首頁 > 技術支持 > 升級公告 > 每周升級公告

2019-06-18

發布時間 2019-06-19

新增事件


事件名稱:

TCP_Oracle_WebLogic_反序列化漏洞[CNVD-C-2019-48814/CVE-2019-2725]

事件級別:

高級事件

安全類型:

安全漏洞

事件描述:

檢測到源IP利用weblogic反序列化漏洞進行攻擊的行為

更新時間:

20190618

默認動作:

丟棄

 

事件名稱:

TCP_Oracle_WebLogic_反序列化漏洞探測[CNVD-C-2019-48814/CVE-2019-2725]

事件級別:

高級事件

安全類型:

安全漏洞

事件描述:

檢測到源IP利用weblogic反序列化漏洞進行攻擊的行為

更新時間:

20190618

默認動作:

丟棄

 

事件名稱:

HTTP_Coremail_配置信息泄露漏洞[CNVD-2019-16798]

事件級別:

中級事件

安全類型:

安全漏洞

事件描述:

檢測到源IP正在利用Coremail_配置信息泄露漏洞進行攻擊的行為

更新時間:

20190618

默認動作:

丟棄

 

事件名稱:

HTTP_木馬后門_RigExploitKit_連接

事件級別:

中級事件

安全類型:

木馬后門

事件描述:

檢測到漏洞利用工具包Rig試圖下載惡意軟件,源IP主機正在瀏覽的網頁很可能被植入了惡意的腳本代碼,被定向到漏洞利用工具包Rig的頁面,導致下載惡意軟件。

Exploit Kit是漏洞利用工具包,預打包了安裝程序、控制面板、惡意代碼以及相當數量的攻擊工具。一般來說,Exploit Kit會包含一系列不同的漏洞利用代碼。攻擊者會向合法的網站注入惡意的腳本或代碼,以重定向到Exploit Kit頁面。受害者瀏覽網頁時即加載Exploit Kit的各種漏洞利用代碼,最終下載其它惡意軟件。

Rig2014年出現的一款Exploit Kit即漏洞利用工具包,主要以Java,FlashSilverlight漏洞為目標。

更新時間:

20190618

默認動作:

丟棄

 

事件名稱:

HTTP_木馬后門_webshell_jsp_string_byte變形

事件級別:

中級事件

安全類型:

木馬后門

事件描述:

檢測到源IP主機正向目的主機上傳或下載jsp木馬

更新時間:

20190618

默認動作:

丟棄

 

事件名稱:

HTTP_watchbog_挖礦木馬下載

事件級別:

高級事件

安全類型:

木馬后門

事件描述:

檢測到遠程執行命令中包含下載watchbog挖礦木馬行為

更新時間:

20190618

默認動作:

丟棄

 

事件名稱:

HTTP_Nexus_Repository_Manager_3遠程代碼執行漏洞[CVE-2019-7238]

事件級別:

高級事件

安全類型:

安全漏洞

事件描述:

Nexus Repository Manager用于搭建Maven私服,用于管理報告和文檔的項目管理軟件

更新時間:

20190618

默認動作:

丟棄


修改事件


事件名稱:

TCP_后門_njRat_連接

事件級別:

中級事件

安全類型:

木馬后門

事件描述:

檢測到木馬試圖連接遠程服務器。源IP所在的主機可能被植入了木馬。

njRAT是一個C#語言編寫的后門,功能異常強大,可完全控制被感染機器。目前已發現使用njRAT對中東國家發起攻擊的案例。主要針對能源、電信、政府等重要目標。

njRAT可以竊取敏感信息,如鍵盤記錄、主流瀏覽器(Firefox、Google Chrome、Opera)保存的密碼、焦點窗口標題等,也可以截取被感染機器桌面。

更新時間:

20190618

默認動作:

丟棄

 

事件名稱:

TCP_后門_Boer遠控_連接

事件級別:

中級事件

安全類型:

木馬后門

事件描述:

Boer遠控是一款國內的遠程控制軟件,可以對遠程主機進行任意操作。

特洛伊木馬(Trojan)是后門程序的一種。典型的木馬程序為服務器/客戶端結構,一般情況下入侵者通過利用某種漏洞取得主機的控制權后,設法在被攻擊的主機上運行木馬程序的服務器端,之后就可以從遠程利用客戶端程序通過對主機上的服務器端程序進行訪問而完全控制該主機,在管理員毫無所知的情況下執行任意程序、訪問任意文件等各種非法操作。因此木馬程序是一種危害極大的惡意程序,如果發現主機上存在木馬程序,則主機肯定已經遭到了入侵,需要盡快采取措施。

