2019-12-24
发布时间 2019-12-24新增事件
事件名称:
HTTP_木马_BrowserStealer_连接
安全类型:
木马后门
事件描述:
检测到 BrowserStealer 试图连接远程服务器。源IP所在的主机可能被植入了BrowserStealer。
BrowserStealer 是一个窃密型木马,能够从用户浏览器中窃取用户保存的登录凭证,窃取的浏览器类型涵盖了市面上大部分浏览器。
更新时间:
20191224
事件名称:
HTTP_木马_SectorJ04.EmailStealers_连接
安全类型:
木马后门
事件描述:
检测到 SectorJ04.EmailStealers 试图连接远程服务器。源IP所在的主机可能被植入了SectorJ04.EmailStealers。
SectorJ04.EmailStealers 是一个电子邮件窃取程序,它能够收集Outlook和Thunderbird邮件客户端存储在注册表中的连接协议信息和帐户信息,例如SMTP,IMAP和POP3,并将它们以特定格式发送给攻击者服务器。
更新时间:
20191224
事件名称:
TCP_木马后门_XpertRAT_连接
安全类型:
木马后门
事件描述:
检测到 XpertRat 试图连接远程服务器。源IP所在的主机可能被植入了远控 XpertRat。XpertRat 是一个非常复杂的多功能远控木马,允许攻击者完全控制被植入机器。
更新时间:
20191224
事件名称:
HTTP_Linksys_WRT110路由器_命令注入漏洞[CVE-2013-3568]
安全类型:
安全漏洞
事件描述:
检测到试图通过利用Linksys
WRT110路由器命令注入漏洞进行攻击的行为。
Linksys WRT110是美国思科(Cisco)公司的一款无线路由器产品。
Linksys WRT110中存在命令注入漏洞。远程攻击者可利用这些漏洞执行执行管理员操作,并以root权限执行任意shell命令。
更新时间:
20191224
事件名称:
TCP_LG_SuperSign_CMS_v2.5_安全漏洞[CVE-2018-17173]
安全类型:
安全漏洞
事件描述:
检测到试图通过利用LG
SuperSign CMS v2.5安全漏洞来执行命令的行为。
LG SuperSign CMS是韩国乐金(LG)集团的一套针对LG webOS的内容管理系统。该系统支持连接外部数据库,并允许从移动设备访问服务器。
LG SuperSign CMS中存在存在安全漏洞。远程攻击可通过向qsr_server/device/getThumbnail发送‘sourceUri’参数利用该漏洞执行任意代码。
更新时间:
20191224
事件名称:
HTTP_WePresent_WIPG1000文件包含漏洞
安全类型:
安全漏洞
事件描述:
检测到利用WePresent_WIPG1000文件包含漏洞进行攻击的行为。
WePresent_WIPG1000是澳大利亚wePresentWiPG公司的一款用于多媒体互动教学、大型会议等的无线投影设备。
wePresent WiPG-1000设备中存在文件包含漏洞。攻击者可利用该漏洞读取非授权访问的文件。
更新时间:
20191224
事件名称:
HTTP_WePresent_WIPG1000_系统命令注入漏洞
安全类型:
安全漏洞
事件描述:
检测到利用WePresent WIPG1000系统命令注入漏洞进行攻击的行为。
WePresent_WIPG1000是澳大利亚wePresentWiPG公司的一款用于多媒体互动教学、大型会议等的无线投影设备。
wePresent WiPG-1000设备中存在系统命令注入漏洞。攻击者可利用该漏洞执行任意系统命令。
更新时间:
20191224
事件名称:
HTTP_后门_ScarCruft.Group123_连接
安全类型:
木马后门
事件描述:
检测到木马ScarCruft试图连接远程服务器。源IP所在的主机可能被植入了ScarCruft。
ScarCruft是朝鲜APT组织Group123所使用的一款后门,主要针对中韩的外贸行业。
更新时间:
20191224
事件名称:
DNS_木马后门_AnchorDNS_连接
安全类型:
木马后门
事件描述:
检测到后门AnchorDNS试图连接远程服务器。源IP所在的主机可能被植入了AnchorDNS。
AnchorDNS是TrickBot的变种,通过DNS协议与其C&C通信。主要针对高端金融目标,疑似来自Lazarus组织。
更新时间:
20191224
修改事件
事件名称:
TCP_NSA_EternalBlue_(永恒之蓝)_SMB漏洞利用(win8.1/2012-x64)
安全类型:
安全漏洞
事件描述:
检测到源IP主机对目的IP进行永恒之蓝漏洞利用的行为。
Microsoft Windows是微软发布的非常流行的操作系统。
如果攻击者向 Microsoft 服务器发送经精心构造的畸形请求包,可以获取目标服务器的系统权限,并且完全控制目标系统。
更新时间:
20191224
事件名称:
HTTP_Microsoft_ASP_NET哈希冲突远程拒绝服务漏洞[MS11-100][CVE-2011-3414]
安全类型:
安全漏洞
事件描述:
检测到源IP主机正试图通过Microsoft ASP.NET哈希冲突远程拒绝服务漏洞[[MS11-100]攻击目的IP地址主机。
ASP.NET是一套由Microsoft分发的帮助开发者构建基于WEB应用的系统。Microsoft ASP.NET在处理其表单请求值时会造成哈希冲突,攻击者通过发送一些特制的ASP.NET表单请求到受影响ASP.NET站点。利用此漏洞导致使用ASP.NET的站点CPU占用率剧增,失去响应正常情况的能力。
更新时间:
20191224
事件名称:
HTTP_后门_APT组织_MuddyWater_远程服务器连接
安全类型:
安全漏洞
事件描述:
检测到木马后门试图连接远程服务器。源IP所在的主机可能被植入了MuddyWater组织利用的后门。
MuddyWater是一个主要针对伊拉克和沙特阿拉伯的政府机构的APT组织,该APT组织背后的团队同样针对中东欧洲和美国等其他国家。其主要利用Powershell进行他们的恶意行为,在一系列行动中衍生出了他们的专有木马POWERSTATS。该组织的攻击目标主要集中在政府,通信与石油领域,该组织疑似来自于伊朗。该事件表明MuddyWater组织利用后门与远程服务器连接并接收命令执行。
更新时间:
20191224