2018-07-13
发布时间 2018-07-13新增事件
事件名称: |
HTTP_木马后门_Smurf.fileUpload(Confucius)_连接 |
事件级别: |
中级事件 |
安全类型: |
木马后门 |
事件描述: |
检测到Smurf试图连接远程服务器。源IP所在的主机可能被植入了Smurf。 |
更新时间: |
20180713 |
默认动作: |
丢弃 |
|
|
事件名称: |
TCP_木马_Win32.TrickBot_NetworkCollectorModule |
事件级别: |
中级事件 |
安全类型: |
木马后门 |
事件描述: |
检测到木马试图连接远程服务器。源IP所在的主机可能被植入了木马TrickBot。 TrickBot是一个功能强大的窃密木马。Trickbot银行木马中包含Network Collector Module,该模块可以搜集用户信息上传至服务器。 。 |
更新时间: |
20180713 |
默认动作: |
丢弃 |
|
|
事件名称: |
HTTP_木马后门_Win32.LoadMoney_连接 |
事件级别: |
中级事件 |
安全类型: |
木马后门 |
事件描述: |
检测到Loadmoney试图连接远程服务器。源IP所在的主机可能被植入了Loadmoney。 Loadmoney是一个木马下载者,运行后会下载其它恶意样本。 |
更新时间: |
20180713 |
默认动作: |
丢弃 |
事件名称: |
HTTP_Malware_KardonLoader_连接服务器 |
事件级别: |
中级事件 |
安全类型: |
木马后门 |
事件描述: |
检测到Kardon Loader试图连接远程服务器。源IP所在的主机可能被植入了Kardon Loader。 Kardon Loader是一个全功能的下载器,可以下载和安装其他恶意软件。例如,银行木马/凭证窃取软件等。 |
更新时间: |
20180713 |
默认动作: |
丢弃 |
事件名称: |
HTTP_木马后门_DanaBot.Downloader_连接 |
事件级别: |
中级事件 |
安全类型: |
木马后门 |
事件描述: |
检测到DanaBot试图下载核心Main dll组件。源IP所在的主机可能被植入了DanaBot。 DanaBot是一个银行木马,包含一个下载组件。下载组件运行后会下载核心Main dll组件。 |
更新时间: |
20180713 |
默认动作: |
丢弃 |
事件名称: |
TCP_木马后门_DanaBot_连接 |
事件级别: |
中级事件 |
安全类型: |
木马后门 |
事件描述: |
检测到DanaBot的Main dll试图下载其它组件。源IP所在的主机可能被植入了DanaBot。 DanaBot是一个银行木马,包含一个下载组件。下载组件运行后会下载核心Main dll组件。Main dll下载VNC、Stealer、Sniffer等组件,完成窃密。 |
更新时间: |
20180713 |
默认动作: |
丢弃 |
事件名称: |
TCP_后门_PoisonIvy_Keepalive_连接2 |
事件级别: |
中级事件 |
安全类型: |
木马后门 |
事件描述: |
检测到PoisonIvy的心跳包数据。源IP所在的主机可能被植入了Poison Ivy。 Poison Ivy是一个被广泛应用的远程控制工具,允许攻击者完全控制被植入机器。 |
更新时间: |
20180713 |
默认动作: |
丢弃 |
事件名称: |
HTTP_DVR_硬盘录像机_登录绕过漏洞[CVE-2018-9995] |
事件级别: |
中级事件 |
安全类型: |
网络设备攻击 |
事件描述: |
