SigmaHQ项目规则更新：新增恶意软件托管站点检测

随着网络攻击技术的不断演进，攻击者正在利用各种云服务和开发平台作为恶意软件的托管站点。近期，微软安全团队发现攻击者开始利用onrender.com、glitch.me和supabase.co等开发平台来托管和分发恶意软件。

攻击手法分析

攻击者通常会在这些平台上创建独特的子域名（如test-project.onrender.com），然后将项目连接到他们的GitHub Pages仓库来托管恶意文件。这种手法具有以下特点：

1. 利用合法云服务的可信度绕过传统安全检测
2. 通过子域名快速创建和销毁恶意基础设施
3. 结合GitHub Pages实现动态内容托管
4. 能够快速更换托管位置以逃避封锁

Sigma规则更新内容

为了应对这种新型威胁，Sigma项目已对多个检测规则进行了更新，新增了对以下可疑域名的检测：

• onrender.com
• glitch.me
• supabase.co

这些域名被添加到了多个与下载行为相关的检测规则中，包括：

1. BITS客户端传输检测规则
2. bitsadmin下载检测规则
3. 可疑文件流创建检测规则
4. certutil下载检测规则
5. wget/curl下载检测规则
6. 网络连接检测规则

技术意义

此次规则更新具有重要的安全意义：

1. 扩大检测覆盖范围：涵盖了攻击者新采用的云服务平台
2. 提高检测时效性：在攻击手法公开后迅速响应
3. 增强防御深度：从多个维度（进程创建、网络连接、文件操作等）检测可疑活动
4. 降低误报率：通过精确的域名匹配减少误报

防御建议

对于安全团队而言，建议：

1. 及时更新Sigma规则集以获取最新检测能力
2. 监控这些平台子域名的异常访问
3. 结合其他检测手段（如文件哈希、行为分析）进行综合判断
4. 对开发人员加强安全意识教育，防止开发环境被滥用

此次规则更新体现了Sigma社区对新兴威胁的快速响应能力，也展示了开源安全项目在威胁检测领域的重要价值。安全团队应保持对这类规则更新的关注，及时部署以增强防御能力。