首頁 > 技術支持 > 升級公告 > 每周升級公告

2020-03-31

發布時間 2020-03-31

新增事件


事件名稱:

TCP_木馬后門_GodLua_連接

安全類型:

木馬后門

事件描述:

檢測到后門GodLua試圖連接遠程服務器。源IP所在的主機可能被植入了GodLua。GodLua是一個跨平臺的后門,主要針對WindowsLinux系統。GodLua是首款通過DoH協議獲取C2域名解析的后門,通過Confluence漏洞利用(CVE-2019-3396)傳播自身。

更新時間:

20200331










事件名稱:

TCP_RealVNC_RFB協議遠程認證繞過漏洞利用成功[CVE-2006-2369]

安全類型:

安全漏洞

事件描述:

檢測到您的網絡中有一臺主機正在試圖使用TCP_RealVNC_RFB協議遠程認證繞過漏洞連接對端設備,并且已經連接成功。RealVNC VNC Server是一種遠程終端控制軟件。RealVNC VNC erver采用的RFB(遠程幀長度)協議允許客戶端與服務端協商適當的認證方法,協議的實現上存在設計錯誤,遠程攻擊者可以繞過過認證無需密碼實現對服務器的訪問。

更新時間:

20200331











事件名稱:

TCP_后門_Linux.DDoS.Gafgyt_連接1

安全類型:

木馬后門

事件描述:

檢測到木馬試圖連接遠程服務器。源IP所在的主機可能被植入了Gafgyt。Gafgyt是一個Linux僵尸網絡,主要功能是對指定目標機器發起DDoS攻擊。

更新時間:

20200331








事件名稱:

TCP_后門_CoreDDRAT_試圖連接

安全類型:

木馬后門

事件描述:

檢測到 CoreDDRAT 試圖連接遠程服務器。源IP所在的主機可能被植入了后門 CoreDDRAT 。CoreDDRAT是一個典型的遠控后門,能夠監視受害者當前窗口、竊取計算機敏感信息并且會根據C2服務器下發的不同指令代號執行相應操作。它具備的功能主要有:文件上傳/下載、cmd命令、文件執行等功能。

更新時間:

20200331










事件名稱:

HTTP_類菜刀流量_響應

安全類型:

木馬后門

事件描述:

菜刀類流量如果沒有大量的修改代碼,其返回流量都會有一個共同的特征,本條規則將常見的共同特征提取出來進行防御性報警。

更新時間:

20200331









修改事件


事件名稱:

TCP_后門_Gh0st_連接

安全類型:

木馬后門

事件描述:

該事件源IP所在的主機可能被植入了Gh0st遠控程序,可以對遠程主機進行任意操作。特洛伊木馬(Trojan)是后門程序的一種。典型的木馬程序為服務器/客戶端結構,一般情況下入侵者通過利用某種漏洞取得主機的控制權后,設法在被攻擊的主機上運行木馬程序的服務器端,之后就可以從遠程利用客戶端程序通過對主機上的服務器端程序進行訪問而完全控制該主機,在管理員毫無所知的情況下執行任意程序、訪問任意文件等各種非法操作。因此木馬程序是一種危害極大的惡意程序,如果發現主機上存在木馬程序,則主機肯定已經遭到了入侵,需要盡快采取措施。

更新時間:

20200331














事件名稱:

TCP_后門_Gh0st_連接(掃描)

安全類型:

木馬后門

事件描述:

檢測到源IP主機在對目的IP主機進行掃描。Gh0st遠控是一個國內的遠控程序,可以對遠程主機進行任意操作。本事件報警不是真實攻擊,僅僅意味著源IP主機在對目的IP主機進行掃描。源IP一般屬于Shodan掃描主機,目的IP是客戶主機。源IP主機模仿Gh0st樣本向目的IP主機發送上線報文,如果收到期望的返回數據,即認為目的IP主機上運行著Gh0st控制端,是Gh0stC&C服務。

更新時間:

20200331











事件名稱:

TCP_后門_Linux.DDoS.Gafgyt_連接

安全類型:

木馬后門

事件描述:

檢測到木馬試圖連接遠程服務器。源IP所在的主機可能被植入了DDoS.Gafgyt。DDoS.Gafgyt是一個Linux僵尸網絡,主要功能是對指定目標機器發起DDoS攻擊。

更新時間:

20200331



上一篇 下一篇