安天网络行为检测能力升级通告（20250105）

主要观点总结

该文章介绍了安天网络行为检测能力升级的相关内容，包括网络行为检测引擎的规则更新、近期网络流量威胁趋势以及值得关注的安全事件等。文章还提及了安天探海网络检测实验室的职责和近期活跃的安全漏洞信息。

关键观点总结

关键观点1: 安天网络行为检测能力概述

安天基于流量侧数据跟踪分析网络攻击活动，识别和捕获恶意网络行为，并研发了相应的检测机制与方法，形成了自主创新的网络行为检测引擎。定期发布网络行为检测能力升级通告，帮助客户洞察网络安全威胁与趋势，并调整安全应对策略。

关键观点2: 规则库更新

安天网络行为检测引擎最新规则库版本为Antiy_AVLX_2025010207。本期新增检测规则63条，升级改进检测规则124条，涉及变种木马、代码执行等高风险，以及SQL注入、文件写入等中风险的网络攻击行为特征。

关键观点3: 网络流量威胁趋势

近期出现了名为“双击劫持”的新型漏洞，攻击者利用JavaScript的Window Location对象在双击过程中将用户重定向至恶意页面，关闭原始窗口，实现UI操控攻击的隐蔽性提升。此外，安全研究员展示了利用Windows BitLocker漏洞（CVE-2023-21563）的攻击方法，通过PXE启动诱使设备遗忘加密密钥，从内存中提取数据。

关键观点4: 值得关注的安全事件

文章中提到了多个值得关注的安全事件，包括LDAPNightmare漏洞PoC可导致未修复Windows服务器崩溃的利用方案、至少35款Chrome扩展被网络钓鱼攻击劫持并植入窃密代码等。

关键观点5: 安天探海网络检测实验室简介

安天探海网络检测实验室是安天科技集团旗下的网络安全研究团队，致力于发现网络流量中隐藏的各种网络安全威胁，提供包括漏洞利用、异常行为、应用识别、恶意代码活动等检测能力，为网络安全产品赋能。

免责声明