长亭百川云 - 文章详情

第二周开始了,这些新套路你见过没

微步在线

59

2024-08-08

===============================================================================================================================================================================

网络攻防没有尽头,但有持续无声的对抗。上一周结束,基于微步产品及服务,以及微步情报局的跟踪及研判,我们看到了这几个重要的趋势:

攻击远控情报

云函数锐减****,OSS仍********是主流,域前置类木马大幅增加****

恶意域名部分,基于微步威胁情报管理平台TIP、终端安全管理平台OneSEC、微步互联网安全接入服务OneDNS等产品检测与拦截,以及微步情报局分析研判,有两个重要发现:

  • 以“云函数”作为C2域名的情况锐减,微步情报局推测与云函数服务限制注册有关,预计后续域前置、IP直连等方式会相继增多;

  • 对象存储(Object Storage Service,OSS)作为恶意组件下载地址仍是主流,同时发现上周新增一些新的OSS服务地址。

红队工具

CS马为主,目前已捕获总计1500+CS木马,Rust类木马明显增加

微步情报局发现,上周红队工具**仍以CobaltStrike木马为主,**且微步云沙箱S捕获红队工具样本300+,CobaltStrike木马样本1500+。此外,Rust语言编写的木马因其逆向分析难度大和免杀效果更佳等特点,在今年得到了较往年更为广泛的应用。

另外,其他对抗分析技术进一步升级,如代码平坦化和混淆程度加重,对于安全分析人员而言,难度也将加大,但针对CS马应用更多的情况,微步云沙箱S高对抗场景下,CS马跑通率提升50%,能大幅提升CS检测,可参考:微步云沙箱送上一大波高频IOC

钓鱼主题

招聘、员工日常及业务仍是重灾区

基于微步情报局跟踪及研判分析,上周攻击IP特征行为以漏洞利用、扫描器扫描、端口扫描、Zgrab扫描、Nmap扫描、备份文件爆破为主,无明显变化;

攻击样本部分,主要围绕政企、机构等个体不同角色不同需求制造攻击样本,重点涵盖以下几大类,如:

  • 招聘/应聘简历:简历-**.pdf、****研究所应聘登记表 - 副本.exe、**金融(渠道经理).zip、**金融(渠道经理).zip、**有限公司社会招聘报名登记表.exe、个人简历.exe、应聘贵公司-投资开发部主管-***pdf.exe等;

  • 员工日常生活需要:***抢票助手.exe、快猫.rar 、****商业报销.PIF、**会议(去除 30 分钟限制).exe、****服务补丁升级包安装文件.rar等;

  • 员工工作业务相关:如集团网站隐私保护政策的疑问及建议.zip、关于***违规违纪问题处理意见的函.rar、化工项目现场安全员+**+*****.zip、情况说明.zip、《关于集团网络资产评估管理有关事项的通知》.exe、第三周周报.exe、测试 tdp (2).zip、集团“星火计划”推荐学员参加选拔考试通知_docx.exe、关于 2024 年公司财务调整的通知.exe、关于开展整治形式主义为基层减负有关工作情况摸底反馈函-个人(1).rar等。

漏洞爆发与利用

1day从发布补丁到利用时间变短

微步威胁感知平台TDP及威胁防御系统OneSIG检测到0day漏洞140+,Nday漏洞170+,涉及系统仍以OA系统、安全设备、中间件、网络设备为主。

据微步情报局研究发现,仍有不少攻击者使用Nday漏洞攻击成功,且1day漏洞从补丁发布到漏洞被利用时间变短,90%不超过24小时。此外,微步情报局持续会针对每条漏洞进行严谨人工研判与复现,为大家去伪存真,第一周对网传近100条漏洞信息进行验真,仅近七成为真实漏洞。


漏洞情报服务

对微步漏洞情报服务感兴趣

可扫描下方二维码

↓↓↓

点此电话咨询


· END ·

相关推荐
关注或联系我们
添加百川云公众号,移动管理云安全产品
咨询热线:
4000-327-707
百川公众号
百川公众号
百川云客服
百川云客服

Copyright ©2024 北京长亭科技有限公司
icon
京ICP备 2024055124号-2