安天网络行为检测能力升级通告(20260719)

时间:2026年07月19日    来源:安天


安天长期基于流量侧数据跟踪分析网络攻击活动,识别和捕获恶意网络行为,研发相应的检测机制与方法,积累沉淀形成了安天自主创新的网络行为检测引擎。安天定期发布最近的网络行为检测能力升级通告,帮助客户洞察流量侧的网络安全威胁与近期恶意行为趋势,协助客户及时调整安全应对策略,提升网络安全整体水平。

一、安天网络行为检测能力概述

安天网络行为检测引擎收录了近期流行的网络攻击行为特征。本期新增检测规则136条,本期升级改进检测规则10条,网络攻击行为特征涉及代码执行、代码注入等高风险,涉及漏洞利用、文件上传等中风险。

二、更新列表

本期安天网络行为检测引擎规则库部分更新列表如下:

安天网络行为检测引擎最新规则库版本为Antiy_AVLX_2026071607建议及时更新安天探海威胁检测系统-网络行为检测引擎规则库(请确认探海系统版本为:6.6.1.4 及以上,旧版本建议先升级至最新版本),安天售后服务热线:400-840-9234。

三、网络流量威胁趋势

近期,一场大规模的漏洞利用攻击活动正对全球范围内的多种内容管理系统(CMS)发起猛烈攻势。包括澳大利亚在内的多个国家均受到了波及,许多澳大利亚的中小型企业已深受其害。作为此次攻击活动的一部分,攻击者正积极扫描各类网站,以寻找部署 Webshell 的机会。他们利用了影响 CMS 软件及其插件的多种安全漏洞,这些漏洞主要包括:未经身份验证的文件上传、远程代码执行、服务端请求伪造以及反序列化漏洞。一旦 Webshell 成功部署,攻击者便可以远程访问并控制受害网页服务器。

此外,研究人员发现并深入分析了一款名为CrashStealer的macOS窃密木马。该窃密木马恶意伪装成苹果官方的崩溃报告框架,旨在搜集浏览器凭据、加密货币钱包以及Keychain数据。在将窃取的文件外泄至远程命令与控制服务器之前,该木马会使用AES-GCM算法对敏感数据进行本地加密。虽然它的攻击目标与现有的Atomic(AMOS)、MacSync以及Phexia等macOS窃密家族高度重合,但其底层的C++原生架构和客户端数据加密机制使其独树一帜。因此,安全团队将其定义为一个全新的独立恶意软件家族。

本期活跃的安全漏洞信息

1Adobe ColdFusion 路径遍历漏洞 (CVE-2026-48282)

2Mozilla Firefox/Thunderbird 代码执行漏洞 (CVE-2026-12327)

3OpenClaw 输入验证错误漏洞 (CVE-2026-53861)

4Adobe ColdFusion 任意文件上传漏洞 (CVE-2026-48283)

5Microsoft Windows 远程桌面服务权限管理错误漏洞 (CVE-2026-21533)

值得关注的安全事件

1CISA警告Joomla两个安全漏洞正遭受恶意利用

美国网络安全和基础设施安全局(CISA)发出紧急警告,指出攻击者正在积极利用Joomla内容管理系统的iCagenda和Balbooa Forms两款扩展程序中的安全漏洞。攻击者可通过任意文件上传实现远程代码执行。这两个漏洞是CVE-2026-48939和CVE-2026-56291。Joomla网站管理员应立即自查系统中是否安装了iCagenda或Balbooa Forms,并执行更新进行防御。

2攻击者利用多阶段LNK攻击植入后门程序

研究团队近期对客户环境中的一起安全告警展开了调查。该告警涉及一个包含Windows快捷方式的恶意ZIP压缩包,该快捷方式被用作初始传播媒介。一旦被触发,LNK文件便会执行一条隐藏的PowerShell命令,该命令会下载一个正版的node.exe二进制文件,并据此部署一个基于Node.JS的后门程序。此外,该恶意软件还采用了EtherHiding技术的变体,通过滥用TON区块链来动态获取其命令与控制服务器地址。

四、安天探海网络检测实验室简介

安天探海网络检测实验室是安天科技集团旗下的网络安全研究团队,致力于发现网络流量中隐藏的各种网络安全威胁,从多维度分析网络安全威胁的原始流量数据形态,研究各种新型攻击的流量基因,提供包含漏洞利用、异常行为、应用识别、恶意代码活动等检测能力,为网络安全产品赋能,研判网络安全形势并给出专业解读。