2019-04-04

发布时间 2019-04-04

新增事件 
 

事件名称:

HTTP_D-Link_DIR-140L_DIR-640L_远程未认证获取设备管理员凭据漏洞

事件级别:

中级事件

安全类型:

安全漏洞

事件描述:

检测到源IP主机正在利用HTTP_D-Link_DIR-140L_DIR-640L_远程未认证获取设备管理员凭据漏洞攻击目的IP主机的行为。

更新时间:

20190405

默认动作:

丢弃

 

事件名称:

 HTTP_Cisco_RV320_路由器_1.4.2.15_命令注入漏洞

事件级别:

中级事件

安全类型:

安全漏洞

事件描述:

检测到源IP主机正在利用HTTP_Cisco_RV320_路由器_1.4.2.15_命令注入漏洞攻击目的IP主机的行为。

更新时间:

20190405

默认动作:

丢弃

 

事件名称:

 HTTP_木马后门_Win32.ServHelper_连接

事件级别:

中级事件

安全类型:

木马后门

事件描述:

检测到后门ServHelper试图连接远程服务器。源IP所在的主机可能被植入了后门ServHelper

ServHelper是黑客组织TA505所使用的一个后门,最早在201811月发现。一直在更新,不停有新命令被加进来。

更新时间:

20190405

默认动作:

丢弃

 

事件名称:

  HTTP_木马后门_VBS.SLoad_连接

事件级别:

中级事件

安全类型:

木马后门

事件描述:

检测到后门SLoad试图连接远程服务器。源IP所在的主机可能被植入了vbs后门SLoad

SLoad是一个基于VBS脚本的后门,利用了CVE-2018-20250漏洞进行传播。共支撑4个命令:d(删除自身)、Pr(下载实行其它恶意样本)Hw(获取硬件信息)av(获取安装的杀软)

更新时间:

20190405

默认动作:

丢弃

事件名称:

  TCP_后门_Gh0st.nbLGX_连接

事件级别:

中级事件

安全类型:

木马后门

事件描述:

检测到后门试图连接远程服务器。源IP所在的主机可能被植入了Gh0st.nbLGX

Gh0st.nbLGX是利用一个根据Gh0st远控的源码修改而来的后门。运行后可完全控制被植入机器。

更新时间:

20190405

默认动作:

丢弃

 

事件名称:

 HTTP_WordPress插件GraceMedia_Media_Player1.0本地文件包含漏洞

事件级别:

中级事件

安全类型:

安全漏洞

事件描述:

检测到源IP主机正在利用WordPress插件GraceMedia_Media_Player1.0本地文件包含攻击目的IP主机的行为,试图通过对特定参数传入恶意代码或命令来入侵目的IP主机。

更新时间:

20190405

默认动作:

丢弃

修改事件

事件名称:

 TCP_僵尸网络MyKings后门_PcStart连接

事件级别:

中级事件

安全类型:

木马后门

事件描述:

检测到木马试图连接远程服务器。源IP所在的主机可能被植入了木马PcStart,MyKing是一个功能强大的多重僵尸网络,整个僵尸网络由botnet.-1/0/1/2/3/4组成,botnet.0支撑了多数其他子僵尸网络的构建过程,其他各自拥有独立的上联控制端。其功能有僵尸网络、代理网络、挖矿网络。同时使用远控木马,黑客可以完全控制失陷计算机,控制之后可以做任何事情,其中就有窃取文件,监控屏幕,监控摄像头,监听麦克风。

更新时间:

20190405

默认动作:

丢弃