首頁 > 技術支持 > 升級公告 > 每周升級公告

2020-04-21

發布時間 2020-04-21

新增事件


事件名稱:

TCP_后門_Win.BACKSPACE/Lecna_連接C2服務器

安全類型:

木馬后門

事件描述:

檢測到后門試圖連接遠程服務器。

BACKSPACE是一個后門,也就是"Lecna",功能非常強大,可完全控制被感染機器。

BACKSPACE可以竊取敏感信息,如計算機名稱、系統版本,IP地址等,具有進程管理、文件管理、注冊表管理、執行命令等。

更新時間:

20200421











事件名稱:

TCP_木馬_Sidewinder.PreBotModules_連接C2服務器

安全類型:

木馬后門

事件描述:

檢測到 Sidewinder.PreBotModules 試圖連接遠程服務器。源IP所在的主機可能被植入了后門 Sidewinder.PreBotModules。

PreBotModules APT組織"響尾蛇"SideWinder、T-APT-04)用c#寫的信息收集模塊,該后門模塊通常使用Office誘餌文檔下發,植入主機后會收集受害主機的計算機名、用戶名、MAC地址、啟用的服務和進程、更新補丁等指紋信息發送至遠程服務器。

更新時間:

20200421











修改事件


事件名稱:

HTTP_后門_FakeSanforUD_連接

安全類型:

木馬后門

事件描述:

檢測到木馬試圖連接遠程服務器。源IP所在的主機可能被植入了FakeSanforUD。

深信服VPN客戶端存在漏洞,在升級時會下載執行名為SangforUD.exe的更新程序。但VPN客戶端僅對SangforUD.exe做了簡單的版本對比,沒有做任何的安全檢查。APT組織Darkhotel攻破了VPN服務器,篡改升級配置文件并把SangforUD.exe替換為惡意的后門FakeSanforUD。

FakeSanforUD是一個后門,通過下載執行shellcode,最終下載核心的后門惡意組件thinmon.dll。核心后門組件thinmon.dll會解密云端下發的另外一個加密文件Sangfor_tmp_1.dat,以加載、線程啟動、注入進程3種方式中的一種啟動dat文件 ,最終由dat文件實現與服務器交互執行惡意操作。

更新時間:

20200421















事件名稱:

DNS_木馬_可疑礦池域名解析請求

安全類型:

木馬后門

事件描述:

檢測到木馬試圖連接遠程服務器。源IP所在的主機可能被植入了挖礦木馬。

更新時間:

20200421










上一篇 下一篇