2019-07-05
发布时间 2019-07-06新增事件
事件名称: |
TCP_后门_Win32.Plurox_连接 |
事件级别: |
中级事件 |
安全类型: |
木马后门 |
事件描述: |
检测到后门Plurox试图连接远程服务器。源IP所在的主机可能被植入了Plurox。 Plurox是一个模块化的后门,运行后下载诸如挖矿、UPnP、SMB等各类插件。SMB插件利用永恒之蓝漏洞传播Plurox。 |
更新时间: |
20190705 |
默认动作: |
丢弃 |
事件名称: |
HTTP_木马_Win.Felipe窃密木马_连接 |
事件级别: |
中级事件 |
安全类型: |
木马后门 |
事件描述: |
检测到木马Win32.Felipe试图连接远程服务器。源IP所在的主机可能被植入了Felipe。 Felipe是一个窃密木马,运行后上传系统敏感信息,并偷取受控主机的银行卡信息等。 |
更新时间: |
20190705 |
默认动作: |
丢弃 |
事件名称: |
HTTP_木马后门_PowershellEmpire_连接 |
事件级别: |
中级事件 |
安全类型: |
木马后门 |
事件描述: |
检测到Empire的后门模块试图连接远程服务器。源IP所在的主机可能被植入了Empire的后门模块。 Empire是一款类似Metasploit的渗透测试框架,使用PowerShell脚本作为攻击载荷。可以快速在后期部署漏洞利用模块,内置模块有键盘记录、Mimikatz、绕过UAC、内网扫描等。其内置了基于PowerShell的后门模块,功能类似于Meterpreter。 |
更新时间: |
20190705 |
默认动作: |
丢弃 |
事件名称: |
HTTP_Apache_Shiro_1.2.4_反序列化漏洞 |
事件级别: |
高级事件 |
安全类型: |
安全漏洞 |
事件描述: |
检测到源IP利用Apache_Shiro反序列化漏洞进行攻击的行为 |
更新时间: |
20190705 |
默认动作: |
丢弃 |
修改事件
事件名称: |
TCP_后门_KG.Rat_连接 |
事件级别: |
中级事件 |
安全类型: |
木马后门 |
事件描述: |
检测到木马试图连接远程服务器。 源IP所在的主机可能被植入了木马。 KuGou.Rat是一个后门,连接远程服务器,接受执行黑客指令,可以完全控制被感染机器。试图获取敏感,如记录按键信息,获取焦点窗口的标题。 |
更新时间: |
20190705 |
默认动作: |
丢弃 |
事件名称: |
TCP_后门_Gh0st.DHLAR_连接 |
事件级别: |
中级事件 |
安全类型: |
木马后门 |
事件描述: |
检测到后门试图连接远程服务器。源IP所在的主机可能被植入了后门DHLAR。 Gh0st.DHLAR是利用一个根据Gh0st远控的源码修改而来的后门,运行后可以完全控制被植入机器。 |
更新时间: |
20190705 |
默认动作: |
丢弃 |
事件名称: |
TCP_后门_Win32.天罚DDos_连接 |
事件级别: |
中级事件 |
安全类型: |
木马后门 |
事件描述: |
检测到木马试图连接远程服务器。源IP所在的主机可能被植入了后门天罚。 天罚是一个DDoS平台,运行后,可以对指定目标机器发起DDoS攻击。 |
更新时间: |
20190705 |
默认动作: |
丢弃 |
事件名称: |
TCP_僵尸网络MyKings后门_PcStart连接 |
事件级别: |
中级事件 |
安全类型: |
木马后门 |
事件描述: |
检测到木马试图连接远程服务器。源IP所在的主机可能被植入了木马PcStart,MyKing是一个功能强大的多重僵尸网络,整个僵尸网络由botnet.-1/0/1/2/3/4组成,botnet.0支撑了多数其他子僵尸网络的构建过程,其他各自拥有独立的上联控制端。其功能有僵尸网络、代理网络、挖矿网络。同时使用远控木马,黑客可以完全控制失陷计算机,控制之后可以做任何事情,其中就有窃取文件,监控屏幕,监控摄像头,监听麦克风。 |
更新时间: |
20190705 |
默认动作: |
丢弃 |
事件名称: |
TCP_僵尸网络MyKings后门_PcStart连接 |
事件级别: |
中级事件 |
安全类型: |
木马后门 |
事件描述: |
检测到漏洞利用工具包Rig试图下载恶意软件,源IP主机正在浏览的网页很可能被植入了恶意的脚本代码,被定向到漏洞利用工具包Rig的页面,导致下载恶意软件。 Exploit Kit是漏洞利用工具包,预打包了安装程序、控制面板、恶意代码以及相当数量的攻击工具。一般来说,Exploit Kit会包含一系列不同的漏洞利用代码。攻击者会向合法的网站注入恶意的脚本或代码,以重定向到Exploit Kit页面。受害者浏览网页时即加载Exploit Kit的各种漏洞利用代码,最终下载其它恶意软件。 Rig是2014年出现的一款Exploit Kit即漏洞利用工具包,主要以Java,Flash和Silverlight漏洞为目标。 |
更新时间: |
20190705 |
默认动作: |
丢弃 |