首頁 > 技術支持 > 升級公告 > 每周升級公告

2019-06-22

發布時間 2019-06-22

新增事件


事件名稱:

TCP_NSA_EternalChampion_(永恒冠軍)_SMB遠程代碼執行漏洞Sync_Response[MS17-010]

事件級別:

高級事件

安全類型:

安全漏洞

事件描述:

檢測到源IP主機正在利用Microsoft Windows SMB遠程代碼執行漏洞進行攻擊的行為。

Microsoft Windows是微軟發布的非常流行的操作系統。

如果攻擊者向 Microsoft 服務器發送經精心構造的畸形請求包,可以獲取目標服務器的系統權限,并且完全控制目標系統。

更新時間:

20190622

默認動作:

丟棄

 

事件名稱:

TTCP_NSA_EternalChampion_(永恒冠軍)_SMB遠程代碼執行漏洞Sync_Request[MS17-010]

事件級別:

高級事件

安全類型:

安全漏洞

事件描述:

檢測到源IP主機正在利用Microsoft Windows SMB遠程代碼執行漏洞進行攻擊的行為。

Microsoft Windows是微軟發布的非常流行的操作系統。

如果攻擊者向 Microsoft 服務器發送經精心構造的畸形請求包,可以獲取目標服務器的系統權限,并且完全控制目標系統。

更新時間:

20190622

默認動作:

丟棄

 

事件名稱:

TCP_NSA_EternalRomance_(永恒浪漫)_SMB遠程代碼執行漏洞3[MS17-010]

事件級別:

高級事件

安全類型:

安全漏洞

事件描述:

檢測到源IP主機正在利用Microsoft Windows SMB遠程代碼執行漏洞進行攻擊的行為。

Microsoft Windows是微軟發布的非常流行的操作系統。

如果攻擊者向 Microsoft 服務器發送經精心構造的畸形請求包,可以獲取目標服務器的系統權限,并且完全控制目標系統。

更新時間:

20190622

默認動作:

丟棄

 

事件名稱:

TCP_NSA_EternalRomance_(永恒浪漫)_SMB遠程代碼執行漏洞2[MS17-010]

事件級別:

高級事件

安全類型:

安全漏洞

事件描述:

檢測到漏洞利用工具包Rig試圖下載惡意軟件,源IP主機正在瀏覽的網頁很可能被植入了惡意的腳本代碼,被定向到漏洞利用工具包Rig的頁面,導致下載惡意軟件。

Exploit Kit是漏洞利用工具包,預打包了安裝程序、控制面板、惡意代碼以及相當數量的攻擊工具。一般來說,Exploit Kit會包含一系列不同的漏洞利用代碼。攻擊者會向合法的網站注入惡意的腳本或代碼,以重定向到Exploit Kit頁面。受害者瀏覽網頁時即加載Exploit Kit的各種漏洞利用代碼,最終下載其它惡意軟件。

Rig2014年出現的一款Exploit Kit即漏洞利用工具包,主要以Java,FlashSilverlight漏洞為目標。

更新時間:

20190622

默認動作:

丟棄

 

事件名稱:

TCP_NSA_EternalRomance_(永恒浪漫)_SMB遠程代碼執行漏洞1[MS17-010]

事件級別:

高級事件

安全類型:

安全漏洞

事件描述:

檢測到源IP主機正向目的主機上傳或下載jsp木馬

更新時間:

20190622

默認動作:

丟棄

 

事件名稱:

HTTP_木馬后門_ASP_webshell一句話木馬下載

事件級別:

高級事件

安全類型:

木馬后門

事件描述:

檢測到遠程執行命令中包含下載watchbog挖礦木馬行為

更新時間:

20190622

默認動作:

丟棄

 

事件名稱:

HTTP_Nexus_Repository_Manager_3遠程代碼執行漏洞[CVE-2019-7238]

事件級別:

高級事件

安全類型:

安全漏洞

事件描述:

Nexus Repository Manager用于搭建Maven私服,用于管理報告和文檔的項目管理軟件

更新時間:

20190622

默認動作:

丟棄

 


修改事件


事件名稱:

TCP_后門_Gh0st.DHLAR_連接

事件級別:

中級事件

安全類型:

木馬后門

事件描述:

檢測到后門試圖連接遠程服務器。源IP所在的主機可能被植入了后門DHLAR。

Gh0st.DHLAR是利用一個根據Gh0st遠控的源碼修改而來的后門,運行后可以完全控制被植入機器。

更新時間:

20190622

默認動作:

丟棄

 

事件名稱:

HTTP_僵尸網絡_MiraiXMiner_連接

事件級別:

中級事件

安全類型:

木馬后門

事件描述:

