抗。上一周结束,基于微步产品及服务,以及微步情报局的跟踪及研判,我们看到了这几个重要的趋势:
攻击远控情报
云函数锐减****,OSS仍********是主流,域前置类木马大幅增加****
恶意域名部分,基于微步威胁情报管理平台TIP、终端安全管理平台OneSEC、微步互联网安全接入服务OneDNS等产品检测与拦截,以及微步情报局分析研判,有两个重要发现:
以“云函数”作为C2域名的情况锐减,微步情报局推测与云函数服务限制注册有关,预计后续域前置、IP直连等方式会相继增多;
对象存储(Object Storage Service,OSS)作为恶意组件下载地址仍是主流,同时发现上周新增一些新的OSS服务地址。
红队工具
CS马为主,目前已捕获总计1500+CS木马,Rust类木马明显增加
微步情报局发现,上周红队工具**仍以CobaltStrike木马为主,**且微步云沙箱S捕获红队工具样本300+,CobaltStrike木马样本1500+。此外,Rust语言编写的木马因其逆向分析难度大和免杀效果更佳等特点,在今年得到了较往年更为广泛的应用。
另外,其他对抗分析技术进一步升级,如代码平坦化和混淆程度加重,对于安全分析人员而言,难度也将加大,但针对CS马应用更多的情况,微步云沙箱S高对抗场景下,CS马跑通率提升50%,能大幅提升CS检测,可参考:微步云沙箱送上一大波高频IOC。
钓鱼主题
招聘、员工日常及业务仍是重灾区
基于微步情报局跟踪及研判分析,上周攻击IP特征行为以漏洞利用、扫描器扫描、端口扫描、Zgrab扫描、Nmap扫描、备份文件爆破为主,无明显变化;
攻击样本部分,主要围绕政企、机构等个体不同角色不同需求制造攻击样本,重点涵盖以下几大类,如:
招聘/应聘简历:简历-**.pdf、****研究所应聘登记表 - 副本.exe、**金融(渠道经理).zip、**金融(渠道经理).zip、**有限公司社会招聘报名登记表.exe、个人简历.exe、应聘贵公司-投资开发部主管-***pdf.exe等;
员工日常生活需要:***抢票助手.exe、快猫.rar 、****商业报销.PIF、**会议(去除 30 分钟限制).exe、****服务补丁升级包安装文件.rar等;
员工工作业务相关:如集团网站隐私保护政策的疑问及建议.zip、关于***违规违纪问题处理意见的函.rar、化工项目现场安全员+**+*****.zip、情况说明.zip、《关于集团网络资产评估管理有关事项的通知》.exe、第三周周报.exe、测试 tdp (2).zip、集团“星火计划”推荐学员参加选拔考试通知_docx.exe、关于 2024 年公司财务调整的通知.exe、关于开展整治形式主义为基层减负有关工作情况摸底反馈函-个人(1).rar等。
漏洞爆发与利用
1day从发布补丁到利用时间变短
微步威胁感知平台TDP及威胁防御系统OneSIG检测到0day漏洞140+,Nday漏洞170+,涉及系统仍以OA系统、安全设备、中间件、网络设备为主。
据微步情报局研究发现,仍有不少攻击者使用Nday漏洞攻击成功,且1day漏洞从补丁发布到漏洞被利用时间变短,90%不超过24小时。此外,微步情报局持续会针对每条漏洞进行严谨人工研判与复现,为大家去伪存真,第一周对网传近100条漏洞信息进行验真,仅近七成为真实漏洞。
漏洞情报服务
对微步漏洞情报服务感兴趣
可扫描下方二维码
↓↓↓
点此电话咨询
· END ·