更新時間:

20190618

默認動作:

丟棄

 

事件名稱:

TCP_后門_VBS.H.Worm.Rat_連接

事件級別:

中級事件

安全類型:

木馬后門

事件描述:

檢測到木馬試圖連接遠程服務器。源IP所在的主機可能被植入了木馬。

H-worm是一個基于VBS語言的后門,功能非常強大。H-worm借鑒了njRAT的開源代碼,服務端為使用VBS腳本編寫的蠕蟲病毒,適用于Windows全系操作系統并且使用了比較先進的User-Agent傳遞數據的方式,主要傳播方式有三種:電子郵件附件、惡意鏈接和被感染的U盤傳播,蠕蟲式的傳播機制會形成大量的感染。因為其簡潔有效的遠控功能、非PE腳本易于免殺、便于修改等特性,一直被黑產所青睞而活躍至今。

更新時間:

20190618

默認動作:

丟棄

 

事件名稱:

UDP_后門_Win32.ZeroAcess_連接

事件級別:

中級事件

安全類型:

木馬后門

事件描述:

檢測到木馬試圖連接遠程服務器。

IP所在的主機可能被植入了木馬。

Win32.ZeroAcess是一個后門,運行后,注入其他進程。下載其他病毒或者配置信息或者模塊等或竊取敏感信息。

上報該事件有兩種可能,一是源主機被感染了,連接CC服務器;二是ZeroAcess服務器端通過shadan代理方式進行掃描行為,主要看源IP是否是本單位的IP地址。

更新時間:

20190618

默認動作:

丟棄

 

事件名稱:

HTTP_Trojan.Win32.Rombertik_連接

事件級別:

中級事件

安全類型:

木馬后門

事件描述:

檢測到木馬試圖連接遠程服務器。源IP所在的主機可能被植入了木馬Rombertik。

Rombertik是一個竊取敏感信息的木馬,具有高度復雜的逃避檢測和防止分析技術,還能夠刪除受害者硬盤數據,以使計算機無法正常使用。運行后把自身注入到瀏覽器進程,收集用戶瀏覽Web網站時的所有信息以及用戶登錄憑證和其他敏感數據。Rombertik主要通過郵件傳播。

更新時間:

20190618

默認動作:

丟棄

 

事件名稱:

TCP_木馬后門_Win32/Linux_ircBot_連接

事件級別:

中級事件

安全類型:

木馬后門

事件描述:

檢測到ircBot試圖連接遠程服務器。源IP所在的主機可能被植入了ircBot。

ircBot是基于irc協議的僵尸網絡,主要功能是對指定目標主機發起DDoS攻擊。還可以下載其他病毒到被植入機器。

更新時間:

20190618

默認動作:

丟棄

  

事件名稱:

HTTP_木馬后門_webshell_PHP_eval一句話webshell

事件級別:

中級事件

安全類型:

木馬后門

事件描述:

檢測到源IP主機正向目的主機上傳PHP eval一句話webshell木馬。

更新時間:

20190618

默認動作:

丟棄

 

事件名稱:

TTP_木馬后門_webshell_JSP_一句話木馬

事件級別:

中級事件

安全類型:

木馬后門

事件描述:

檢測到源IP主機正向目的主機上傳jsp cmd小馬。

更新時間:

20190618

默認動作:

丟棄

 

事件名稱:

HTTP_木馬后門_ASP_webshell一句話木馬

事件級別:

中級事件

安全類型:

木馬后門

事件描述:

檢測到源IP主機正向目的主機上傳ASP一句話木馬的行為

攻擊者嘗試向服務器上傳ASP一句話木馬文件,如果上傳成功將通過一句話木馬連接工具對服務器進行控制。

更新時間:

20190618

默認動作:

丟棄


刪除事件

 

1. POP3_FOXMAILD_USER_遠程緩沖區溢出漏洞利用[CVE-2005-0635/0636]


2. FTP_ArGoSoft_DELE_遠程緩沖區溢出漏洞利用[CVE-2005-0696]


3. TCP_CA服務器_GETCONFIG遠程溢出漏洞利用[CVE-2005-0581]


4. ICMP_固定源IP的PING_FLOOD攻擊


5. ICMP_PING主機分布掃描

上一篇 下一篇