2018-12-14
发布时间 2018-12-14新增事件
|
事件名称: |
TCP_后门_Win32.TRat_连接 |
|
事件级别: |
中级事件 |
|
安全类型: |
木马后门 |
|
事件描述: |
检测到后门试图连接远程服务器。源IP所在的主机可能被植入了后门TRat。 TRat是黑客组织TA505使用的一个后门,一般通过邮件传播。 |
|
更新时间: |
20181214 |
|
默认动作: |
丢弃 |
|
事件名称: |
TCP_木马后门_Win32.Shannel_连接 |
|
事件级别: |
中级事件 |
|
安全类型: |
木马后门 |
|
事件描述: |
检测到木马Shannel试图连接远程服务器。源IP所在的主机可能被植入了Shannel。 Shannel是一个功能强大的木马,主要功能有:按键记录,收集系统信息,下载并运行其它木马后门,上传文件,截取屏幕,删除自身。Shannel运行后会向系统临时目录释放恶意的LBTServ.dll,核心功能都在此dll里实现。 |
|
更新时间: |
20181214 |
|
默认动作: |
丢弃 |
|
事件名称: |
HTTP_木马后门_Win32.Shannel_连接 |
|
事件级别: |
中级事件 |
|
安全类型: |
木马后门 |
|
事件描述: |
检测到木马Shannel试图连接远程服务器。源IP所在的主机可能被植入了Shannel。 Shannel是一个功能强大的木马,主要功能有:按键记录,收集系统信息,下载并运行其它木马后门,上传文件,截取屏幕,删除自身。Shannel运行后会向系统临时目录释放恶意的LBTServ.dll,核心功能都在此dll里实现。 |
|
更新时间: |
20181214 |
|
默认动作: |
丢弃 |
|
事件名称: |
HTTP_动态函数php小马_上传 |
|
事件级别: |
中级事件 |
|
安全类型: |
木马后门 |
|
事件描述: |
检测到后门木马脚本上传 |
|
更新时间: |
20181214 |
|
默认动作: |
丢弃 |
|
事件名称: |
HTTP_assert函数拼接php小马_上传 |
|
事件级别: |
中级事件 |
|
安全类型: |
木马后门 |
|
事件描述: |
检测到后门木马脚本上传 |
|
更新时间: |
20181214 |
|
默认动作: |
丢弃 |
|
事件名称: |
TCP_Konica_Minolta_FTP_Utility_1.0_ CWD_Command_Overflow[CVE-2015-7768] |
|
事件级别: |
中级事件 |
|
安全类型: |
安全漏洞 |
|
事件描述: |
检测到源IP主机正试图通过Konica_Minolta_FTP_Utility_1.0缓冲区溢出远程代码执行漏洞攻击目的IP主机。 |
|
更新时间: |
20181214 |
|
默认动作: |
丢弃 |
修改事件
事件名称:
TCP_后门_Win32.NewCore_连接
事件级别:
中级事件
安全类型:
木马后门
事件描述:
检测到NewCore试图连接远程服务器。源IP所在的主机可能被植入了NewCore。 NewCore是一个非常强大的后门,运行后可完全控制被植入机器。NewCore的核心模块是从C&C服务器上下载下来的。
更新时间:
20181214
默认动作:
丢弃
京公网安备11010802024551号