Sigma项目规则更新：新增恶意软件分发常用域名检测

随着网络威胁形势的不断演变，攻击者越来越多地利用各类云服务和开发者平台作为恶意软件分发渠道。近期，微软安全团队发布报告指出，攻击者正在滥用onrender.com、glitch.me和supabase.co等开发者托管服务来传播恶意软件。针对这一趋势，Sigma项目已对相关检测规则进行了重要更新。

攻击手法分析

攻击者通常采用以下技术手段利用这些平台：

1. 在这些托管服务上创建独特子域名项目（如test-project.onrender.com）
2. 将项目连接到GitHub Pages仓库
3. 通过该子域名托管恶意文件
4. 利用合法服务的信誉绕过传统安全检测

这种技术使恶意文件能够通过看似合法的开发者服务域名进行分发，增加了检测难度。

Sigma规则更新内容

Sigma项目对多个Windows系统下载行为检测规则进行了扩展，新增了对以下域名的检测：

• onrender.com
• glitch.me
• supabase.co

更新的规则覆盖了多种下载技术场景，包括：

• BITS客户端传输检测
• bitsadmin工具下载行为监控
• 可疑文件流创建检测
• certutil工具异常使用
• wget/curl下载行为分析
• 异常网络连接检测
• 可疑应用部署行为监控

技术意义

这些更新具有重要的安全价值：

1. 提高了对新型恶意软件分发渠道的检测能力
2. 覆盖了攻击者可能利用的多种技术手段
3. 增强了防御体系对"living off the land"攻击的识别能力
4. 有助于发现早期入侵迹象

防御建议

安全团队可以采取以下措施增强防御：

1. 及时更新Sigma规则库
2. 监控企业网络中对这些域名的异常访问
3. 分析下载行为的上下文信息
4. 结合其他检测信号进行关联分析
5. 对开发者平台的使用制定安全策略

此次规则更新体现了Sigma项目对新兴威胁的快速响应能力，为安全团队提供了对抗高级威胁的新工具。建议用户及时部署这些更新以增强防御能力。