2018-07-27
发布时间 2018-07-27新增事件
事件名称:
HTTP_木马后门_Win32.Zediv_连接
事件级别:
中级事件
安全类型:
木马后门
事件描述:
检测到Zediv试图连接远程服务器。源IP所在的主机可能被植入了Zediv。 Zediv是一个窃密木马,可以窃取主流浏览器保存的账号密码。
更新时间:
20180727
默认动作:
丢弃
事件名称:
TCP_后门_PoisonIvy_Keepalive_连接3
事件级别:
中级事件
安全类型:
木马后门
事件描述:
检测到PoisonIvy的心跳包数据。源IP所在的主机可能被植入了Poison Ivy。 Poison Ivy是一个被广泛应用的远程控制工具,允许攻击者完全控制被植入机器。
更新时间:
20180727
默认动作:
丢弃
事件名称:
UDP_木马后门_Plaintee(Rancore)_连接1
事件级别:
中级事件
安全类型:
木马后门
事件描述:
检测到后门试图连接远程服务器。源IP所在的主机可能被植入了Plaintee。 Plaintee是APT组织Rancore使用的后门。运行后,允许攻击者远程访问被植入机器。
更新时间:
20180727
默认动作:
丢弃
|
事件名称: |
UDP_木马后门_Plaintee(Rancore)_连接2 |
|
事件级别: |
中级事件 |
|
安全类型: |
木马后门 |
|
事件描述: |
检测到后门试图连接远程服务器。源IP所在的主机可能被植入了Plaintee。 Plaintee是APT组织Rancore使用的后门。运行后,允许攻击者远程访问被植入机器。 |
|
更新时间: |
20180727 |
|
默认动作: |
丢弃 |
|
事件名称: |
UDP_木马后门_Plaintee(Rancore)_连接3 |
|
事件级别: |
中级事件 |
|
安全类型: |
木马后门 |
|
事件描述: |
检测到后门试图连接远程服务器。源IP所在的主机可能被植入了Plaintee。 Plaintee是APT组织Rancore使用的后门。运行后,允许攻击者远程访问被植入机器。 |
|
更新时间: |
20180727 |
|
默认动作: |
丢弃 |
|
事件名称: |
UDP_木马后门_Plaintee(Rancore)_连接4 |
|
事件级别: |
中级事件 |
|
安全类型: |
木马后门 |
|
事件描述: |
检测到后门试图连接远程服务器。源IP所在的主机可能被植入了Plaintee。 Plaintee是APT组织Rancore使用的后门。运行后,允许攻击者远程访问被植入机器。 |
|
更新时间: |
20180727 |
|
默认动作: |
丢弃 |
|
事件名称: |
UDP_木马后门_Plaintee(Rancore)_连接5 |
|
事件级别: |
中级事件 |
|
安全类型: |
木马后门 |
|
事件描述: |
检测到后门试图连接远程服务器。源IP所在的主机可能被植入了Plaintee。 Plaintee是APT组织Rancore使用的后门。运行后,允许攻击者远程访问被植入机器。 |
|
更新时间: |
20180727 |
|
默认动作: |
丢弃 |
|
事件名称: |
UDP_木马后门_Plaintee(Rancore)_连接6 |
|
事件级别: |
中级事件 |
|
安全类型: |
木马后门 |
|
事件描述: |
检测到后门试图连接远程服务器。源IP所在的主机可能被植入了Plaintee。 Plaintee是APT组织Rancore使用的后门。运行后,允许攻击者远程访问被植入机器。 |
|
更新时间: |
20180727 |
|
默认动作: |
丢弃 |
|
事件名称: |
UDP_木马后门_Plaintee(Rancore)_连接7 |
|
事件级别: |
中级事件 |
|
安全类型: |
木马后门 |
|
事件描述: |
检测到后门试图连接远程服务器。源IP所在的主机可能被植入了Plaintee。 Plaintee是APT组织Rancore使用的后门。运行后,允许攻击者远程访问被植入机器。 |
|
更新时间: |
20180727 |
|
默认动作: |
丢弃 |
|
事件名称: |
UDP_木马后门_Plaintee(Rancore)_连接8 |
|
事件级别: |
中级事件 |
|
安全类型: |
木马后门 |
|
事件描述: |
检测到后门试图连接远程服务器。源IP所在的主机可能被植入了Plaintee。 Plaintee是APT组织Rancore使用的后门。运行后,允许攻击者远程访问被植入机器。 |
|
更新时间: |
20180727 |
|
默认动作: |
丢弃 |
|
事件名称: |
HTTP_木马后门_FusionCore_连接 |
|
事件级别: |
中级事件 |
|
安全类型: |
木马后门 |
|
事件描述: |
检测到FusionCore试图连接远程服务器。源IP所在的主机可能被植入了FusionCore。 |
|
更新时间: |
20180727 |
|
默认动作: |
丢弃 |
|
事件名称: |
HTTP_勒索软件_GandCrab_v4 |
|
事件级别: |
中级事件 |
|
安全类型: |
木马后门 |
|
事件描述: |
检测到勒索软件试图连接远程服务器。源IP所在的主机可能被植入了GandCrab。 |
|
更新时间: |
20180727 |
|
默认动作: |
丢弃 |
修改事件
|
事件名称: |
TCP_后门_Win32.FlawedAmmyyRat_连接 |
|
事件级别: |
中级事件 |
|
安全类型: |
木马后门 |
|
事件描述: |
检测到木马试图连接远程服务器。源IP所在的主机可能被植入了Flawed Ammyy Rat变种。 |
|
更新时间: |
20180727 |
|
默认动作: |
丢弃 |
|
事件名称: |
HTTP_Linux命令注入攻击 |
|
事件级别: |
中级事件 |
|
安全类型: |
木马后门 |
|
事件描述: |
命令注入攻击,是指这样一种攻击手段,黑客通过把系统命令加入到web请求页面头部信息中,一个恶意黑客以利用这种攻击方法来非法获取数据或者网络、系统资源。 |
|
更新时间: |
20180727 |
|
默认动作: |
丢弃 |
|
事件名称: |
HTTP_后门_ProRatr_下载恶意代码 |
|
事件级别: |
中级事件 |
|
安全类型: |
木马后门 |
|
事件描述: |
更新时间:2009-10-26 该事件表明源IP地址主机的木马服务端正在请求下载目的IP地址的恶意代码。 该事件中的源IP地址是被植入木马服务端的主机。 该木马又名Backdoor.W32.ProRatr,它会获取用户系统的操作权限,然后连接到攻击者的远程服务器,以便攻击者盗窃电脑中的信息或对电脑进行非法控制。 |
|
更新时间: |
20180727 |
|
默认动作: |
丢弃 |
|
事件名称: |
TCP_后门_PoisonIvy_Keepalive_连接2 |
|
事件级别: |
中级事件 |
|
安全类型: |
木马后门 |
|
事件描述: |
检测到PoisonIvy的心跳包数据。源IP所在的主机可能被植入了Poison Ivy。 Poison Ivy是一个被广泛应用的远程控制工具,允许攻击者完全控制被植入机器。 |
|
更新时间: |
20180727 |
|
默认动作: |
丢弃 |
京公网安备11010802024551号