2019-12-10

发布时间 2019-12-10

新增事件


事件名称:

TCP_NSA_EternalBlue_(永恒之蓝)_SMB漏洞开始利用[MS17-010]_疑似

安全类型:

安全漏洞

事件描述:

检测到源IP对目的主机进行MS17-010漏洞利用的行为.

微软 Windows是MicroSoft发布的非常流行的操作系统。

如果攻击者向 微软 服务器发送经精心构造的畸形请求包,可以获取目标服务器的系统权限,并且完全控制目标系统。

更新时间:

20191210










事件名称:

TCP_NSA_EternalBlue_(永恒之蓝)_SMB漏洞写入shellcode[MS17-010]_完成shellcode写入

安全类型:

安全漏洞

事件描述:

检测到源IP对目的主机利用MS17-010漏洞写入shellcode的行为.

微软 Windows是MicroSoft发布的非常流行的操作系统。

如果攻击者向 微软 服务器发送经精心构造的畸形请求包,可以获取目标服务器的系统权限,并且完全控制目标系统。

更新时间:

20191210











事件名称:

HTTP_OpenDreamBox_操作系统命令注入漏洞[CVE-2017-14135]

安全类型:

安全漏洞

事件描述:

检测到试图通过利用OpenDreamBox操作系统命令注入漏洞进行攻击的行为。

OpenDreamBox 2.0.0版本中的webadmin插件的enigma2-plugins/blob/master/webadmin/src/WebChilds/Script.py文件存在安全漏洞。远程攻击者可通过向/script URL发送带有shell元字符的‘command’参数利用该漏洞实行任意的操作系统命令。

更新时间:

20191210











事件名称:

HTTP_Geutebruck_IP_Camera_G-Cam/EFD-2250安全漏洞

安全类型:

安全漏洞

事件描述:

检测到试图通过利用Geutebruck IP Camera G-Cam/EFD-2250安全漏洞来实行命令的行为。

Geutebruck IP Camera G-Cam/EFD-2250是德国Geutebruck企业的一款网络摄像机。

Geutebruck IP Camera G-Cam/EFD-2250 1.11.0.12版本中存在安全漏洞。远程攻击者可借助多个参数利用该漏洞访问root级别的操作系统,实行代码。

更新时间:

20191210












事件名称:

HTTP_HooToo_TripMate_Titan_HT-TM05操作系统命令注入漏洞

安全类型:

安全漏洞

事件描述:

检测到利用HooToo TripMate Titan HT-TM05 操作系统命令注入漏洞进行攻击的行为。

HooToo TripMate Titan HT-TM05是美国HooToo企业的一款便携式无线路由器。

使用2.000.022版本和2.000.082版本固件的HooToo TripMate Titan HT-TM05路由器中存在操作系统命令注入漏洞。该漏洞源于外部输入数据构造操作系统可实行命令过程中,网络系统或产品未正确过滤其中的特殊字符、命令等。攻击者可利用该漏洞实行非法操作系统命令。

更新时间:

20191210













事件名称:

HTTP_CyberArk_Software_Enterprise_Password_Vault代码问题漏洞[CVE-2019-7442]

安全类型:

安全漏洞

事件描述:

检测到利用CyberArk Software Enterprise Password Vault代码问题漏洞进行攻击的行为。

CyberArk Software Enterprise Password Vault是以色列CyberArk Software企业的一套企业密码凭证管理解决方案。

CyberArk Enterprise Password Vault 10.7及之前版本中的Password Vault Web Access (PVWA) 存在代码问题漏洞。该漏洞源于网络系统或产品的代码开发过程中存在设计或实现不当的问题。

更新时间:

20191203














事件名称:

DNS_木马后门_紫狐Gad_连接

安全类型:

木马后门

事件描述:

