2018-12-14

發布時間 2018-12-14

新增事件

事件名稱:

TCP_后門_Win32.TRat_連接

事件級別:

中級事件

安全類型:

木馬后門

事件描述:

檢測到后門試圖連接遠程服務器。源IP所在的主機可能被植入了后門TRat。 TRat是黑客組織TA505使用的一個后門,一般通過郵件傳播。

更新時間:

20181214

默認動作:

丟棄

事件名稱:

TCP_木馬后門_Win32.Shannel_連接

事件級別:

中級事件

安全類型:

木馬后門

事件描述:

檢測到木馬Shannel試圖連接遠程服務器。源IP所在的主機可能被植入了Shannel。 Shannel是一個功能強大的木馬,主要功能有:按鍵記錄,收集系統信息,下載并運行其它木馬后門,上傳文件,截取屏幕,刪除自身。Shannel運行后會向系統臨時目錄釋放惡意的LBTServ.dll,核心功能都在此dll里實現。

更新時間:

20181214

默認動作:

丟棄


事件名稱:

HTTP_木馬后門_Win32.Shannel_連接

事件級別:

中級事件

安全類型:

木馬后門

事件描述:

檢測到木馬Shannel試圖連接遠程服務器。源IP所在的主機可能被植入了Shannel。 Shannel是一個功能強大的木馬,主要功能有:按鍵記錄,收集系統信息,下載并運行其它木馬后門,上傳文件,截取屏幕,刪除自身。Shannel運行后會向系統臨時目錄釋放惡意的LBTServ.dll,核心功能都在此dll里實現。

更新時間:

20181214

默認動作:

丟棄


事件名稱:

HTTP_動態函數php小馬_上傳

事件級別:

中級事件

安全類型:

木馬后門

事件描述:

檢測到后門木馬腳本上傳

更新時間:

20181214

默認動作:

丟棄


事件名稱:

HTTP_assert函數拼接php小馬_上傳

事件級別:

中級事件

安全類型:

木馬后門

事件描述:

檢測到后門木馬腳本上傳

更新時間:

20181214

默認動作:

丟棄


事件名稱:

TCP_Konica_Minolta_FTP_Utility_1.0_ CWD_Command_Overflow[CVE-2015-7768]

事件級別:

中級事件

安全類型:

安全漏洞

事件描述:

檢測到源IP主機正試圖通過Konica_Minolta_FTP_Utility_1.0緩沖區溢出遠程代碼執行漏洞攻擊目的IP主機。

更新時間:

20181214

默認動作:

丟棄

修改事件

事件名稱:

TCP_后門_Win32.NewCore_連接

事件級別:

中級事件

安全類型:

木馬后門

事件描述:

檢測到NewCore試圖連接遠程服務器。源IP所在的主機可能被植入了NewCore。 NewCore是一個非常強大的后門,運行后可完全控制被植入機器。NewCore的核心模塊是從C&C服務器上下載下來的。

更新時間:

20181214

默認動作:

丟棄