首頁 > 技術支持 > 升級公告 > 每周升級公告

2019-12-31

發布時間 2019-12-31

新增事件


事件名稱:

TCP_后門_Gh0st_連接(掃描)

安全類型:

安全掃描

事件描述:

檢測到源IP主機在對目的IP主機進行掃描。

Gh0st遠控是一個國內的遠控程序,可以對遠程主機進行任意操作。

本事件報警不是真實攻擊,僅僅意味著源IP主機在對目的IP主機進行掃描。源IP一般屬于Shodan掃描主機,目的IP是客戶主機。源IP主機模仿Gh0st樣本向目的IP主機發送上線報文,如果收到期望的返回數據,即認為目的IP主機上運行著Gh0st控制端,是Gh0stC&C服務

。

 Shodan就是通過這種掃描來獲取惡意軟件的C&C服務器,除Shodan外,其它一些威脅情報公司的IP主機也在進行著這種掃描。

更新時間:

20191231















事件名稱:

TCP_后門_njRat_連接(掃描)

安全類型:

安全掃描

事件描述:

檢測到源IP主機在對目的IP主機進行掃描。

njRat遠控是一個功能強大是遠控。

本事件報警不是真實攻擊,僅僅意味著源IP主機在對目的IP主機進行掃描。源IP一般屬于Shodan掃描主機,目的IP是客戶主機。源IP主機模仿njRat樣本向目的IP主機發送上線報文,如果收到期望的返回數據,即認為目的IP主機上運行著njRat控制端,是njRatC&C服務器。

Shodan就是通過這種掃描來獲取惡意軟件的C&C服務器,除Shodan外,其它一些威脅情報公司的IP主機也在進行著這種掃描。

更新時間:

20191231














事件名稱:

TCP_后門_KG.Rat_連接(掃描)

安全類型:

安全掃描

事件描述:

檢測到源IP主機在對目的IP主機進行掃描。

KG.Rat是一個后門,連接遠程服務器,接受執行黑客指令。

本事件報警不是真實攻擊,僅僅意味著源IP主機在對目的IP主機進行掃描。源IP一般屬于Shodan掃描主機,目的IP是客戶主機。源IP主機模仿KG.Rat樣本向目的IP主機發送上線報文,如果收到期望的返回數據,即認為目的IP主機上運行著KG.Rat控制端,是KG.RatC&C服務器。

Shodan就是通過這種掃描來獲取惡意軟件的C&C服務器,除Shodan外,其它一些威脅情報公司的IP主機也在進行著這種掃描。

更新時間:

20191224














事件名稱:

TCP_后門_ircBot_連接(掃描)

安全類型:

安全掃描

事件描述:

檢測到源IP主機在對目的IP主機進行掃描。

ircBot是基于irc協議的僵尸網絡,主要功能是對指定目標主機發起DDoS攻擊。

本事件報警不是真實攻擊,僅僅意味著源IP主機在對目的IP主機進行掃描。源IP一般屬于Shodan掃描主機,目的IP是客戶主機。源IP主機模仿ircBot樣本向目的IP主機發送上線報文,如果收到期望的返回數據,即認為目的IP主機上運行著ircBot控制端,是ircBotC&C服務器。

Shodan就是通過這種掃描來獲取惡意軟件的C&C服務器,除Shodan外,其它一些威脅情報公司的IP主機也在進行著這種掃描。

更新時間:

20191231














事件名稱:

TCP_后門_Win32.Remcos_連接(掃描)

安全類型:

安全掃描

事件描述:

檢測到源IP主機在對目的IP主機進行掃描。

Remcos是一個功能強大的遠控,運行后可完全控制被植入機器。

本事件報警不是真實攻擊,僅僅意味著源IP主機在對目的IP主機進行掃描。源IP一般屬于Shodan掃描主機,目的IP是客戶主機。源IP主機模仿Remcos樣本向目的IP主機發送上線報文,如果收到期望的返回數據,即認為目的IP主機上運行著Remcos控制端,是RemcosC&C服務器。

