2019-11-05

发布时间 2019-11-05

新增事件


事件名称:

TCP_木马后门_BuleheroRat_连接

事件级别:

中级事件

安全类型:

木马后门

事件描述:

检测到 BuleheroRat 试图连接远程服务器。源IP所在的主机可能被植入了远控 BuleheroRat BuleheroRat 是一个非常复杂的多功能木马,允许攻击者控制被植入机器,利用被植入机器进行挖矿,并且BuleheroRat 会通过利用一些已知漏洞或工具进行横向传播。

更新时间:

20191105

默认动作:

丢会话












事件名称:

HTTP_木马_BuleheroRat_连接

事件级别:

中级事件

安全类型:

木马后门

事件描述:

检测到 BuleheroRat 试图连接远程服务器。源IP所在的主机可能被植入了远控 BuleheroRat BuleheroRat 是一个非常复杂的多功能木马,允许攻击者控制被植入机器,利用被植入机器进行挖矿,并且BuleheroRat 会通过利用一些已知漏洞或工具进行横向传播。

更新时间:

20191105

默认动作:

丢会话












事件名称:

HTTP_Schneider_Electric_ClearSCADA_2013R1.2_GetOPCServers_ActiveX_

Control_缓冲溢出漏洞[CVE-2014-1848]

事件级别:

中级事件

安全类型:

缓冲溢出

事件描述:

该事件表明源IP主机正试图通过Schneider Electric ClearSCADA 2013R1.2 

ActiveX控件的缓冲区溢出漏洞攻击目的IP主机。

该攻击事件利用Schneider Electric ClearSCADA 2013R1.2 ActiveX控件

缓冲区溢出漏洞。该漏洞是由于对Schneider Electric ClearSCADA 2013R1.2 

ActiveX控件中的边界值缺乏检查而产生。未经身份验证的远程攻击者可以在目标

服务器上实行任意代码。

更新时间:

20191105

默认动作:

丢会话
















事件名称:

HTTP_木马_Win32.Bitcoin_连接

事件级别:

中级事件

安全类型:

木马后门

事件描述:

检测到木马试图连接远程服务器。源IP所在的主机可能被植入了窃取比特币的木马Bitcoin

Bitcoin是一个虚拟货币的窃密木马,可窃取多种虚拟货币的钱包数据发送到远程服务器,包括比特币BitcoinLitecoinDarkcoinMillionBitcoinCashBitconnectCoin等。

更新时间:

20191105

默认动作:

丢会话













事件名称:

HTTP_Cisco_IOS_XE互联操作系统_REST_API未授权访问漏洞[CVE-2019-12643]

事件级别:

中级事件

安全类型:

安全漏洞

事件描述:

检测到源IP主机正在利用Cisco IOS XE操作系统中的REST API虚拟服务容器存在的认证绕过漏洞进行攻击的行为

Cisco IOS XE是思科网络互联操作系统(IOS)的一个版本,它基于Linux操作系统,可在一个单独的进程中实行各种典型的IOS功能。IOS XE可以在各种物理硬件上运行,比如网络交换机、无线控制器、路由器以及虚拟化设备。从16.2版开始,IOS XE开始支撑“服务容器”,通过使用Linux虚拟容器(LXC)和基于内核的虚拟机(KVM)技术,IOS XE平台可直接托管各种应用。这些应用包括网络监控代理以及各类网络管控功能。

思科提供了一个服务容器,可将REST API功能添加到支撑服务容器的IOS XE设备上,管理员可通过基于HTTPAPI对设备进行管理。

Cisco IOS XE操作系统的Cisco REST API虚拟服务容器中存在一个认证绕过漏洞,是由于REST API身份验证服务默认启用了一个API调试端点而导致的。未经身份验证的远程攻击者可以通过向目标服务器发送精心设计的HTTP请求来获得id令牌,绕过身份验证。

更新时间:

20191105

默认动作:

丢会话























修改事件


事件名称:

HTTP_通用_目录穿越漏洞

事件级别:

中级事件

安全类型:

安全漏洞

事件描述:

检测到源IP主机正在尝试对目的IP主机进行目录穿越漏洞攻击的行为。

更新时间:

20191105

默认动作:

丢会话









事件名称:

HTTP_木马_Win.Nurjax.A_连接

事件级别:

中级事件

安全类型:

安全漏洞

事件描述:

检测到木马试图连接远程服务器。源IP所在的主机可能被植入了Nurjax.A木马。

Nurjax.A是一个恶意木马,盗取用户上网的金融信息等隐私信息。

更新时间:

20191105

默认动作:

丢会话