2018-07-06
发布时间 2018-07-06新增事件
事件名称: |
TCP_木马后门_Win32.Reaver_连接 |
事件级别: |
中级事件 |
安全类型: |
木马后门 |
事件描述: |
检测到后门试图连接远程服务器。源IP所在的主机可能被植入了Reaver。 Reaver是一个后门,功能非常强大。运行后,可完全控制被植入机器。 |
更新时间: |
20180706 |
默认动作: |
丢弃 |
|
|
事件名称: |
HTTP_WordPress_thumb参数任意文件删除漏洞[CVE-2018-12895] |
事件级别: |
中级事件 |
安全类型: |
安全漏洞 |
事件描述: |
检测到源IP主机正在利用WordPress thumb参数任意文件删除漏洞攻击目的IP主机的行为,试图通过thumb参数传入将要删除文件的相对路径,继而通过文件删除功能删除任意文件。 WordPress是一种使用PHP语言开发的博客平台。WordPress管理后台可以上传和删除媒体文件,其中thumb参数用户可控,攻击者通过将参数修改为目标网站上的敏感文件,继而通过删除功能删除敏感文件。例如,攻击者通过删除WordPress wp-config.php文件可以重新安装WordPress网站。 |
更新时间: |
20180706 |
默认动作: |
丢弃 |
|
|
事件名称: |
SNMP_Huawei/H3C交换机_管理密码泄露漏洞[CVE-2012-3268] |
事件级别: |
中级事件 |
安全类型: |
网络设备攻击 |
事件描述: |
检测到源IP主机正在利用Huawei、H3C交换机敏感信息泄露漏洞攻击目的IP主机的行为,试图通过向交换机发送SNMP管理命令获取交换机敏感信息。 Huawei/H3C部分型号的交换机和路由器存在一个SNMP敏感信息泄露漏洞。攻击者若能猜知设备所用SNMP共同体串(Community String),通过对特定OID的SNMP请求,则可利用此漏洞取得目标设备的用户名、密码、密码存储方式以及用户权限级别等敏感信息,进一步有可能得到对系统的控制。 |
更新时间: |
20180706 |
默认动作: |
丢弃 |
修改事件
事件名称: |
TCP_后门_VBS.H.Worm.Rat_连接 |
事件级别: |
中级事件 |
安全类型: |
木马后门 |
事件描述: |
检测到木马试图连接远程服务器。源IP所在的主机可能被植入了木马。 H-worm是一个基于VBS语言的后门,功能非常强大。H-worm借鉴了njRAT的开源代码,服务端为使用VBS脚本编写的蠕虫病毒,适用于Windows全系操作系统并且使用了比较先进的User-Agent传递数据的方式,主要传播方式有三种:电子邮件附件、恶意链接和被感染的U盘传播,蠕虫式的传播机制会形成大量的感染。因为其简洁有效的远控功能、非PE脚本易于免杀、便于修改等特性,一直被黑产所青睐而活跃至今。 |
更新时间: |
20180706 |
默认动作: |
丢弃 |
|
|
事件名称: |
HTTP_木马_FileUploader.winfont(白象)_连接 |
事件级别: |
中级事件 |
安全类型: |
木马后门 |
事件描述: |
检测到木马试图连接远程服务器。源IP所在的主机可能被植入了winfont。 winfont.exe为文档收集模块,主要功能为遍历计算机目录获取特定文档并发送给远程服务器,该样本会创建一个240000ms间隔的定时器,并每间隔240000ms遍历特定后缀文件,最后构造POST包,将获取的.doc, .docx, .xls, .xlsx, .pdf, .ppt, .pptx, .csv类型文件内容直接通过HTTP表单提交的方式发送至远程服务器。 |
更新时间: |
20180706 |
默认动作: |
丢弃 |