2018-08-23
发布时间 2018-08-23新增事件
事件名称: |
TCP_木马后门_DMShell++_连接 |
事件级别: |
中级事件 |
安全类型: |
木马后门 |
事件描述: |
检测到DMShell++试图连接远程服务器。源IP所在的主机可能被植入了DMShell++。 DMShell ++是一个用PowerShell编写的后门程序。当DMShell++和服务器建立TCP连接后,首先调用SendLoginInfo函数,该函数以TOKEN | * | IP ADDRESS | * | WINDOWS VERSION | * | USER NAME的形式向C2服务器发送有关系统的信息。一旦发送了第一个数据包,脚本就会进入无限循环,等待来自C2服务器的命令。 |
更新时间: |
20180823 |
默认动作: |
丢弃 |
事件名称: |
TCP_后门_Win32.NewCore_连接 |
事件级别: |
中级事件 |
安全类型: |
木马后门 |
事件描述: |
检测到NewCore试图连接远程服务器。源IP所在的主机可能被植入了NewCore。 NewCore是一个非常强大的后门,运行后可完全控制被植入机器。NewCore的核心模块是从C&C服务器上下载下来的。 |
更新时间: |
20180823 |
默认动作: |
丢弃 |
事件名称: |
HTTP_Struts2_S2-057远程代码执行攻击[CVE-2018-11776] |
事件级别: |
高级事件 |
安全类型: |
安全漏洞 |
事件描述: |
检测到源IP主机正试图通过Apache Struts2框架命令执行漏洞攻击目的IP主机。 Apache Struts是美国阿帕奇(Apache)软件基金会负责维护的一款用于创建企业级Java Web应用的开源框架。 Apache Struts 2.3至2.3.34版本与2.5至2.5.16版本中存在远程命令执行漏洞。远程攻击者在对方Struts2的XML配置中的namespace值未设置且(Action Configuration)中未设置或用通配符namespace时利用该漏洞执行任意OGNL表达式。 |
更新时间: |
20180823 |
默认动作: |
丢弃 |
修改事件
事件名称: |
HTTP_WEB命令注入攻击 |
事件级别: |
中级事件 |
安全类型: |
CGI攻击 |
事件描述: |
检测到源IP地址主机正在向目的IP地址主机进行命令注入攻击。 Web命令注入攻击就是WEB系统对用户输入的数据没有进行严格的过滤就使用,从而给黑客留下了可乘之机,攻击者可以在提交的数据中加入一些系统命令获得服务器的敏感信息或者数据。 |
更新时间: |
20180823 |
默认动作: |
丢弃 |
事件名称: |
HTTP_后门_Win32.Neutrino_连接 |
事件级别: |
中级事件 |
安全类型: |
木马后门 |
事件描述: |
检测到木马试图连接远程服务器。源IP所在的主机可能被植入了后门Neutrino。 Neutrino是一个僵尸网络,功能非常强大,运行后可完全控制被植入机器。 |
更新时间: |
20180823 |
默认动作: |
丢弃 |
事件名称: |
TCP_后门_Win32.Remcos_连接 |
事件级别: |
中级事件 |
安全类型: |
木马后门 |
事件描述: |
检测到木马试图连接远程服务器。源IP所在的主机可能被植入了Remcos。 Remcos是一个功能强大的远控,运行后可完全控制被植入机器。 |
更新时间: |
20180823 |
默认动作: |
丢弃 |
事件名称: |
TCP_后门_Win32.Kortos_连接 |
事件级别: |
中级事件 |
安全类型: |
木马后门 |
事件描述: |
检测到木马试图连接远程服务器。源IP所在的主机可能被植入了Kortos。 Kortos是一个基于AutoIT脚本的后门,运行后可完全控制被植入机器。 |
更新时间: |
20180823 |
默认动作: |
丢弃 |
事件名称: |
HTTP_Malware_yty.Downloader_连接 |
事件级别: |
中级事件 |
安全类型: |
木马后门 |
事件描述: |
检测到木马试图连接远程服务器。yty.downloader是一个下载程序,负责检索包含附加功能的模块/插件。 yty是一种新的模块化恶意软件框架,主要关注文件收集,截图和键盘记录。 |
更新时间: |
20180823 |
默认动作: |
丢弃 |
事件名称: |
HTTP_Malware_yty_上传信息 |
事件级别: |
中级事件 |
安全类型: |
木马后门 |
事件描述: |
检测到木马试图连接远程服务器。源IP所在的主机可能被植入了yty,正在上传信息。 yty是一种新的模块化恶意软件框架,主要关注文件收集,截图和键盘记录。 |
更新时间: |
20180823 |
默认动作: |
丢弃 |
事件名称: |
HTTP_木马_msfte(T-APT-02)_连接 |
事件级别: |
中级事件 |
安全类型: |
木马后门 |
事件描述: |
检测到木马试图连接远程服务器。源IP所在的主机可能被植入了msfte。 msfte是一个功能强大的木马,主要功能有:插件加载、上传插件收集的文件和接收C2下发的远程控制命令。 |
更新时间: |
20180823 |
默认动作: |
丢弃 |