首頁 > 技術支持 > 升級公告 > 每周升級公告

2020-04-07

發布時間 2020-04-07

新增事件



事件名稱:

TCP_NSA_EternalBlue_(永恒之藍)_SMB漏洞掃描[MS17-010]_掃描有漏洞

安全類型:

安全漏洞

事件描述:

檢測到源IP對目的主機進行MS17-010漏洞掃描的行為.

Microsoft Windows是微軟發布的非常流行的操作系統。

如果攻擊者向 Microsoft 服務器發送經精心構造的畸形請求包,可以獲取目標服務器的系統權限,并且完全控制目標系統。

更新時間:

20200407










事件名稱:

HTTP_后門_FakeSanforUD_連接

安全類型:

木馬后門

事件描述:

檢測到木馬試圖連接遠程服務器。源IP所在的主機可能被植入了Rarog。

深信服VPN客戶端存在漏洞,在升級時會下載執行名為SangforUD.exe的更新程序。但VPN客戶端僅對SangforUD.exe做了簡單的版本對比,沒有做任何的安全檢查。APT組織Darkhotel攻破了VPN服務器,篡改升級配置文件并把SangforUD.exe替換為惡意的后門FakeSanforUD。

FakeSanforUD是一個后門,通過下載執行shellcode,最終下載核心的后門惡意組件thinmon.dll。核心后門組件thinmon.dll會解密云端下發的另外一個加密文件Sangfor_tmp_1.dat,以加載、線程啟動、注入進程3種方式中的一種啟動dat文件 ,最終由dat文件實現與服務器交互執行惡意操作。

更新時間:

20200407















事件名稱:

TCP_Metasploit_匿名管道掃描

安全類型:

安全掃描

事件描述:

檢測到源IP主機正在利用對目的主機使用Metasploit通過SMB協議獲取計算機信息的行為。

更新時間:

20200407








事件名稱:

TCP_SMB_NMAP掃描

安全類型:

安全掃描

事件描述:

檢測到源IP主機正在利用對目的主機使用NMAP通過SMB協議獲取計算機信息的行為。

更新時間:

20200407









事件名稱:

TCP_NSA_EternalBlue_(永恒之藍)_SMB漏洞掃描[MS17-010]_掃描無漏洞

安全類型:

安全漏洞

事件描述:

檢測到源IP對目的主機進行MS17-010漏洞掃描的行為.

Microsoft Windows是微軟發布的非常流行的操作系統。

如果攻擊者向 Microsoft 服務器發送經精心構造的畸形請求包,可以獲取目標服務器的系統權限,并且完全控制目標系統。

更新時間:

20200407










事件名稱:

TCP_NSA_EternalBlue_(永恒之藍)_DoublePulsar后門_掃描或植入后門_疑似執行或卸載

安全類型:

木馬后門

事件描述:

檢測到通過MS17-010的漏洞植入DoublePulsar后門的行為。

Microsoft Windows是美國微軟(Microsoft)公司發布的一系列操作系統。SMBv1 server是其中的一個服務器協議組件。DoublePulsar是一個后門程序,用于在已感染的系統上注入和運行惡意代碼。

Microsoft Windows中的SMBv1服務器存在遠程代碼執行漏洞。遠程攻擊者可借助特制的數據包利用該漏洞植入或掃描DoublePulsar后門。

更新時間:

20200407













事件名稱:

TCP_NSA_EternalBlue_(永恒之藍)_DoublePulsar后門_掃描或植入后門_疑似ping

安全類型:

木馬后門

事件描述:

檢測到通過MS17-010的漏洞植入DoublePulsar后門的行為。

Microsoft Windows是美國微軟(Microsoft)公司發布的一系列操作系統。SMBv1 server是其中的一個服務器協議組件。DoublePulsar是一個后門程序,用于在已感染的系統上注入和運行惡意代碼。

Microsoft Windows中的SMBv1服務器存在遠程代碼執行漏洞。遠程攻擊者可借助特制的數據包利用該漏洞植入DoublePulsar后門。

更新時間:

20200407













事件名稱:

TCP_DrayTek_預身份驗證命令注入漏洞[CVE-2020-8515]

安全類型:

注入攻擊

事件描述:

檢測到攻擊者利用DrayTek預身份驗證處的兩處命令注入漏洞進行攻擊的行為。DrayTek是一家在中國生產防火墻,VPN設備,路由器,WLAN設備等的制造商。該漏洞源于/cgi-bin/mainfunction.cgi程序未正確過濾keyPath字段和rtick字段其中的特殊字符,攻擊者可利用該漏洞不經過身份驗證以root權限執行代碼。

更新時間:

20200407










事件名稱:

HTTP_ZyXEL_預身份驗證命令注入漏洞[CVE-2020-9054]

安全類型:

注入攻擊

事件描述:

檢測到源IP主機正試圖通過ZyXEL設備中的預身份驗證的命令注入漏洞進行攻擊的行為。攻擊者攻擊成功后可遠程執行任意代碼。

更新時間:

20200407








修改事件


事件名稱:

TCP_NSA_EternalBlue_(永恒之藍)_SMB漏洞寫入shellcode[MS17-010]

安全類型:

安全漏洞

事件描述:

檢測到源IP對目的主機利用MS17-010漏洞寫入shellcode的行為.

Microsoft Windows是微軟發布的非常流行的操作系統。

如果攻擊者向 Microsoft 服務器發送經精心構造的畸形請求包,可以獲取目標服務器的系統權限,并且完全控制目標系統。

更新時間:

20200407










事件名稱:

TCP_安全漏洞_Microsoft_SMBv3_遠程代碼執行漏洞[CVE-2020-0796]

安全類型:

安全漏洞

事件描述:

檢測到源IP主機可能正在對目的主機進行CVE-2020-0796漏洞利用的行為。

更新時間:

20200407








事件名稱:

UDP_僵尸網絡_Mozi.P2PBotnet_連接

安全類型:

木馬后門

事件描述:

檢測到僵尸網絡Mozi試圖和Peer通信。因為是基于P2P協議,源IP和目的IP所在的主機可能都被植入了僵尸網絡Mozi。

Mozi是一個基于P2P協議的僵尸網絡,主要支持的功能為:DDoS攻擊、收集Bot信息、執行指定URLpayload、從指定的URL更新樣本、執行系統或自定義命令。

更新時間:

20200407










事件名稱:

TCP_Tomcat/Coldfusion_AJP13_任意文件讀取[CVE-2020-1938/CVE-2020-3761/CVE-2020-3794]

安全類型:

安全漏洞

事件描述:

檢測到源IP主機正在利用Tomcat/Coldfusion_AJP13任意文件讀取漏洞對目的主機進行攻擊的行為。

更新時間:

20200407












上一篇 下一篇