2018-07-27

发布时间 2018-07-27

新增事件

事件名称:

HTTP_木马后门_Win32.Zediv_连接

事件级别:

中级事件

安全类型:

木马后门 

事件描述:

检测到Zediv试图连接远程服务器。源IP所在的主机可能被植入了Zediv。 Zediv是一个窃密木马,可以窃取主流浏览器保存的账号密码。 

更新时间:

20180727

默认动作:

丢弃

 

 

事件名称:

TCP_后门_PoisonIvy_Keepalive_连接3

事件级别:

中级事件

安全类型:

木马后门

事件描述:

检测到PoisonIvy的心跳包数据。源IP所在的主机可能被植入了Poison Ivy。 Poison Ivy是一个被广泛应用的远程控制工具,允许攻击者完全控制被植入机器。 

更新时间:

20180727

默认动作:

丢弃

 

 

事件名称:

UDP_木马后门_Plaintee(Rancore)_连接1

事件级别:

中级事件

安全类型:

木马后门

事件描述:

检测到后门试图连接远程服务器。源IP所在的主机可能被植入了Plaintee。 Plaintee是APT组织Rancore使用的后门。运行后,允许攻击者远程访问被植入机器。

更新时间:

20180727

默认动作:

丢弃

 

事件名称:

UDP_木马后门_Plaintee(Rancore)_连接2

事件级别:

中级事件

安全类型:

木马后门

事件描述:

检测到后门试图连接远程服务器。源IP所在的主机可能被植入了Plaintee。 Plaintee是APT组织Rancore使用的后门。运行后,允许攻击者远程访问被植入机器。 

更新时间:

20180727

默认动作:

丢弃

 

事件名称:

UDP_木马后门_Plaintee(Rancore)_连接3

事件级别:

中级事件

安全类型:

木马后门

事件描述:

检测到后门试图连接远程服务器。源IP所在的主机可能被植入了Plaintee。 Plaintee是APT组织Rancore使用的后门。运行后,允许攻击者远程访问被植入机器。 

更新时间:

20180727

默认动作:

丢弃

 

事件名称:

UDP_木马后门_Plaintee(Rancore)_连接4 

事件级别:

中级事件

安全类型:

木马后门

事件描述:

检测到后门试图连接远程服务器。源IP所在的主机可能被植入了Plaintee。 Plaintee是APT组织Rancore使用的后门。运行后,允许攻击者远程访问被植入机器。 

更新时间:

20180727

默认动作:

丢弃

 

事件名称:

UDP_木马后门_Plaintee(Rancore)_连接5

事件级别:

中级事件

安全类型:

木马后门

事件描述:

检测到后门试图连接远程服务器。源IP所在的主机可能被植入了Plaintee。 Plaintee是APT组织Rancore使用的后门。运行后,允许攻击者远程访问被植入机器。 

更新时间:

20180727

默认动作:

丢弃

 

事件名称:

UDP_木马后门_Plaintee(Rancore)_连接6

事件级别:

中级事件

安全类型:

木马后门

事件描述:

检测到后门试图连接远程服务器。源IP所在的主机可能被植入了Plaintee。 Plaintee是APT组织Rancore使用的后门。运行后,允许攻击者远程访问被植入机器。 

更新时间:

20180727

默认动作:

丢弃

 

事件名称:

UDP_木马后门_Plaintee(Rancore)_连接7

事件级别:

中级事件

安全类型:

木马后门

事件描述:

检测到后门试图连接远程服务器。源IP所在的主机可能被植入了Plaintee。 Plaintee是APT组织Rancore使用的后门。运行后,允许攻击者远程访问被植入机器。 

更新时间:

20180727

默认动作:

丢弃

 

事件名称:

UDP_木马后门_Plaintee(Rancore)_连接8

事件级别:

中级事件

安全类型:

木马后门

事件描述:

检测到后门试图连接远程服务器。源IP所在的主机可能被植入了Plaintee。 Plaintee是APT组织Rancore使用的后门。运行后,允许攻击者远程访问被植入机器。 

更新时间:

20180727

默认动作:

丢弃

 

事件名称:

HTTP_木马后门_FusionCore_连接

事件级别:

中级事件

安全类型:

木马后门

事件描述:

检测到FusionCore试图连接远程服务器。源IP所在的主机可能被植入了FusionCore。
FusionCore是一个木马下载者,运行后下载其它恶意样本到被植入机器。 

更新时间:

20180727

默认动作:

丢弃

 

事件名称:

HTTP_勒索App_GandCrab_v4

事件级别:

中级事件

安全类型:

木马后门

事件描述:

检测到勒索App试图连接远程服务器。源IP所在的主机可能被植入了GandCrab。
GandCrab是著名勒索App。运行后,受害者主机文件会被加密,并要求缴纳赎金。
外联链接用于进行配置文件下载,用于进行勒索App的落地。

更新时间:

20180727

默认动作:

丢弃


修改事件

事件名称:

TCP_后门_Win32.FlawedAmmyyRat_连接

事件级别:

中级事件

安全类型:

木马后门

事件描述:

检测到木马试图连接远程服务器。源IP所在的主机可能被植入了Flawed Ammyy Rat变种。
Flawed Ammyy Rat是一个功能强大的后门,可完全控制被感染机器。

更新时间:

20180727

默认动作:

丢弃

 

事件名称:

HTTP_Linux命令注入攻击

事件级别:

中级事件

安全类型:

木马后门

事件描述:

命令注入攻击,是指这样一种攻击手段,黑客通过把系统命令加入到web请求页面头部信息中,一个恶意黑客以利用这种攻击方法来非法获取数据或者网络、系统资源。 

更新时间:

20180727

默认动作:

丢弃

 

事件名称:

HTTP_后门_ProRatr_下载恶意代码

事件级别:

中级事件

安全类型:

木马后门

事件描述:

更新时间:2009-10-26 该事件表明源IP地址主机的木马服务端正在请求下载目的IP地址的恶意代码。 该事件中的源IP地址是被植入木马服务端的主机。 该木马又名Backdoor.W32.ProRatr,它会获取用户系统的操作权限,然后连接到攻击者的远程服务器,以便攻击者盗窃电脑中的信息或对电脑进行非法控制。 

更新时间:

20180727

默认动作:

丢弃

 

事件名称:

TCP_后门_PoisonIvy_Keepalive_连接2

事件级别:

中级事件

安全类型:

木马后门

事件描述:

检测到PoisonIvy的心跳包数据。源IP所在的主机可能被植入了Poison Ivy。 Poison Ivy是一个被广泛应用的远程控制工具,允许攻击者完全控制被植入机器。

更新时间:

20180727

默认动作:

丢弃