首頁 > 技術支持 > 升級公告 > 每周升級公告

2020-06-16

發布時間 2020-06-16

新增事件


事件名稱:

HTTP_木馬后門_CobaltStrike.Powershell_代碼下載執行

安全類型:

木馬后門

事件描述:

檢測到由黑客工具 CobaltStrike 生成的 后門powershell命令 試圖連接遠程服務器下載木馬 CobaltStrike.Beacon, IP所在的主機可能執行了后門Powershell命令。CobaltStrike.Beacon執行后攻擊者可利用CobaltStrike完全控制受害機器,并進行橫向移動。

CobatStrike是一款基于java編寫的全平臺多方協同后滲透攻擊框架。CobaltStrike集成了端口轉發、端口掃描、socket代理、提權、釣魚、遠控木馬等功能。該工具幾乎覆蓋了APT攻擊鏈中所需要用到的各個技術環節,深受黑客們的喜愛。

更新時間:

20200616














事件名稱:

HTTP_木馬_APT_Andariel_Proto_Module_連接C2服務器

安全類型:

木馬后門

事件描述:

檢測到木馬試圖連接遠程服務器。源IP所在的主機可能被植入了Andariel Proto Module。

Andariel作為朝鮮APT組織Lazarus的分支團伙,主要負責對外進行軍事活動。Proto Module為一款竊密木馬,竊取受害主機的各種信息,包括MAC地址、計算機名稱、安裝的軟件等。

更新時間:

20200616











事件名稱:

HTTP_Ransomware_Locky勒索病毒連接C2服務器

安全類型:

蠕蟲病毒

事件描述:

檢測到勒索病毒試圖連接遠程服務器。源IP所在的主機可能被植入了Locky勒索病毒。

Locky勒索病毒,通過RSA-2048AES-128算法對100多種文件類型進行加密,加密成".lock"文件,同時在每個存在加密文件的目錄下釋放一個名為_Locky_recover_instructions.txt的勒索提示文件,一般利用垃圾郵件進行傳播,是首例具有中文提示的比特幣勒索軟件。Locky連接C2上傳敏感信息并請求加密的公鑰。

更新時間:

20200616













事件名稱:

HTTP_齊治堡壘機_遠程命令執行漏洞[CNVD-2019-20835]

安全類型:

注入攻擊

事件描述:

檢測到試圖通齊治運維堡壘機服務端的命令注入漏洞進行攻擊的行為。攻擊者攻擊成功后可遠程執行任意命令。

更新時間:

20200616








事件名稱:

TCP_Vmware_vCenterServer_vmdir_信息泄露漏洞

安全類型:

安全漏洞

事件描述:

檢測到源IP主機正在利用TCP_Vmware_vCenterServer_vmdir_信息泄露漏洞對目的主機進行攻擊的行為。

更新時間:

20200616









修改事件



事件名稱:

TCP_后門_DDoS.Win32.Nitol_連接

安全類型:

木馬后門

事件描述:

檢測到木馬試圖連接遠程服務器。源IP所在的主機可能被植入了木馬。

DDoS.Win32.Nitol是近來最活躍的惡意DDoS攻擊家族之一。

DDoS.Win32.Nitol連接遠程服務器,接收黑客指令,向目標域或網站發起DDoS攻擊。還可以下載其他病毒到被感染機器。

更新時間:

20200616










事件名稱:

TCP_木馬_CoinMiner_嘗試連接礦池

安全類型:

木馬后門

事件描述:

檢測到木馬試圖連接遠程服務器。源IP所在的主機可能被植入了Coinminer木馬。

CoinMiner是一款挖礦惡意程序,挖礦程序會占用CPU資源,可能導致受害主機變慢。

更新時間:

20200616









事件名稱:

TCP_木馬_CoinMiner_連接礦池成功

安全類型:

木馬后門

事件描述:

檢測到木馬試圖連接遠程服務器。源IP所在的主機可能被植入了CoinMiner木馬。

CoinMiner是一款挖礦惡意程序,挖礦程序會占用CPU資源,可能導致受害主機變慢。

更新時間:

20200616









事件名稱:

TCP_冰蝎_asp_webshell_上傳

安全類型:

木馬后門

事件描述:

檢測到源IP主機正向目的主機上傳冰蝎 aspwebshell木馬。

更新時間:

20200616








上一篇 下一篇