首頁 > 技術支持 > 升級公告 > 每周升級公告

2018-07-06

發布時間 2018-07-06

新增事件

事件名稱:

TCP_木馬后門_Win32.Reaver_

事件級別:

中級事件

安全類型:

木馬后門

事件描述:

檢測到后門試圖連接遠程服務器。源IP所在的主機可能被植入了Reaver。 Reaver是一個后門,功能非常強大。運行后,可完全控制被植入機器。 

更新時間:

20180706

默認動作:

丟棄

事件名稱:

HTTP_WordPress_thumb參數任意文件刪除漏洞[CVE-2018-12895]

事件級別:

中級事件 

安全類型:

安全漏洞 

事件描述:

檢測到源IP主機正在利用WordPress thumb參數任意文件刪除漏洞攻擊目的IP主機的行為,試圖通過thumb參數傳入將要刪除文件的相對路徑,繼而通過文件刪除功能刪除任意文件。 WordPress是一種使用PHP語言開發的博客平臺。WordPress管理后臺可以上傳和刪除媒體文件,其中thumb參數用戶可控,攻擊者通過將參數修改為目標網站上的敏感文件,繼而通過刪除功能刪除敏感文件。例如,攻擊者通過刪除WordPress wp-config.php文件可以重新安裝WordPress網站。 

更新時間:

20180706

默認動作:

丟棄

事件名稱:

SNMP_Huawei/H3C交換機_管理密碼泄露漏洞[CVE-2012-3268]

事件級別:

中級事件 

安全類型:

網絡設備攻擊 

事件描述:

檢測到源IP主機正在利用Huawei、H3C交換機敏感信息泄露漏洞攻擊目的IP主機的行為,試圖通過向交換機發送SNMP管理命令獲取交換機敏感信息。 Huawei/H3C部分型號的交換機和路由器存在一個SNMP敏感信息泄露漏洞。攻擊者若能猜知設備所用SNMP共同體串(Community String),通過對特定OID的SNMP請求,則可利用此漏洞取得目標設備的用戶名、密碼、密碼存儲方式以及用戶權限級別等敏感信息,進一步有可能得到對系統的控制。

更新時間:

20180706

默認動作:

丟棄

修改事件

事件名稱:

TCP_后_VBS.H.Worm.Rat_

事件級別:

中級事件

安全類型:

木馬后門

事件描述:

檢測到木馬試圖連接遠程服務器。源IP所在的主機可能被植入了木馬。 H-worm是一個基于VBS語言的后門,功能非常強大。H-worm借鑒了njRAT的開源代碼,服務端為使用VBS腳本編寫的蠕蟲病毒,適用于Windows全系操作系統并且使用了比較先進的User-Agent傳遞數據的方式,主要傳播方式有三種:電子郵件附件、惡意鏈接和被感染的U盤傳播,蠕蟲式的傳播機制會形成大量的感染。因為其簡潔有效的遠控功能、非PE腳本易于免殺、便于修改等特性,一直被黑產所青睞而活躍至今。 

更新時間:

20180706

默認動作:

丟棄

事件名稱:

HTTP_木_FileUploader.winfont(白象)_

事件級別:

中級事件

安全類型:

木馬后門

事件描述:

檢測到木馬試圖連接遠程服務器。源IP所在的主機可能被植入了winfont。 winfont.exe為文檔收集模塊,主要功能為遍歷計算機目錄獲取特定文檔并發送給遠程服務器,該樣本會創建一個240000ms間隔的定時器,并每間隔240000ms遍歷特定后綴文件,最后構造POST包,將獲取的.doc, .docx, .xls, .xlsx, .pdf, .ppt, .pptx, .csv類型文件內容直接通過HTTP表單提交的方式發送至遠程服務器。 

更新時間:

20180706

默認動作:

丟棄

上一篇 下一篇