 Shodan就是通過這種掃描來獲取惡意軟件的C&C服務器,除Shodan外,其它一些威脅情報公司的IP主機也在進行著這種掃描。

更新時間:

20191231














事件名稱:

TCP_后門_Win32.KilerRat_連接(掃描)

安全類型:

安全掃描

事件描述:

檢測到源IP主機在對目的IP主機進行掃描。

KilerRat是一個功能非常強大的后門,CSharp語言編寫。運行后,可以完全控制被植入機器。

本事件報警不是真實攻擊,僅僅意味著源IP主機在對目的IP主機進行掃描。源IP一般屬于Shodan掃描主機,目的IP是客戶主機。源IP主機模仿KilerRat樣本向目的IP主機發送上線報文,如果收到期望的返回數據,即認為目的IP主機上運行著KilerRat控制端,是KilerRatC&C服務器。

Shodan就是通過這種掃描來獲取惡意軟件的C&C服務器,除Shodan外,其它一些威脅情報公司的IP主機也在進行著這種掃描。

更新時間:

20191231















事件名稱:

TCP_后門_Linux.XOR.DDoS_連接(掃描)

安全類型:

安全掃描

事件描述:

檢測到源IP主機在對目的IP主機進行掃描。

Linux.XoR.DDoS是一個僵尸網絡,主要功能是對指定目標主機發起DDoS攻擊。

本事件報警不是真實攻擊,僅僅意味著源IP主機在對目的IP主機進行掃描。源IP一般屬于Shodan掃描主機,目的IP是客戶主機。源IP主機模仿XoR.DDoS樣本向目的IP主機發送上線報文,如果收到期望的返回數據,即認為目的IP主機上運行著XoR.DDoS控制端,是XoR.DDoSC&C服務器。

Shodan就是通過這種掃描來獲取惡意軟件的C&C服務器,除Shodan外,其它一些威脅情報公司的IP主機也在進行著這種掃描。

更新時間:

20191231














事件名稱:

UDP_后門_Win32.ZeroAcess_連接(掃描)

安全類型:

安全掃描

事件描述:

檢測到源IP主機在對目的IP主機進行掃描。

ZeroAcess是一個后門,運行后,注入其他進程。下載其他病毒或者配置信息或者模塊等或竊取敏感信息。

本事件報警不是真實攻擊,僅僅意味著源IP主機在對目的IP主機進行掃描。源IP一般屬于Shodan掃描主機,目的IP是客戶主機。源IP主機模仿ZeroAcess樣本向目的IP主機發送上線報文,如果收到期望的返回數據,即認為目的IP主機上運行著ZeroAcess控制端,是ZeroAcessC&C服務器。

Shodan就是通過這種掃描來獲取惡意軟件的C&C服務器,除Shodan外,其它一些威脅情報公司的IP主機也在進行著這種掃描。

更新時間:

20191231















事件名稱:

TCP_后門_Linux.BillGates_連接(掃描)

安全類型:

安全掃描

事件描述:

檢測到源IP主機在對目的IP主機進行掃描。

BillGatesLinux平臺下的一個僵尸網絡,主要功能是針對指定目標進行DDoS攻擊。

本事件報警不是真實攻擊,僅僅意味著源IP主機在對目的IP主機進行掃描。源IP一般屬于Shodan掃描主機,目的IP是客戶主機。源IP主機模仿BillGates樣本向目的IP主機發送上線報文,如果收到期望的返回數據,即認為目的IP主機上運行著BillGates控制端,是BillGatesC&C服務器。

Shodan就是通過這種掃描來獲取惡意軟件的C&C服務器,除Shodan外,其它一些威脅情報公司的IP主機也在進行著這種掃描。

更新時間:

20191231















事件名稱:

TCP_后門_DDoS.Win32.Nitol_連接(掃描)

安全類型:

安全掃描

事件描述:

