2019-07-05

发布时间 2019-07-06

新增事件

 

事件名称:

TCP_后门_Win32.Plurox_连接

事件级别:

中级事件

安全类型:

木马后门

事件描述:

检测到后门Plurox试图连接远程服务器。源IP所在的主机可能被植入了Plurox

Plurox是一个模块化的后门,运行后下载诸如挖矿、UPnPSMB等各类插件。SMB插件利用永恒之蓝漏洞传播Plurox

更新时间:

20190705

默认动作:

丢弃

 

事件名称:

HTTP_木马_Win.Felipe窃密木马_连接

事件级别:

中级事件

安全类型:

木马后门

事件描述:

检测到木马Win32.Felipe试图连接远程服务器。源IP所在的主机可能被植入了Felipe

Felipe是一个窃密木马,运行后上传系统敏感信息,并偷取受控主机的银行卡信息等。

更新时间:

20190705

默认动作:

丢弃

  

事件名称:

HTTP_木马后门_PowershellEmpire_连接

事件级别:

中级事件

安全类型:

木马后门

事件描述:

检测到Empire的后门模块试图连接远程服务器。源IP所在的主机可能被植入了Empire的后门模块。

Empire是一款类似Metasploit的渗透测试框架,使用PowerShell脚本作为攻击载荷。可以快速在后期部署漏洞利用模块,内置模块有键盘记录、Mimikatz、绕过UAC、内网扫描等。其内置了基于PowerShell的后门模块,功能类似于Meterpreter

更新时间:

20190705

默认动作:

丢弃

  

事件名称:

HTTP_Apache_Shiro_1.2.4_反序列化漏洞

事件级别:

高级事件

安全类型:

安全漏洞

事件描述:

检测到源IP利用Apache_Shiro反序列化漏洞进行攻击的行为

更新时间:

20190705

默认动作:

丢弃

 

 

修改事件

  

事件名称:

TCP_后门_KG.Rat_连接

事件级别:

中级事件

安全类型:

木马后门

事件描述:

检测到木马试图连接远程服务器。

IP所在的主机可能被植入了木马。

KuGou.Rat是一个后门,连接远程服务器,接受实行黑客指令,可以完全控制被感染机器。试图获取敏感,如记录按键信息,获取焦点窗口的标题。

更新时间:

20190705

默认动作:

丢弃

 

事件名称:

TCP_后门_Gh0st.DHLAR_连接

事件级别:

中级事件

安全类型:

木马后门

事件描述:

检测到后门试图连接远程服务器。源IP所在的主机可能被植入了后门DHLAR

Gh0st.DHLAR是利用一个根据Gh0st远控的源码修改而来的后门,运行后可以完全控制被植入机器。

更新时间:

20190705

默认动作:

丢弃

 

事件名称:

TCP_后门_Win32.天罚DDos_连接

事件级别:

中级事件

安全类型:

木马后门

事件描述:

检测到木马试图连接远程服务器。源IP所在的主机可能被植入了后门天罚。

天罚是一个DDoS平台,运行后,可以对指定目标机器发起DDoS攻击。

更新时间:

20190705

默认动作:

丢弃

 

事件名称:

TCP_僵尸网络MyKings后门_PcStart连接

事件级别:

中级事件

安全类型:

木马后门

事件描述:

检测到木马试图连接远程服务器。源IP所在的主机可能被植入了木马PcStart,MyKing是一个功能强大的多重僵尸网络,整个僵尸网络由botnet.-1/0/1/2/3/4组成,botnet.0支撑了多数其他子僵尸网络的构建过程,其他各自拥有独立的上联控制端。其功能有僵尸网络、代理网络、挖矿网络。同时使用远控木马,黑客可以完全控制失陷计算机,控制之后可以做任何事情,其中就有窃取文件,监控屏幕,监控摄像头,监听麦克风。

更新时间:

20190705

默认动作:

丢弃

 

事件名称:

TCP_僵尸网络MyKings后门_PcStart连接

事件级别:

中级事件

安全类型:

木马后门

事件描述:

检测到漏洞利用工具包Rig试图下载恶意App,源IP主机正在浏览的网页很可能被植入了恶意的脚本代码,被定向到漏洞利用工具包Rig的页面,导致下载恶意App。

Exploit Kit是漏洞利用工具包,预打包了安装程序、控制面板、恶意代码以及相当数量的攻击工具。一般来说,Exploit Kit会包含一系列不同的漏洞利用代码。攻击者会向合法的网站注入恶意的脚本或代码,以重定向到Exploit Kit页面。受害者浏览网页时即加载Exploit Kit的各种漏洞利用代码,最终下载其它恶意App。

Rig2014年出现的一款Exploit Kit即漏洞利用工具包,主要以JavaFlashSilverlight漏洞为目标。

更新时间:

20190705

默认动作:

丢弃