首頁 > 技術支持 > 升級公告 > 每周升級公告

每周升級公告-2021-11-16

發布時間 2021-12-10

新增事件




事件名稱:

TCP_木馬_Win32.Dark_Crystal_RAT/DCRat_遠控木馬_連接C2服務器

安全類型:

遠控后門

事件描述:

檢測到木馬DarkCrystal連接C2服務器,表明源IP主機已感染該木馬。DarkCrystal惡意軟件是一種RAT(遠程訪問木馬),C#語言,俄羅斯人開發。DarkCrystalRAT是一種非常先進的黑客工具,具有很多功能,其中包括:運行遠程命令、收集用戶信息、通過網絡攝像頭錄制視頻、通過麥克風錄制音頻、執行DDoS或UDP/TCP洪水攻擊、管理文件系統等等。

更新時間:

20211116

 

 

事件名稱:

HTTP_表達式注入_通用

安全類型:

其他注入

事件描述:

2013年4月15日ExpressionLanguageInjection詞條在OWASP上被創建,而這個詞的最早出現可以追溯到2012年12月的《Remote-Code-with-Expression-Language-Injection》一文,在這個paper中第一次提到了這個名詞。而這個時期,只不過還只是把它叫做遠程代碼執行漏洞、遠程命令執行漏洞或者上下文操控漏洞。像Struts2系列的s2-003、s2-009、s2-016等,這種由OGNL表達式引起的命令執行漏洞。

更新時間:

20211116

 

 

事件名稱:

HTTP_安全漏洞_D-Link_DAP-1860_遠程命令執行漏洞[CVE-2019-19597][CNNVD-201912-215]

安全類型:

命令執行

事件描述:

D-LinkDAP-1860是中國臺灣友訊(D-Link)公司的一款WiFi范圍擴展器。D-LinkDAP-18601.04b03之前版本中存在安全漏洞。攻擊者可借助HTTP請求頭中的HNAP_AUTH參數后注入shell元字符利用該漏洞以root權限執行任意命令。

更新時間:

20211116

 

 

事件名稱:

HTTP_可疑行為_passwd內容文件回顯

安全類型:

其他可疑行為

事件描述:

檢測到源IP正在通過命令執行查看/etc/passwd文件的內容。此文件中存儲了系統中的所有賬戶、權限等信息。

更新時間:

20211116

 

修改事件



事件名稱:

HTTP_IBM_WebSphere_Java反序列化_遠程代碼執行漏洞[CVE-2015-7450]

安全類型:

代碼執行

事件描述:

WebSphere是IBM公司開發的中間件基礎設施平臺。WebSphere7版本在開發中使用了ApacheCommonsCollections庫中的InvokerTransformer類,該類存在Java反序列化漏洞。攻擊者可以發送精心構造的Java序列化對象,遠程執行任意代碼或命令

更新時間:

20211116

 

 

事件名稱:

HTTP_Struts2_S2-016/S2-017/S2-018遠程命令執行變形攻擊[CVE-2013-2251/4310]

安全類型:

命令執行

事件描述:

檢測到源IP主機正試圖通過ApacheStruts2框架命令執行漏洞攻擊目的IP主機遠程攻擊者可通過帶有action:、redirect:或redirectAction:的前綴參數利用該漏洞執行任意OGNL表達式。漏洞存在的版本:S2-016:Struts2.0.0-Struts2.3.15S2-017:Struts2.0.0-Struts2.3.15S2-018:Struts2.0.0-Struts2.3.15.2攻擊成功,可遠程執行任意代碼。

更新時間:

20211116

 


事件名稱:

TCP_通用_Java反序列化_ysoserial惡意數據利用

安全類型:

命令執行

事件描述:

檢測到源IP主機正在通過TCP發送ysoserial生成的惡意JAVA反序列化數據對目的主機進行攻擊。若訪問的應用存在漏洞JAVA反序列化漏洞,攻擊者可以發送精心構造的Java序列化對象,遠程執行任意代碼或命令。遠程執行任意代碼,獲取系統控制權。

更新時間:

20211116

 


事件名稱:

TCP_僵尸網絡_Mirai.Putin_連接

安全類型:

其他注入

事件描述:

檢測到僵尸網絡Mirai變種Putin試圖連接C&C服務器。源IP所在的主機可能被植入了Mirai變種Putin。Mirai僵尸網絡蠕蟲主要通過掃描防護能力不強的物聯網設備(IoT),包括:路由器、網絡攝像頭、DVR設備等等,IoT設備主要是MIPS、ARM等架構,因存在默認密碼、弱密碼、嚴重漏洞未及時修復等因素,導致被攻擊者植入木馬。竊取敏感信息,獲取管理員權限。由于源代碼已經公開,Mirai出現了很多變種,本事件針對其變種Putin。

更新時間:

20211116

 

 

事件名稱:

HTTP_安全漏洞_phpunint_遠程代碼執行漏洞[CVE-2017-9841][CNNVD-201706-1127]

安全類型:

代碼執行

事件描述:

PHPUnit是PHP程式語言中最常見的單元測試(unittesting)框架,通常phpunit使用composer非常流行的PHP依賴管理器進行部署,將會在當前目錄創建一個vendor文件夾.phpunit生產環境中仍然安裝了它,如果該編寫器模塊存在于Web可訪問目錄,則存在遠程代碼執行漏洞。

更新時間:

20211116

 


事件名稱:

HTTP_可疑行為_Fastjson漏洞_hex編碼利用

安全類型:

其他可疑行為

事件描述:

FastJson是阿里巴巴的開源JSON解析庫,它可以解析JSON格式的字符串,支持將JavaBean序列化為JSON字符串,也可以從JSON字符串反序列化到JavaBean,由于具有執行效率高的特點,應用范圍很廣。攻擊成功,可遠程執行任意代碼。fastjson可接受并解析hex編碼內容,因此攻擊者可利用hex編碼繞過檢測設備。

更新時間:

20211116

 



上一篇 下一篇