檢測到僵尸網絡MiraiXMiner試圖連接遠程服務器。源IP所在的主機可能被植入了MiraiXMiner。

MiraiXMiner是一個仍然活躍著的僵尸網絡,融合了多種已知病毒家族,包括Mirai、MyKings、遠控、挖礦等。利用永恒之藍漏洞、閉路電視物聯網設備漏洞、MSSQL漏洞、RDP爆破和Telnet爆破等方式傳播自身。

更新時間:

20190622

默認動作:

丟棄

 

事件名稱:

TCP_NSA_Windows_SMB_DoublePulsar植入成功2

事件級別:

高級事件

安全類型:

木馬后門

事件描述:

檢測到通過MS17-010的漏洞植入DoublePulsar后門的行為。

Microsoft Windows是美國微軟(Microsoft)公司發布的一系列操作系統。SMBv1 server是其中的一個服務器協議組件。DoublePulsar是一個后門程序,用于在已感染的系統上注入和運行惡意代碼。

Microsoft Windows中的SMBv1服務器存在遠程代碼執行漏洞。遠程攻擊者可借助特制的數據包利用該漏洞植入DoublePulsar后門。

更新時間:

20190622

默認動作:

丟棄

 

事件名稱:

HTTP_木馬后門_webshell_china_chopper_customize控制命令

事件級別:

中級事件

安全類型:

木馬后門

事件描述:

該事件表明源IP地址主機上的中國菜刀客戶端正在向目的IP地址主機上的webshell服務器端發出控制命令。

webshellweb入侵的腳本攻擊工具。簡單說,webshell就是一個用aspphp等編寫的木馬后門,攻擊者在入侵了一個網站后,常常將這些aspphp等木馬后門文件放置在網站服務器的web目錄中,與正常的網頁文件混在一起。然后攻擊者就可以用web的方式,通過該木馬后門控制網站服務器,包括上傳下載文件、查看數據庫、執行任意程序命令等。webshell可以穿越防火墻,由于與被控制的服務器或遠程主機交換的數據都是通過80端口傳遞的,因此不會被防火墻攔截。并且使用webshell一般不會在系統日志中留下記錄,只會在網站的web日志中留下一些數據提交記錄,管理員較難看出入侵痕跡。

更新時間:

20190622

默認動作:

丟棄

 

事件名稱:

HTTP_木馬后門_webshell_jsp_Runtime-reflect

事件級別:

中級事件

安全類型:

木馬后門

事件描述:

檢測到源IP主機正向目的主機上傳或下載jsp木馬

更新時間:

20190622

默認動作:

丟棄

 

事件名稱:

HTTP_fastjson_JSON反序列化_遠程代碼執行漏洞[CVE-2017-18349]

事件級別:

中級事件

安全類型:

安全漏洞

事件描述:

檢測到源IP主機正在利用fastjsonJSON反序列化遠程代碼執行漏洞對目的主機進行攻擊的行為,試圖通過傳入精心構造的惡意代碼或命令來入侵目的IP主機。

fastjson1.2.24以及之前版本存在遠程代碼執行高危安全漏洞。開發者在使用fastjson時,如果編寫不當,可能導致JSON反序列化遠程代碼執行漏洞。攻擊者通過發送一個精心構造的JSON序列化惡意代碼,當程序執行JSON反序列化的過程中執行惡意代碼,從而導致遠程代碼執行。

更新時間:

20190622

默認動作:

丟棄

 

事件名稱:

TCP_Oracle_WebLogic_反序列化漏洞[CVE-2015-4852/2018-2628]

事件級別:

中級事件

安全類型:

木馬后門

事件描述:

檢測到源IP利用weblogic反序列化漏洞進行攻擊的行為

Oracle Weblogic Server是應用程序服務器。

Oracle WebLogic Server 10.3.6.0, 12.1.2.0, 12.1.3.0, 12.2.1.0版本中,WLS Security組件允許遠程攻擊者執行任意命令。攻擊者通過向TCP端口7001發送T3協議流量,其中包含

精心構造的序列化Java對象利用此漏洞。此漏洞影響到WLS Security Handler的文件

oracle_common/modules/com.bea.core.apache.commons.collections.jar內一個未知的函數。

更新時間:

20190622

默認動作:

丟棄

  

事件名稱:

HTTP_木馬后門_ASP_webshell一句話木馬上傳

事件級別:

中級事件

安全類型:

木馬后門

事件描述:

檢測到源IP主機正向目的主機上傳ASP一句話木馬的行為

攻擊者嘗試向服務器上傳ASP一句話木馬文件,如果上傳成功將通過一句話木馬連接工具對服務器進行控制。

更新時間:

20190622

默認動作:

丟棄

 


刪除事件 


1. IMAP_find_緩沖區溢出攻擊嘗試[CVE-2000-0284] 
2. IMAP_list_緩沖區溢出攻擊嘗試1[CVE-2000-0284]
3. TCP_Microsoft_UPnP_NOTIFY_緩沖區溢出攻擊[CVE-2001-0876]

上一篇 下一篇