首頁 > 技術支持 > 升級公告 > 每周升級公告

2020-06-09

發布時間 2020-06-10

新增事件


事件名稱:

TCP_安全漏洞_Microsoft_SMBV3_遠程代碼執行漏洞[CVE-2020-0796](無漏洞)

安全類型:

安全漏洞

事件描述:

檢測到源IP主機可能正在對目的主機進行CVE-2020-0796漏洞利用的行為,但是目的主機協商的SMB并不存在該漏洞。

更新時間:

20200609








事件名稱:

HTTP_Apache_Solr_遠程代碼執行漏洞[CVE-2019-17558][CNNVD-201912-1225]

安全類型:

安全漏洞

事件描述:

檢測到源IP主機正在利用Apache Solr VelocityResponseWriter遠程代碼執行漏洞對目的主機進行攻擊的行為。

Apache Solr是美國阿帕奇(Apache)軟件基金會的一款基于Lucene(一款全文搜索引擎)的搜索服務器。該產品支持層面搜索、垂直搜索、高亮顯示搜索結果等。 Apache Solr 5.0.0版本至8.3.1版本中存在輸入驗證錯誤漏洞。該漏洞源于網絡系統或產品未對輸入的數據進行正確的驗證。攻擊者向網站發送精心構造的攻擊payload,攻擊成功可以遠程執行任意命令,進而控制服務器。

更新時間:

20200609














事件名稱:

HTTP_稅務系統_遠程代碼執行漏洞

安全類型:

安全漏洞

事件描述:

檢測到源IP主機正在利用反序列化遠程代碼執行漏洞對目的主機進行攻擊的行為,試圖通過傳入精心構造的惡意代碼或命令來入侵目的IP主機。

更新時間:

20200609








事件名稱:

HTTP_fastjson_1.2.68_JSON反序列化_遠程代碼執行漏洞

安全類型:

安全漏洞

事件描述:

檢測到源IP主機正在利用fastjsonJSON反序列化遠程代碼執行漏洞對目的主機進行攻擊的行為,試圖通過傳入精心構造的惡意代碼或命令來入侵目的IP主機。

fastjson1.2.68以及之前版本存在遠程代碼執行高危安全漏洞。開發者在使用fastjson時,如果編寫不當,可能導致JSON反序列化遠程代碼執行漏洞。攻擊者通過發送一個精心構造的JSON序列化惡意代碼,當程序執行JSON反序列化的過程中執行惡意代碼,從而導致遠程代碼執行。

更新時間:

20200609












事件名稱:

TCP_通用_Java反序列化_ysoserial惡意數據利用

安全類型:

安全漏洞

事件描述:

檢測到源IP主機正在通過TCP發送ysoserial生成的惡意JAVA反序列化數據對目的主機進行攻擊。

若訪問的應用存在漏洞JAVA反序列化漏洞,攻擊者可以發送精心構造的Java序列化對象,遠程執行任意代碼或命令。

更新時間:

20200609










事件名稱:

HTTP_木馬后門_Win32.Poulight_連接

安全類型:

木馬后門

事件描述:

檢測到木馬試圖連接遠程服務器。源IP所在的主機可能被植入了木馬Poullight。

Poulight是一款來自俄羅斯的C#語言編寫的竊密木馬,可以竊取受害主機的敏感信息,包括一些Skype等軟件的登錄憑證、電子貨幣錢包數據等,并接收C2服務器的命令執行下載其它模塊。

更新時間:

20200609










事件名稱:

TCP_Windows_遠程讀取域成員

安全類型:

可疑行為

事件描述:

檢測到源IP對目的主機遠程讀取域內組成員或遍歷域內成員的行為。

Microsoft Windows是微軟發布的非常流行的操作系統。

在獲取到主機權限后,黑客通常會查詢域管理員,域控制器主機名來收集域內信息。

更新時間:

20200609










事件名稱:

TCP_Windows_遠程修改注冊表

安全類型:

可疑行為

事件描述:

檢測到源IP對目的主機進行遠程注冊表寫入的行為.

Microsoft Windows是微軟發布的非常流行的操作系統。

如果攻擊者成功遠程連接 Microsoft 注冊表,就可能獲取目標服務器的注冊表信息,并修改其中內容。

更新時間:

20200609











修改事件


事件名稱:

TCP_木馬_TrickBot.Pwgrab_連接

安全類型:

木馬后門

事件描述:

檢測到木馬試圖連接遠程服務器。源IP所在的主機可能被植入了木馬TrickBot。

TrickBot是一個功能強大的竊密木馬。Trickbot新增加了一個竊密模塊Pwgrab,可以竊取主流瀏覽器如IE、Firefox、Chrome、Edge保存的賬號密碼及Cookies等數據。還可以竊取Outlook、FileZilla、WinSCP等客戶端保存的賬號密碼。

更新時間:

20200609










事件名稱:

TCP_木馬_Win32.TrickBot_NetworkCollectorModule

安全類型:

木馬后門

事件描述:

檢測到木馬試圖連接遠程服務器。源IP所在的主機可能被植入了木馬TrickBot。

TrickBot是一個功能強大的竊密木馬。Trickbot銀行木馬中包含Network Collector Module,該模塊可以搜集用戶信息上傳至服務器。

更新時間:

20200609









事件名稱:

TCP_SMB_NMAP掃描

安全類型:

安全掃描

事件描述:

檢測到源IP主機正在利用對目的主機使用NMAP通過SMB協議獲取計算機信息的行為。

更新時間:

20200609








事件名稱:

TCP_Cisco_SmartInstall_遠程代碼執行漏洞[CVE-2018-0171&CVE-2016-1349]

安全類型:

安全漏洞

事件描述:

檢測到試圖通過Cisco Smart Install遠程代碼執行漏洞進行攻擊的行為。

Cisco IOS Software是美國思科(Cisco)公司為其網絡設備開發的操作系統。

Cisco IOS Software中的Smart Install功能存在輸入驗證漏洞,該漏洞源于程序沒有正確的校驗數據包數據。遠程攻擊者可通過向TCP 4786端口上的受影響設備發送特制的Smart Install消息利用該漏洞造成拒絕服務(設備重新加載)或執行任意代碼。

更新時間:

20200609













事件名稱:

HTTP_木馬后門_CobaltStrike.Stager_連接C2服務器

安全類型:

木馬后門

事件描述:

檢測到由黑客工具 CobaltStrike 生成的后門 Stager 試圖連接遠程服務器下載木馬 CobaltStrike.Beacon, IP所在的主機可能被植入了CobaltStrike.Stager。CobaltStrike.Beacon執行后攻擊者可利用CobaltStrike完全控制受害機器,并進行橫向移動。

CobatStrike是一款基于java編寫的全平臺多方協同后滲透攻擊框架。CobaltStrike集成了端口轉發、端口掃描、socket代理、提權、釣魚、遠控木馬等功能。該工具幾乎覆蓋了APT攻擊鏈中所需要用到的各個技術環節,深受黑客們的喜愛。

更新時間:

20200609














事件名稱:

TCP_Windows_系統默認共享連接

安全類型:

安全審計

事件描述:

檢測到源IP對目的主機進行默認連接的行為,并傳輸pe文件的行為。

更新時間:

20200609







事件名稱:

TCP_安全漏洞_Microsoft_SMBV3_遠程代碼執行漏洞[CVE-2020-0796]

安全類型:

安全漏洞

事件描述:

檢測到源IP主機可能正在對目的主機進行CVE-2020-0796漏洞利用的行為。

更新時間:

20200609







上一篇 下一篇