2019-04-12
发布时间 2019-04-12新增事件
事件名称: |
HTTP_WordPress_Loco_Translate_2.2.1_本地包含漏洞 |
事件级别: |
中级事件 |
安全类型: |
安全漏洞 |
事件描述: |
检测到源IP主机正在利用WordPress插件Loco Translate 2.2.1本地文件包含攻击目的IP主机的行为,试图通过对特定参数传入恶意代码或命令来入侵目的IP主机。 |
更新时间: |
|
默认动作: |
丢弃 |
事件名称: |
HTTP_zzzphpv1.6.1_远程代码执行漏洞 |
事件级别: |
中级事件 |
安全类型: |
安全漏洞 |
事件描述: |
检测到源IP主机正在利用zzzphpv1.6.1远程代码执行漏洞攻击目的IP主机的行为。 |
更新时间: |
20190412 |
默认动作: |
丢弃 |
事件名称: |
HTTP_木马后门_SappyCache_连接 |
事件级别: |
中级事件 |
安全类型: |
木马后门 |
事件描述: |
检测到木马SappyCache试图连接远程服务器。源IP所在的主机可能被植入了SappyCache。 SappyCache是一个木马下载者,运行后上传系统信息,并根据C&C返回数据下载其它恶意样本。SappyCache很可能是朝鲜APT组织Lazarus所开发使用,主要通过CVE-2018-20250漏洞进行传播。 |
更新时间: |
20190412 |
默认动作: |
丢弃 |
事件名称: |
TCP_木马后门_DataMilk.Stealer_连接 |
事件级别: |
中级事件 |
安全类型: |
木马后门 |
事件描述: |
检测到木马试图连接远程服务器。源IP所在的主机可能被植入了DataMilk.Stealer。 DataMilk.Stealer是基于CSharp的木马,运行后下载核心模块MatherFuckerAv.dll。主要功能都在该dll里实现,包括窃密和远控等。可窃取主流浏览器、Wallets等客户端保存的账号密码。 |
更新时间: |
20190412 |
默认动作: |
丢弃 |
事件名称: |
HTTP_木马_Drun.Downloader_连接 |
事件级别: |
中级事件 |
安全类型: |
木马后门 |
事件描述: |
检测到木马Drun.Downloader试图连接远程服务器。源IP所在的主机可能被植入了Drun.Downloader。 Drun.Downloader是一个木马下载者,运行后上传系统信息,并根据C&C返回数据下载其它恶意样本。 |
更新时间: |
20190412 |
默认动作: |
丢弃 |
修改事件
事件名称: |
TCP_后门_PcClient.Rat_连接 |
事件级别: |
中级事件 |
安全类型: |
木马后门 |
事件描述: |
检测到木马试图连接远程服务器。源IP所在的主机可能被植入了木马。 PcClient.Rat是一个多模块后门。运行后可以完全控制被感染机器。向系统目录释放一个dll以及.sys文件,创建系统服务,去加载该dll。会尝试记录按键信息并上传。 |
更新时间: |
20190412 |
默认动作: |
丢弃 |
事件名称: |
HTTP_后门_Win32.Sakula_连接 |
事件级别: |
中级事件 |
安全类型: |
木马后门 |
事件描述: |
检测到木马试图连接远程服务器。 Win32.Sakula是一个后门,运行后允许攻击者完全控制被植入机器。主要通过IE 0day漏洞CVE-2014-0322传播。 |
更新时间: |
20190412 |
默认动作: |
丢弃 |
事件名称: |
TCP_后门_Win32.CodeShell_连接 |
事件级别: |
中级事件 |
安全类型: |
木马后门 |
事件描述: |
检测到木马试图连接远程服务器。源IP所在的主机可能被植入了CodeShell。 CodeShell是一个功能非常强大后门,可完全控制被植入机器。 |
更新时间: |
20190412 |
默认动作: |
丢弃 |
事件名称: |
HTTP_后门_Arsvbsloader_连接 |
事件级别: |
中级事件 |
安全类型: |
木马后门 |
事件描述: |
检测到后门试图连接远程服务器。源IP所在的主机可能被植入了Ars vbs loader。 Ars vbs loader是基于vbs脚本的后门,功能非常强大。有下载、更新自身、卸载自身、发起DDoS攻击等功能。也支持插件。 |
更新时间: |
20190412 |
默认动作: |
丢弃 |