检测到源IP主机正在利用DVR硬盘录像机登录绕过漏洞攻击目的IP主机的行为,试图通过利用DVR绕过登录漏洞登录到硬盘录像机后台,非法使用视频监控资源。 DVR全称Digital Video Recorder(硬盘录像机),通常是视频监控系统中的重要组成部分。检测到有多款DVR设备存在登录绕过漏洞,攻击者通过修改Cookie:uid=admin之后并访问特定DVR的控制面板,返回此设备的明文管理员凭证。 |
更新时间: |
20180713 |
默认动作: |
丢弃 |
事件名称: |
HTTP_anni安尼XVR_同轴硬盘录像机_密码泄露漏洞 |
事件级别: |
中级事件 |
安全类型: |
网络设备攻击 |
事件描述: |
检测到源IP主机正在利用XVR同轴硬盘录像机密码泄露漏洞攻击目的IP主机的行为,试图通过利用XVR密码泄露漏洞,进而登录到XVR后台,非法使用视频监控资源。 XVR同轴硬盘录像机,通常是视频监控系统中的重要组成部分。检测到anni安尼有多款XVR设备存在密码泄露,攻击者通过访问指定的URL,XVR设备即可返回登录密码。 |
更新时间: |
20180713 |
默认动作: |
丢弃 |
事件名称: |
HTTP_施耐德_派尔高系列摄像机_远程代码执行漏洞 |
事件级别: |
中级事件 |
安全类型: |
网络设备攻击 |
事件描述: |
检测到源IP主机正在利用施耐德派尔高系列摄像机远程代码执行漏洞攻击目的IP主机的行为,试图通过远程执行任意命令,尝试通过该设备进行挖矿或者DoS攻击等非法行为。 施耐德公司旗下的派尔高系列摄像机通常被用于各种商业和工业监控领域,具有较好的环境适应性。Pelco系列摄像机存在远程代码执行漏洞,攻击者可以通过POST请求中的enable_leds参数注入任意代码或命令,进而完全控制摄像机。 |
更新时间: |
20180713 |
默认动作: |
丢弃 |
事件名称: |
HTTP_NETGEAR_DGN1000_远程命令执行漏洞 |
事件级别: |
中级事件 |
安全类型: |
网络设备攻击 |
事件描述: |
检测到源IP主机正在利用美国网件NETGEAR DGN1000系列路由器远程代码执行漏洞攻击目的IP主机的行为,试图通过远程执行任意命令,尝试通过该设备进行挖矿或者DoS攻击等非法行为。 美国网件NETGEAR是美国知名的企业设备提供商,NETGEAR DGN1000系列路由器广泛被部署在全球各大互联网公司及家庭。DGN1000系列路由器存在远程代码执行漏洞,攻击者可以通过URL中的cmd参数注入任意代码或命令,进而完全控制路由器。 |
更新时间: |
20180713 |
默认动作: |
丢弃 |
事件名称: |
HTTP_NETGEAR_JWNR_密码泄露漏洞 |
事件级别: |
中级事件 |
安全类型: |
网络设备攻击 |
事件描述: |
检测到源IP主机正在利用NETGEAR JWNR系列路由器密码泄露漏洞攻击目的IP主机的行为,试图通过利用JWNR系列路由器密码泄露漏洞,进而登录到路由器后台,完全控制整个网络。 XVR 同轴硬盘录像机,通常是视频监控系统中的重要组成部分。检测到anni安尼有多款XVR设备存在密码泄露,攻击者通过访问指定的URL,XVR设备即可返回登录密码。 |
更新时间: |
20180713 |
默认动作: |
丢弃 |
修改事件
事件名称: |
HTTP_Microsoft_Windows_HTTP_sys远程代码执行漏洞[CVE-2015-1635] |
||
事件级别: |
中级事件 |
||
安全类型: |
|
||
事件描述: |
检测到源IP主机正试图通过Microsoft Windows HTTP.sys远程代码执行漏洞攻击目的IP主机。 Http.sys是处理HTTP请求的内核模式驱动程序。 HTTP.sys错误解析构造的HTTP请求时,在实现上存在远程代码执行漏洞,成功利用此漏洞后,攻击者可在System帐户上下文中执行任意代码。 |
||
更新时间: |
20180713 |
||
默认动作: |
丢弃 |