首页
/ SigmaHQ项目规则更新:新增恶意软件托管站点检测

SigmaHQ项目规则更新:新增恶意软件托管站点检测

2025-05-25 14:39:06作者:农烁颖Land

随着网络攻击技术的不断演进,攻击者正在利用各种云服务和开发平台作为恶意软件的托管站点。近期,微软安全团队发现攻击者开始利用onrender.com、glitch.me和supabase.co等开发平台来托管和分发恶意软件。

攻击手法分析

攻击者通常会在这些平台上创建独特的子域名(如test-project.onrender.com),然后将项目连接到他们的GitHub Pages仓库来托管恶意文件。这种手法具有以下特点:

  1. 利用合法云服务的可信度绕过传统安全检测
  2. 通过子域名快速创建和销毁恶意基础设施
  3. 结合GitHub Pages实现动态内容托管
  4. 能够快速更换托管位置以逃避封锁

Sigma规则更新内容

为了应对这种新型威胁,Sigma项目已对多个检测规则进行了更新,新增了对以下可疑域名的检测:

  • onrender.com
  • glitch.me
  • supabase.co

这些域名被添加到了多个与下载行为相关的检测规则中,包括:

  1. BITS客户端传输检测规则
  2. bitsadmin下载检测规则
  3. 可疑文件流创建检测规则
  4. certutil下载检测规则
  5. wget/curl下载检测规则
  6. 网络连接检测规则

技术意义

此次规则更新具有重要的安全意义:

  1. 扩大检测覆盖范围:涵盖了攻击者新采用的云服务平台
  2. 提高检测时效性:在攻击手法公开后迅速响应
  3. 增强防御深度:从多个维度(进程创建、网络连接、文件操作等)检测可疑活动
  4. 降低误报率:通过精确的域名匹配减少误报

防御建议

对于安全团队而言,建议:

  1. 及时更新Sigma规则集以获取最新检测能力
  2. 监控这些平台子域名的异常访问
  3. 结合其他检测手段(如文件哈希、行为分析)进行综合判断
  4. 对开发人员加强安全意识教育,防止开发环境被滥用

此次规则更新体现了Sigma社区对新兴威胁的快速响应能力,也展示了开源安全项目在威胁检测领域的重要价值。安全团队应保持对这类规则更新的关注,及时部署以增强防御能力。

登录后查看全文
热门项目推荐
相关项目推荐