2018-06-22
发布时间 2018-06-22新增事件
事件名称: |
HTTP_后门_Win32.Kazuar_连接 |
事件级别: |
中级事件 |
安全类型: |
木马后门 |
事件描述: |
检测到木马试图连接远程服务器。源IP所在的主机可能被植入了Kazuar。Kazuar是APT组织Turla开发使用的一个后门,功能非常强大,运行后允许攻击者完全控制被植入机器。 |
更新时间: |
20180622 |
默认动作: |
丢弃 |
|
|
事件名称: |
TCP_后门_Win32.Duuzer(HiddenCobra)_连接 |
事件级别: |
中级事件 |
安全类型: |
木马后门 |
事件描述: |
检测到后门试图连接远程服务器。源IP所在的主机可能被植入了Duuzer。Duuzer是APT组织Hidden Cobra所使用的后门,功能非常强大。运行后,可完全控制被植入机器。 |
更新时间: |
20180622 |
默认动作: |
丢弃 |
|
|
事件名称: |
TCP_Malware_VPNFilter_GetCC |
事件级别: |
中级事件 |
安全类型: |
木马后门 |
事件描述: |
检测到VPNFilter试图通过SYN隧道技术获取C&C的IP地址。该恶意软件通过利用路由器、网关、防火墙等物联网设备漏洞进行广泛的感染和传播。 |
更新时间: |
20180622 |
默认动作: |
丢弃 |
|
|
事件名称: |
TCP_Malware_Akdoor.R228914_连接服务器 |
事件级别: |
中级事件 |
安全类型: |
木马后门 |
事件描述: |
检测到Akdoor.R228914试图连接远程服务器。恶意软件Akdoor.R228914是一个简单的后门,通过命令提示符执行命令。 它有一个独特的命令和控制协议。 |
更新时间: |
20180622 |
默认动作: |
丢弃 |
|
|
事件名称: |
TCP_木马后门_Win32.Sisfader_连接 |
事件级别: |
中级事件 |
安全类型: |
木马后门 |
事件描述: |
检测到后门试图连接远程服务器。源IP所在的主机可能被植入了Sisfader。Sisfader是一个后门,功能非常强大。运行后,可完全控制被植入机器。 |
更新时间: |
20180622 |
默认动作: |
丢弃 |
|
|
事件名称: |
TCP_GPON家庭路由器安全漏洞[CVE-2018-10562] |
事件级别: |
中级事件 |
安全类型: |
安全漏洞 |
事件描述: |
检测到源IP主机正试图通过GPON家庭路由器中存在的安全漏洞攻击目的IP主机的行为。Dasan GPON是韩国Dasan公司的一款家用路由器产品。Dasan GPON家庭路由器中存在安全漏洞。攻击者可通过向设备的任意URL添加‘?images’利用该漏洞绕过身份验证。Dasan GPON家庭路由器中存在命令注入漏洞,该漏洞源于用户再次访问/diag.html页面时路由器将因特网包探索器的结果保存在/tmp中并将它传输给用户。攻击者可通过向GponForm/diag_Form URI发送带有‘dest_host’参数的diag_action=ping请求利用该漏洞执行命令并检索输出。muhstik.scanner 会发起该漏洞扫描,利用该漏洞迫使GPON易感设备向报告服务器汇报状态。 |
更新时间: |
20180622 |
默认动作: |
丢弃 |
|
|
事件名称: |
HTTP_ElasticSearch_命令执行漏洞[CVE-2014-3120] |
事件级别: |
中级事件 |
安全类型: |
安全漏洞 |
事件描述: |
检测到试图通过利用ElasticSearch远程命令执行漏洞进行攻击的行为,攻击者可以利用该漏洞执行任意命令。ElasticSearch是一个基于Lucene的搜索服务器,基于Java开发。ElasticSearch支持传入动态脚本(MVEL)来执行一些复杂的操作,而MVEL可执行Java代码,攻击者利用该漏洞可以在ElasticSearch服务器中执行任意Java代码或命令。 |
更新时间: |
20180622 |
默认动作: |
丢弃 |
|
|
事件名称: |
HTTP_ElasticSearch_命令执行漏洞[CVE-2015-1427] |
事件级别: |
中级事件 |
安全类型: |
安全漏洞 |
事件描述: |
检测到试图通过利用ElasticSearch远程命令执行漏洞进行攻击的行为,攻击者可以利用该漏洞执行任意命令。ElasticSearch是一个基于Lucene的搜索服务器,基于Java开发。ElasticSearch支持传入动态脚本(Groovy)来执行一些复杂的操作,而Groovy可执行Java代码。ElasticSearch在使用Groovy语言执行命令时存在沙盒机制,但攻击者仍可以利用漏洞绕过沙盒在ElasticSearch服务器中执行任意Java代码或命令。 |
更新时间: |
20180622 |
默认动作: |
丢弃 |
|
|
事件名称: |
HTTP_elasticsearch-head_目录穿越漏洞[CVE-2015-3337] |
事件级别: |
中级事件 |
安全类型: |
安全漏洞 |
事件描述: |
检测到试图通过利用ElasticSearch head插件目录穿越漏洞进行攻击的行为,攻击者可以利用该漏洞读取到操作系统上的任意文件。ElasticSearch是一个基于Lucene的搜索服务器,基于Java开发。ElasticSearch head插件存在目录穿越漏洞,攻击者利用该漏洞可读取操作系统上的任意文件。 |
更新时间: |
20180622 |
默认动作: |
丢弃 |
|
|
事件名称: |
HTTP_ElasticSearch_目录穿越漏洞[CVE-2015-5531] |
事件级别: |
中级事件 |
安全类型: |
安全漏洞 |
事件描述: |
检测到试图通过利用ElasticSearch目录穿越漏洞进行攻击的行为,攻击者可以利用该漏洞读取到操作系统上的任意文件。ElasticSearch是一个基于Lucene的搜索服务器,基于Java开发。ElasticSearch存在目录穿越漏洞,攻击者利用该漏洞可读取操作系统上的任意文件。 |
更新时间: |
20180622 |
默认动作: |
丢弃 |