2019-08-20

发布时间 2019-08-20

新增事件


事件名称:

TCP_Adobe_Coldfusion基于JNBridge_listenerRCE漏洞[CVE-2019-7839]

事件级别:

高级事件

安全类型:

安全漏洞

事件描述:

检测到源IP正在利用Adobe ColdfusionRCE漏洞进行攻击的行为。

Adobe ColdFusion 是一个商用的快速开发平台。它可以作为一个开发平台使用,也可以提供Flash远程服务或者作为 Adobe Flex应用的后台服务器 。

更新时间:

20190820

默认动作:

丢弃











事件名称:

TCP_Exim_远程命令实行漏洞[CVE-2019-10149]

事件级别:

中级事件

安全类型:

注入攻击

事件描述:

检测到源IP主机正在利用TCP_Exim_远程代码实行漏洞攻击目的IP主机的行为。

更新时间:

20190820

默认动作:

丢弃









事件名称:

HTTP_abptts隧道连接

事件级别:

中级事件

安全类型:

木马后门

事件描述:

ABPTTSNCC-Group2016blackhat推出的一款将TCP流量通过HTTP/HTTPS进行流量转发,在目前云主机的大环境中,发挥了比较重要的作用,可以通过脚本进行RDP,SSH,Meterpreter的交互与连接。也意味着这样可以建立一个通过80端口得流量出站来逃避防火墙。与其它http隧道不同的是,abptts是全加密。

更新时间:

20190820

默认动作:

丢弃












事件名称:

TCP_后门_GravityRAT_连接

事件级别:

中级事件

安全类型:

木马后门

事件描述:

检测到GravityRAT试图连接远程服务器。源IP所在的主机可能被植入了远控GravityRAT

GravityRAT是一个攻击印度的APT组织使用的远程控制工具,允许攻击者控制被植入机器,并上传被控主机的各种敏感信息。

更新时间:

20190820

默认动作:

丢弃


事件名称:

HTTP_SCADA_PcVue_Activex_控件拒绝服务漏洞

事件级别:

中级事件

安全类型:

拒绝服务

事件描述:

检测到源IP主机正在利用PcVue Activex控件拒绝服务漏洞对目的主机进行攻击的行为。

PcVue ActiveX控件10.0以及其他可能版本中存在多个漏洞。远程攻击者可利用该漏洞创建或者重写任意本地文件并实行任意代码,拒绝服务。

更新时间:

20190820

默认动作:

通过


事件名称:

TCP_后门_Remote2019_连接

事件级别:

中级事件

安全类型:

木马后门

事件描述:

检测到Remote2019远控试图连接远程服务器。源IP所在的主机可能被植入了Remote2019远控。

Remote2019是一个功能强大远控,运行后可完全控制被植入机器。

更新时间:

20190820

默认动作:

丢弃


事件名称:

HTTP_冰蝎_木马连接

事件级别:

中级事件

安全类型:

木马后门

事件描述:

冰蝎是中国黑客圈内使用非常广泛的一款Webshell管理工具,用途十分广泛,支撑多种语言,具有文件管理,数据库管理,虚拟终端等多种功能。

更新时间:

20190820

默认动作:

丢弃


事件名称:

TCP_SCADA_Sunway_ForceControl_Activex_Control安全漏洞

事件级别:

中级事件

安全类型:

安全漏洞

事件描述:

检测到源IP主机正试图通过Sunway ForceControl Activex Control安全漏洞攻击目的IP主机。

Sunway ForceControl是一款基于PC控制的自动化App。

Sunway ForceControl 6.1 sp3及之前的版本中存在多个安全漏洞。远程攻击者可利用该漏洞在受影响应用程序上下文中实行任意代码并在服务器根目录外检索任意文件,或其他攻击。

更新时间:

20190820

默认动作:

通过



修改事件


事件名称:

HTTP_微软_Internet_Explorer_内存损坏漏洞[MS15-065][CVE-2015-2425]

事件级别:

中级事件

安全类型:

安全漏洞

事件描述:

检测到源IP主机正试图通过微软 Internet Explorer 内存损坏漏洞攻击目的IP主机。

微软 Internet ExplorerIE)是美国MicroSoft(微软)企业开发的一款Web浏览器,是Windows操作系统附带的默认浏览器。

微软 IE 11版本不正确地访问内存中的对象时,存在远程实行代码漏洞。该漏洞可能以一种攻击者可以在当前用户的上下文中实行任意代码的方式损坏内存。

更新时间:

20190820

默认动作:

通过