檢測到源IP主機在對目的IP主機進行掃描。

Nitol是近來最活躍的惡意DDoS攻擊家族之一。

本事件報警不是真實攻擊,僅僅意味著源IP主機在對目的IP主機進行掃描。源IP一般屬于Shodan掃描主機,目的IP是客戶主機。源IP主機模仿Nitol樣本向目的IP主機發送上線報文,如果收到期望的返回數據,即認為目的IP主機上運行著Nitol控制端,是NitolC&C服務器。

 Shodan就是通過這種掃描來獲取惡意軟件的C&C服務器,除Shodan外,其它一些威脅情報公司的IP主機也在進行著這種掃描。

更新時間:

20191231














事件名稱:

HTTP_木馬_ISR.stealer_連接

安全類型:

木馬后門

事件描述:

檢測到 ISR stealer 試圖連接遠程服務器,IP所在的主機可能被植入了ISR stealer。

ISR StealerHackhound Stealer的修改版,使用VB編寫的,通常會使用.NET包裝器包裝自身。ISR Stealer 是一個密碼竊取程序,它會從瀏覽器和郵箱類軟件中竊取受害者的賬號密碼,并且具備常見的遠控命令,如下載和執行其他惡意軟件,從控制服務器接收命令,將特定信息中繼回控制服務器。

更新時間:

20191231












事件名稱:

TCP_木馬_Allakore.Remote_連接

安全類型:

木馬后門

事件描述:

檢測到木馬 Allakore_Remote 試圖連接遠程服務器。源IP所在的主機可能被植入了 Allakore_Remote 木馬。

AllaKore Remote 是用Delphi XE6Delphi 7編寫的開源遠控工具。AllaKore Remote具有以下功能:遠程訪問、數據壓縮、文件訪問、聊天。

更新時間:

20191231











修改事件


事件名稱:

HTTP_Apache_Commons_Fileupload_反序列化漏洞[CVE-2016-1000031]

安全類型:

安全漏洞

事件描述:

檢測到源IP主機正在利用Apache_Commons_Fileupload_反序列化漏洞攻擊目的IP主機的行為

更新時間:

20191231








事件名稱:

TCP_冰蝎_jspjspx_webshell_上傳

安全類型:

木馬后門

事件描述:

檢測到源IP主機正向目的主機上傳冰蝎 jspjspxwebshell木馬

更新時間:

20191231







事件名稱:

TCP_冰蝎_asp_webshell_上傳

安全類型:

木馬后門

事件描述:

檢測到源IP主機正向目的主機上傳冰蝎 aspwebshell木馬

更新時間:

20191231







事件名稱:

TCP_后門_Linux.BillGates_連接

安全類型:

木馬后門

事件描述:

檢測到木馬試圖連接遠程服務器。源IP所在的主機可能被植入了后門BillGates。

BillGatesLinux平臺下的一個僵尸網絡,主要功能是針對指定目標進行DDoS攻擊。

更新時間:

20191231










事件名稱:

DNS_后門_Win32.KcnaBot_連接

安全類型:

木馬后門

事件描述:

檢測到后門試圖連接遠程服務器。源IP所在的主機可能被植入了后門KcnaBot。

KcnaBot是一個功能非常強大的后門,利用DNS協議與C&C服務器通信。

更新時間:

20191231








事件名稱:

HTTP_木馬后門_DiamondFox_連接

安全類型:

木馬后門

事件描述:

檢測到木馬試圖連接遠程服務器。源IP所在的主機可能被植入了DiamondFox。

DiamondFox是基于VB的竊密木馬,功能非常強大,可以竊取各類賬號密碼。有反虛擬機以及沙箱功能。還有DDoS功能。

更新時間:

20191231









事件名稱:

HTTP_木馬_Win32.Krypton_連接

安全類型:

木馬后門

事件描述:

檢測到木馬試圖連接遠程服務器。源IP所在的主機可能被植入了木馬Krypton。

Krypton是一個木馬程序,運行后可以竊取受害主機的敏感信息。

更新時間:

20191231










上一篇 下一篇