检测到紫狐木马试图连接远程服务器。源IP所在的主机可能被植入了紫狐木马。

紫狐是一款恶意木马,被不同安全厂商命名为黑狐、肥兔、掘金幽灵等。传播渠道多样,一般通过游戏外挂、第三方安装程序捆绑传播。还可以通过永恒之蓝以及MSSQL爆破进行传播。

紫狐木马运行之后,会下诸如流氓推广、DDoS攻击、挖矿、远控、主页劫持等多种恶意插件。其中DDoS攻击目标集中在游戏私服、棋牌赌博游戏、色情网站等灰产行业。

更新时间:

20191210













事件名称:

UDP_木马后门_紫狐Gad_连接

安全类型:

木马后门

事件描述:

检测到紫狐木马试图连接远程服务器。源IP所在的主机可能被植入了紫狐木马。

紫狐是一款恶意木马,被不同安全厂商命名为黑狐、肥兔、掘金幽灵等。传播渠道多样,一般通过游戏外挂、第三方安装程序捆绑传播。还可以通过永恒之蓝以及MSSQL爆破进行传播。

紫狐木马运行之后,会下诸如流氓推广、DDoS攻击、挖矿、远控、主页劫持等多种恶意插件。其中DDoS攻击目标集中在游戏私服、棋牌赌博游戏、色情网站等灰产行业。

更新时间:

20191210













事件名称:

TCP_木马后门_紫狐Gad_连接

安全类型:

木马后门

事件描述:

检测到紫狐木马试图连接远程服务器。源IP所在的主机可能被植入了紫狐木马。

紫狐是一款恶意木马,被不同安全厂商命名为黑狐、肥兔、掘金幽灵等。传播渠道多样,一般通过游戏外挂、第三方安装程序捆绑传播。还可以通过永恒之蓝以及MSSQL爆破进行传播。

紫狐木马运行之后,会下诸如流氓推广、DDoS攻击、挖矿、远控、主页劫持等多种恶意插件。其中DDoS攻击目标集中在游戏私服、棋牌赌博游戏、色情网站等灰产行业。

更新时间:

20191210













事件名称:

HTTP_Squid_v4.7_缓冲区溢出_远程代码实行漏洞[CVE-2019-12527]

安全类型:

缓冲溢出

事件描述:

该事件表明源IP主机正试图通过Squid v4.7的缓冲区溢出漏洞攻击目的IP主机。该漏洞是由于对Squid v4.7中的decodeAuthToken边界值缺乏检查而产生。未经身份验证的远程攻击者可以在目标服务器上实行任意代码。

更新时间:

20191210











事件名称:

HTTP_WordPress_Plugin_FastVelocityMinify_绝对路径泄露漏洞

安全类型:

安全漏洞

事件描述:

WordPress Plugin FastVelocityMinify 绝对路径泄露漏洞攻击目的IP主机的行为。

WordPress Plugin Fast Velocity Minify中存在绝对路径泄露漏洞,攻击者可利用该漏洞获取敏感信息。

更新时间:

20191210











修改事件


事件名称:

TCP_后门_VBS.H.Worm.Rat_连接

安全类型:

木马后门

事件描述:

检测到木马试图连接远程服务器。源IP所在的主机可能被植入了木马。

H-worm是一个基于VBS语言的后门,功能非常强大。H-worm借鉴了njRAT的开源代码,服务端为使用VBS脚本编写的蠕虫病毒,适用于Windows全系操作系统并且使用了比较先进的User-Agent传递数据的方式,主要传播方式有三种:电子邮件附件、恶意链接和被感染的U盘传播,蠕虫式的传播机制会形成大量的感染。因为其简洁有效的远控功能、非PE脚本易于免杀、便于修改等特性,一直被黑产所青睐而活跃至今。

更新时间:

20191210













事件名称:

HTTP_Jenkins_远程代码实行漏洞[CVE-2018-1000861]

安全类型:

安全漏洞

事件描述:

检测到源IP主机正在利用HTTP_Jenkins_远程代码实行漏洞攻击目的IP主机的行为

更新时间:

20191210