安天长期跟踪分析流量侧网络活动，甄别抓取恶意网络行为，研发配套新的检测方法与手段积累沉淀形成了安天自主创新的网络行为检测引擎。安天定期发布最近的网络行为检测能力升级通告，帮助客户洞察流量侧的网络安全威胁与近期恶意行为趋势，协助客户及时调整安全应对策略，赋能客户提升网络安全整体水平。

一、网络流量威胁趋势

近期多种僵尸网络持续活跃，跨平台MCCrash僵尸网络，使用独特的传播机制攻击Linux和Windows系统主机，并发起分布式拒绝服务攻击（DDoS），于此同时Glupteba僵尸网络被捣毁后再次活跃，在全球范围内感染设备，并一直持续活跃。

【本期活跃的安全漏洞信息】

Oracle Enterprise Data Quality信息泄露漏洞（CVE-2022-21615）

Windows Kerberos 特权提升漏洞（CVE-2022-37967）

Adobe FrameMaker堆缓冲区溢出漏洞（CVE-2022-35676）

Fortinet FortiOS SSLVPN远程代码执行漏洞（CVE-2022-42475）

【值得关注的安全事件】

(1) 知名虚拟环境备份软件存在RCE漏洞且被在野利用

近日，研究人员发现Veeam Backup & Replication应用程序存在CVE-2022-26500、CVE-2022-26501、CVE-2022-26504多个严重远程代码执行漏洞，且已经观察到多个攻击者将这些漏洞武器化用于真实的网络攻击。Veeam Backup & Replication作为一款备份应用程序，适用于基于VMware vSphere、Nutanix AHV 和 Microsoft Hyper-V 管理程序构建的虚拟环境，此外它还可以用于保护和恢复 Exchange 和 SharePoint 等环境的重要文件和应用程序。

(2) 新型跨平台MCCrash僵尸网络对Minecraft游戏服务器发动DDos攻击

近日，安全研究人员跟踪到一个跨平台的MCCrash僵尸网络，该僵尸网络正在感染Windows、Linux 和物联网设备，并对Minecraft（我的世界）服务器发起分布式拒绝服务 (DDoS) 攻击。由于物联网设备通常不被作为僵尸网络的一部分进行监控，从而大大增加了它的影响并降低了被检测到的风险，因此物联网设备可能面临被这种僵尸网络攻击的风险。

二、安天网络行为检测能力概述

安天网络行为检测引擎收录了近期流行的网络攻击行为特征。本期新增网络攻击行为特征涉及远程代码执行、反序列化代码执行、代码注入攻击等高风险，涉及一句话木马、钓鱼网站、远控木马等中风险，还包括侦察探测、信息收集等低风险。  

三、更新列表

本期安天网络行为检测引擎规则库部分更新列表如下：

安天网络行为检测引擎最新规则库版本为Antiy_AVLX_2022122119，建议及时更新安天探海威胁检测系统-网络行为检测引擎规则库（请确认探海系统版本为：6.6.1.2 SP1及以上，旧版本建议先升级至最新版本），安天售后服务热线：400-840-9234。

安天探海网络检测实验室简介

安天探海网络检测实验室是安天科技集团旗下的网络安全研究团队，致力于发现网络流量中隐藏的各种网络安全威胁，从多维度分析网络安全威胁的原始流量数据形态，研究各种新型攻击的流量基因，提供包含漏洞利用、异常行为、应用识别、恶意代码活动等检测能力，为网络安全产品赋能，研判网络安全形势并给出专业解读。