2021-03-30

發布時間 2021-03-31

新增事件


事件名稱:

TCP_僵尸網絡_FBot.Botnet_連接

安全類型:

木馬后門

事件描述:

檢測到FBot試圖連接C&C服務器,源IP主機可能被植入了僵尸網絡FBot。FBot是一個基于Mirai的僵尸網絡,一直很活躍,主要功能是對指定目標發起DDoS攻擊。一般通過漏洞傳播自身。

更新時間:

20210330


事件名稱:

TCP_可疑行為_輔助提權腳本下載

安全類型:

可疑行為

事件描述:

檢測到源IP主機試圖下載輔助提權腳本,輔助提權腳本通常針對的是枚舉系統信息而不是給出特定的漏洞或者利用。

更新時間:

20210330


事件名稱:

TCP_可疑行為_SSF代理工具_TLS連接

安全類型:

木馬后門

事件描述:

檢測到SSF代理工具連接服務器,目的地址主機正在使用SSF代理工具。SecureSocketFunnelingSSF)是一種網絡代理工具。它提供簡單有效的方式,將多個socketsTCPUDP)的數據通過單個安全TLS鏈接轉發到遠程計算機。

更新時間:

20210330


事件名稱:

TCP_可疑行為_SSF代理工具_TLS連接

安全類型:

木馬后門

事件描述:

檢測到由黑客工具CobaltStrike生成的后門Beacon試圖連接遠程服務器,IP所在的主機可能被植入了CobaltStrike.Beacon。CobaltStrike.Beacon執行后攻擊者可利用CobaltStrike完全控制受害機器,并進行橫向移動。CobatStrike是一款基于java編寫的全平臺多方協同后滲透攻擊框架。CobaltStrike集成了端口轉發、端口掃描、socket代理、提權、釣魚、遠控木馬等功能。該工具幾乎覆蓋了APT攻擊鏈中所需要用到的各個技術環節,深受黑客們的喜愛。

更新時間:

20210330


修改事件


事件名稱:

HTTP_木馬后門_PHP_reGeorg-v1.0_后門上傳

安全類型:

木馬后門

事件描述:

檢測到源IP主機正向目的主機上傳reGeorg-v1.0木馬后門文件。reGeorg-v1.0木馬是黑客常用的一種內網滲透流量轉發木馬,攻擊者通過上傳該木馬文件到Web服務器,然后在本地通過特定攻擊腳本連接服務端的木馬文件進行內網流量轉發。攻擊者企圖通過這種方式繞過內網防護設備以Web服務器為跳板攻擊其他內網主機,試圖獲取內網其他服務器的控制權。上傳木馬后門,進而遠程連接木馬后門攻擊內網其他主機。

更新時間:

20210330


事件名稱:

TCP_后門_Win32.SpyIrcBot_連接

安全類型:

木馬后門

事件描述:

檢測到木馬試圖連接遠程服務器。源IP所在的主機可能被植入了后門SpyIrcBot。SpyIrcBot是一個基于irc協議的后門,運行后可允許攻擊者遠程控制被植入機器??蛇h程控制被植入機器。

更新時間:

20210330