2019-06-22

发布时间 2019-06-22

新增事件


事件名称:

TCP_NSA_EternalChampion_(永恒冠军)_SMB远程代码实行漏洞Sync_Response[MS17-010]

事件级别:

高级事件

安全类型:

安全漏洞

事件描述:

检测到源IP主机正在利用微软 Windows SMB远程代码实行漏洞进行攻击的行为。

微软 Windows是MicroSoft发布的非常流行的操作系统。

如果攻击者向 微软 服务器发送经精心构造的畸形请求包,可以获取目标服务器的系统权限,并且完全控制目标系统。

更新时间:

20190622

默认动作:

丢弃

 

事件名称:

TTCP_NSA_EternalChampion_(永恒冠军)_SMB远程代码实行漏洞Sync_Request[MS17-010]

事件级别:

高级事件

安全类型:

安全漏洞

事件描述:

检测到源IP主机正在利用微软 Windows SMB远程代码实行漏洞进行攻击的行为。

微软 Windows是MicroSoft发布的非常流行的操作系统。

如果攻击者向 微软 服务器发送经精心构造的畸形请求包,可以获取目标服务器的系统权限,并且完全控制目标系统。

更新时间:

20190622

默认动作:

丢弃

 

事件名称:

TCP_NSA_EternalRomance_(永恒浪漫)_SMB远程代码实行漏洞3[MS17-010]

事件级别:

高级事件

安全类型:

安全漏洞

事件描述:

检测到源IP主机正在利用微软 Windows SMB远程代码实行漏洞进行攻击的行为。

微软 Windows是MicroSoft发布的非常流行的操作系统。

如果攻击者向 微软 服务器发送经精心构造的畸形请求包,可以获取目标服务器的系统权限,并且完全控制目标系统。

更新时间:

20190622

默认动作:

丢弃

 

事件名称:

TCP_NSA_EternalRomance_(永恒浪漫)_SMB远程代码实行漏洞2[MS17-010]

事件级别:

高级事件

安全类型:

安全漏洞

事件描述:

检测到漏洞利用工具包Rig试图下载恶意App,源IP主机正在浏览的网页很可能被植入了恶意的脚本代码,被定向到漏洞利用工具包Rig的页面,导致下载恶意App。

Exploit Kit是漏洞利用工具包,预打包了安装程序、控制面板、恶意代码以及相当数量的攻击工具。一般来说,Exploit Kit会包含一系列不同的漏洞利用代码。攻击者会向合法的网站注入恶意的脚本或代码,以重定向到Exploit Kit页面。受害者浏览网页时即加载Exploit Kit的各种漏洞利用代码,最终下载其它恶意App。

Rig2014年出现的一款Exploit Kit即漏洞利用工具包,主要以JavaFlashSilverlight漏洞为目标。

更新时间:

20190622

默认动作:

丢弃

 

事件名称:

TCP_NSA_EternalRomance_(永恒浪漫)_SMB远程代码实行漏洞1[MS17-010]

事件级别:

高级事件

安全类型:

安全漏洞

事件描述:

检测到源IP主机正向目的主机上传或下载jsp木马

更新时间:

20190622

默认动作:

丢弃

 

事件名称:

HTTP_木马后门_ASP_webshell一句话木马下载

事件级别:

高级事件

安全类型:

木马后门

事件描述:

检测到远程实行命令中包含下载watchbog挖矿木马行为

更新时间:

20190622

默认动作:

丢弃

 

事件名称:

HTTP_Nexus_Repository_Manager_3远程代码实行漏洞[CVE-2019-7238]

事件级别:

高级事件

安全类型:

安全漏洞

事件描述:

Nexus Repository Manager用于搭建Maven私服,用于管理报告和文档的项目管理App

更新时间:

20190622

默认动作:

丢弃

 


修改事件


事件名称:

TCP_后门_Gh0st.DHLAR_连接

事件级别:

中级事件

安全类型:

木马后门

事件描述:

检测到后门试图连接远程服务器。源IP所在的主机可能被植入了后门DHLAR

Gh0st.DHLAR是利用一个根据Gh0st远控的源码修改而来的后门,运行后可以完全控制被植入机器。

更新时间:

20190622

默认动作:

丢弃

 

事件名称:

HTTP_僵尸网络_MiraiXMiner_连接

事件级别:

中级事件

安全类型:

木马后门

事件描述:

检测到僵尸网络MiraiXMiner试图连接远程服务器。源IP所在的主机可能被植入了MiraiXMiner

MiraiXMiner是一个仍然活跃着的僵尸网络,融合了多种已知病毒家族,包括MiraiMyKings、远控、挖矿等。利用永恒之蓝漏洞、闭路电视物联网设备漏洞、MSSQL漏洞、RDP爆破和Telnet爆破等方式传播自身。

更新时间:

20190622

默认动作:

丢弃

 

事件名称:

TCP_NSA_Windows_SMB_DoublePulsar植入成功2

事件级别:

高级事件

安全类型:

木马后门

事件描述:

检测到通过MS17-010的漏洞植入DoublePulsar后门的行为。

微软 Windows是美国MicroSoft(微软)企业发布的一系列操作系统。SMBv1 server是其中的一个服务器协议组件。DoublePulsar是一个后门程序,用于在已感染的系统上注入和运行恶意代码。

微软 Windows中的SMBv1服务器存在远程代码实行漏洞。远程攻击者可借助特制的数据包利用该漏洞植入DoublePulsar后门。

更新时间:

20190622

默认动作:

丢弃

 

事件名称:

HTTP_木马后门_webshell_china_chopper_customize控制命令

事件级别:

中级事件

安全类型:

木马后门

事件描述:

该事件表明源IP地址主机上的中国菜刀客户端正在向目的IP地址主机上的webshell服务器端发出控制命令。

webshellweb入侵的脚本攻击工具。简单说,webshell就是一个用aspphp等编写的木马后门,攻击者在入侵了一个网站后,常常将这些aspphp等木马后门文件放置在网站服务器的web目录中,与正常的网页文件混在一起。然后攻击者就可以用web的方式,通过该木马后门控制网站服务器,包括上传下载文件、查看数据库、实行任意程序命令等。webshell可以穿越防火墙,由于与被控制的服务器或远程主机交换的数据都是通过80端口传递的,因此不会被防火墙拦截。并且使用webshell一般不会在系统日志中留下记录,只会在网站的web日志中留下一些数据提交记录,管理员较难看出入侵痕迹。

更新时间:

20190622

默认动作:

丢弃

 

事件名称:

HTTP_木马后门_webshell_jsp_Runtime-reflect

事件级别:

中级事件

安全类型:

木马后门

事件描述:

检测到源IP主机正向目的主机上传或下载jsp木马

更新时间:

20190622

默认动作:

丢弃

 

事件名称:

HTTP_fastjson_JSON反序列化_远程代码实行漏洞[CVE-2017-18349]

事件级别:

中级事件

安全类型:

安全漏洞

事件描述:

检测到源IP主机正在利用fastjsonJSON反序列化远程代码实行漏洞对目的主机进行攻击的行为,试图通过传入精心构造的恶意代码或命令来入侵目的IP主机。

fastjson1.2.24以及之前版本存在远程代码实行高危安全漏洞。开发者在使用fastjson时,如果编写不当,可能导致JSON反序列化远程代码实行漏洞。攻击者通过发送一个精心构造的JSON序列化恶意代码,当程序实行JSON反序列化的过程中实行恶意代码,从而导致远程代码实行。

更新时间:

20190622

默认动作:

丢弃

 

事件名称:

TCP_Oracle_WebLogic_反序列化漏洞[CVE-2015-4852/2018-2628]

事件级别:

中级事件

安全类型:

木马后门

事件描述:

检测到源IP利用weblogic反序列化漏洞进行攻击的行为

Oracle Weblogic Server是应用程序服务器。

Oracle WebLogic Server 10.3.6.0, 12.1.2.0, 12.1.3.0, 12.2.1.0版本中,WLS Security组件允许远程攻击者实行任意命令。攻击者通过向TCP端口7001发送T3协议流量,其中包含

精心构造的序列化Java对象利用此漏洞。此漏洞影响到WLS Security Handler的文件

oracle_common/modules/com.bea.core.apache.commons.collections.jar内一个未知的函数。

更新时间:

20190622

默认动作:

丢弃

  

事件名称:

HTTP_木马后门_ASP_webshell一句话木马上传

事件级别:

中级事件

安全类型:

木马后门

事件描述:

检测到源IP主机正向目的主机上传ASP一句话木马的行为

攻击者尝试向服务器上传ASP一句话木马文件,如果上传成功将通过一句话木马连接工具对服务器进行控制。

更新时间:

20190622

默认动作:

丢弃

 


删除事件 


1. IMAP_find_缓冲区溢出攻击尝试[CVE-2000-0284] 
2. IMAP_list_缓冲区溢出攻击尝试1[CVE-2000-0284]
3. TCP_微软_UPnP_NOTIFY_缓冲区溢出攻击[CVE-2001-0876]