2018-09-07
发布时间 2018-09-07新增事件
|
事件名称: |
HTTP_木马后门_Marap.Downloader_连接 |
|
事件级别: |
中级事件 |
|
安全类型: |
木马后门 |
|
事件描述: |
检测到Marap试图连接远程服务器。源IP所在的主机可能被植入了Marap。 Marap是一个新的downloader,以其命令和控制(C&C)服务器的参数“param”反向拼写命名。它是采用C语言编写的,其中包含了一些值得注意的反分析功能。 |
|
更新时间: |
20180907 |
|
默认动作: |
丢弃 |
|
事件名称: |
TCP_Artica_Web_Proxy_跨站脚本漏洞[CVE-2017-17055] |
|
事件级别: |
中级事件 |
|
安全类型: |
安全漏洞 |
|
事件描述: |
检测到源IP主机正在利用Artica Web Proxy远程代码执行漏洞攻击目的IP主机的行为,试图通过远程执行任意代码或命令。 Artica Web Proxy是一套企业级网络安全和控制解决方案。该方案具有多系统集中管理、网址保护和身份验证等功能。 Artica Web Proxy 3.06.112911之前的版本中存在跨站脚本漏洞。远程攻击者可利用该漏洞以root权限执行任意代码。 |
|
更新时间: |
20180907 |
|
默认动作: |
丢弃 |
|
事件名称: |
UDP_Teluu_PJSIP_fmtp安全漏洞[CVE-2018-1000099] |
|
事件级别: |
中级事件 |
|
安全类型: |
安全漏洞 |
|
事件描述: |
检测到源IP主机正在利用Teluu PJSIP 安全漏洞攻击目的IP主机的行为。 Teluu PJSIP是一个使用C语言编写的开源、免费的多媒体通信库。pjmedia SDP是其中的一个SDP解析器。 Teluu PJSIP 2.7.1及之前的版本中的pjmedia SDP解析存在安全漏洞。攻击者可借助特制的消息利用该漏洞造成拒绝服务(崩溃)。 |
|
更新时间: |
20180907 |
|
默认动作: |
丢弃 |
修改事件
|
事件名称: |
TCP_后门_Win32.Remcos_连接 |
|
事件级别: |
中级事件 |
|
安全类型: |
木马后门 |
|
事件描述: |
检测到木马试图连接远程服务器。源IP所在的主机可能被植入了Remcos。 Remcos是一个功能强大的远控,运行后可完全控制被植入机器。 |
|
更新时间: |
20180907 |
|
默认动作: |
丢弃 |
|
事件名称: |
HTTP_后门_Downloader.vsrss(白象)_连接 |
|
事件级别: |
中级事件 |
|
安全类型: |
木马后门 |
|
事件描述: |
检测到木马试图连接远程服务器。源IP所在的主机可能被植入了vsrss。 vsrss.exe是一个下载执行模块,该模块会先创建自身的快捷方式到启动文件夹,然后设置两个定时器,第一个定时器每隔240秒会请求URL: http://ebeijingcn.live/templates/software.php 然后通过返回的结果判断是否需要下载执行程序,如果返回的数据里有用于下载的URL,则通过UrlDownLoadToFile下载文件到%AppData%\Microsoft\Network目录并执行,另外一个定时器每隔180秒执行一次,会将机器名和一些杀软信息发送至服务器上。 |
|
更新时间: |
20180907 |
|
默认动作: |
丢弃 |
京公网安备11010802024551号