首頁 > 技術支持 > 升級公告 > 每周升級公告

2018-08-23

發布時間 2018-08-23

新增事件


事件名稱:

TCP_木馬后門_DMShell++_連接

事件級別:

中級事件

安全類型:

木馬后門

事件描述:

檢測到DMShell++試圖連接遠程服務器。源IP所在的主機可能被植入了DMShell++。 DMShell ++是一個用PowerShell編寫的后門程序。當DMShell++和服務器建立TCP連接后,首先調用SendLoginInfo函數,該函數以TOKEN | * | IP ADDRESS | * | WINDOWS VERSION | * | USER NAME的形式向C2服務器發送有關系統的信息。一旦發送了第一個數據包,腳本就會進入無限循環,等待來自C2服務器的命令。

更新時間:

20180823

默認動作:

丟棄

事件名稱:

TCP_后門_Win32.NewCore_連接

事件級別:

中級事件

安全類型:

木馬后門

事件描述:

檢測到NewCore試圖連接遠程服務器。源IP所在的主機可能被植入了NewCore。 NewCore是一個非常強大的后門,運行后可完全控制被植入機器。NewCore的核心模塊是從C&C服務器上下載下來的。

更新時間:

20180823

默認動作:

丟棄

事件名稱:

HTTP_Struts2_S2-057遠程代碼執行攻擊[CVE-2018-11776]

事件級別:

高級事件

安全類型:

安全漏洞

事件描述:

檢測到源IP主機正試圖通過Apache Struts2框架命令執行漏洞攻擊目的IP主機。 Apache Struts是美國阿帕奇(Apache)軟件基金會負責維護的一款用于創建企業級Java Web應用的開源框架。 Apache Struts 2.3至2.3.34版本與2.5至2.5.16版本中存在遠程命令執行漏洞。遠程攻擊者在對方Struts2的XML配置中的namespace值未設置且(Action Configuration)中未設置或用通配符namespace時利用該漏洞執行任意OGNL表達式。

更新時間:

20180823

默認動作:

丟棄

修改事件


事件名稱:

HTTP_WEB命令注入攻擊

事件級別:

中級事件

安全類型:

CGI攻擊 

事件描述:

檢測到源IP地址主機正在向目的IP地址主機進行命令注入攻擊。 Web命令注入攻擊就是WEB系統對用戶輸入的數據沒有進行嚴格的過濾就使用,從而給黑客留下了可乘之機,攻擊者可以在提交的數據中加入一些系統命令獲得服務器的敏感信息或者數據。

更新時間:

20180823

默認動作:

丟棄

事件名稱:

HTTP_后門_Win32.Neutrino_連接

事件級別:

中級事件

安全類型:

木馬后門 

事件描述:

檢測到木馬試圖連接遠程服務器。源IP所在的主機可能被植入了后門Neutrino。 Neutrino是一個僵尸網絡,功能非常強大,運行后可完全控制被植入機器。

更新時間:

20180823

默認動作:

丟棄

事件名稱:

TCP_后門_Win32.Remcos_連接

事件級別:

中級事件

安全類型:

木馬后門

事件描述:

檢測到木馬試圖連接遠程服務器。源IP所在的主機可能被植入了Remcos。 Remcos是一個功能強大的遠控,運行后可完全控制被植入機器。 

更新時間:

20180823

默認動作:

丟棄

事件名稱:

TCP_后門_Win32.Kortos_連接

事件級別:

中級事件

安全類型:

木馬后門

事件描述:

檢測到木馬試圖連接遠程服務器。源IP所在的主機可能被植入了Kortos。 Kortos是一個基于AutoIT腳本的后門,運行后可完全控制被植入機器。 

更新時間:

20180823

默認動作:

丟棄

事件名稱:

HTTP_Malware_yty.Downloader_連接

事件級別:

中級事件

安全類型:

木馬后門

事件描述:

檢測到木馬試圖連接遠程服務器。yty.downloader是一個下載程序,負責檢索包含附加功能的模塊/插件。 yty是一種新的模塊化惡意軟件框架,主要關注文件收集,截圖和鍵盤記錄。

更新時間:

20180823

默認動作:

丟棄

事件名稱:

HTTP_Malware_yty_上傳信息

事件級別:

中級事件

安全類型:

木馬后門

事件描述:

檢測到木馬試圖連接遠程服務器。源IP所在的主機可能被植入了yty,正在上傳信息。 yty是一種新的模塊化惡意軟件框架,主要關注文件收集,截圖和鍵盤記錄。

更新時間:

20180823

默認動作:

丟棄

事件名稱:

HTTP_木馬_msfte(T-APT-02)_連接

事件級別:

中級事件

安全類型:

木馬后門

事件描述:

檢測到木馬試圖連接遠程服務器。源IP所在的主機可能被植入了msfte。 msfte是一個功能強大的木馬,主要功能有:插件加載、上傳插件收集的文件和接收C2下發的遠程控制命令。

更新時間:

20180823

默認動作:

丟棄

上一篇 下一篇