2019-12-24

发布时间 2019-12-24

新增事件


事件名称:

HTTP_木马_BrowserStealer_连接

安全类型:

木马后门

事件描述:

检测到 BrowserStealer 试图连接远程服务器。源IP所在的主机可能被植入了BrowserStealer

BrowserStealer 是一个窃密型木马,能够从用户浏览器中窃取用户保存的登录凭证,窃取的浏览器类型涵盖了市面上大部分浏览器。

更新时间:

20191224










事件名称:

HTTP_木马_SectorJ04.EmailStealers_连接

安全类型:

木马后门

事件描述:

检测到 SectorJ04.EmailStealers 试图连接远程服务器。源IP所在的主机可能被植入了SectorJ04.EmailStealers

SectorJ04.EmailStealers 是一个电子邮件窃取程序,它能够收集OutlookThunderbird邮件客户端存储在注册表中的连接协议信息和帐户信息,例如SMTPIMAPPOP3,并将它们以特定格式发送给攻击者服务器。

更新时间:

20191224











事件名称:

TCP_木马后门_XpertRAT_连接

安全类型:

木马后门

事件描述:

检测到 XpertRat 试图连接远程服务器。源IP所在的主机可能被植入了远控 XpertRatXpertRat 是一个非常复杂的多功能远控木马,允许攻击者完全控制被植入机器。

更新时间:

20191224









事件名称:

HTTP_Linksys_WRT110路由器_命令注入漏洞[CVE-2013-3568]

安全类型:

安全漏洞

事件描述:

检测到试图通过利用Linksys WRT110路由器命令注入漏洞进行攻击的行为。

Linksys WRT110是美国思科(Cisco)企业的一款无线路由器产品。

Linksys WRT110中存在命令注入漏洞。远程攻击者可利用这些漏洞实行实行管理员操作,并以root权限实行任意shell命令。

更新时间:

20191224










事件名称:

TCP_LG_SuperSign_CMS_v2.5_安全漏洞[CVE-2018-17173]

安全类型:

安全漏洞

事件描述:

检测到试图通过利用LG SuperSign CMS v2.5安全漏洞来实行命令的行为。

LG SuperSign CMS是韩国乐金(LG)集团的一套针对LG webOS的内容管理系统。该系统支撑连接外部数据库,并允许从移动设备访问服务器。

LG SuperSign CMS中存在存在安全漏洞。远程攻击可通过向qsr_server/device/getThumbnail发送‘sourceUri’参数利用该漏洞实行任意代码。

更新时间:

20191224












事件名称:

HTTP_WePresent_WIPG1000文件包含漏洞

安全类型:

安全漏洞

事件描述:

检测到利用WePresent_WIPG1000文件包含漏洞进行攻击的行为。

WePresent_WIPG1000是澳大利亚wePresentWiPG企业的一款用于多媒体互动教学、大型会议等的无线投影设备。

wePresent WiPG-1000设备中存在文件包含漏洞。攻击者可利用该漏洞读取非授权访问的文件。

更新时间:

20191224











事件名称:

HTTP_WePresent_WIPG1000_系统命令注入漏洞

安全类型:

安全漏洞

事件描述:

检测到利用WePresent WIPG1000系统命令注入漏洞进行攻击的行为。

WePresent_WIPG1000是澳大利亚wePresentWiPG企业的一款用于多媒体互动教学、大型会议等的无线投影设备。

wePresent WiPG-1000设备中存在系统命令注入漏洞。攻击者可利用该漏洞实行任意系统命令。

更新时间:

20191224











事件名称:

HTTP_后门_ScarCruft.Group123_连接

安全类型:

木马后门

事件描述:

检测到木马ScarCruft试图连接远程服务器。源IP所在的主机可能被植入了ScarCruft

ScarCruft是朝鲜APT组织Group123所使用的一款后门,主要针对中韩的外贸行业。

更新时间:

20191224










事件名称:

DNS_木马后门_AnchorDNS_连接

安全类型:

木马后门

事件描述:

检测到后门AnchorDNS试图连接远程服务器。源IP所在的主机可能被植入了AnchorDNS

AnchorDNSTrickBot的变种,通过DNS协议与其C&C通信。主要针对高端金融目标,疑似来自Lazarus组织。

更新时间:

20191224










修改事件



事件名称:

TCP_NSA_EternalBlue_(永恒之蓝)_SMB漏洞利用(win8.1/2012-x64)

安全类型:

安全漏洞

事件描述:

检测到源IP主机对目的IP进行永恒之蓝漏洞利用的行为。

微软 Windows是MicroSoft发布的非常流行的操作系统。

如果攻击者向 微软 服务器发送经精心构造的畸形请求包,可以获取目标服务器的系统权限,并且完全控制目标系统。

更新时间:

20191224










事件名称:

HTTP_微软_ASP_NET哈希冲突远程拒绝服务漏洞[MS11-100][CVE-2011-3414]

安全类型:

安全漏洞

事件描述:

检测到源IP主机正试图通过微软 ASP.NET哈希冲突远程拒绝服务漏洞[[MS11-100]攻击目的IP地址主机。

ASP.NET是一套由微软分发的帮助开发者构建基于WEB应用的系统。微软 ASP.NET在处理其表单请求值时会造成哈希冲突,攻击者通过发送一些特制的ASP.NET表单请求到受影响ASP.NET站点。利用此漏洞导致使用ASP.NET的站点CPU占用率剧增,失去响应正常情况的能力。

更新时间:

20191224













事件名称:

HTTP_后门_APT组织_MuddyWater_远程服务器连接

安全类型:

安全漏洞

事件描述:

检测到木马后门试图连接远程服务器。源IP所在的主机可能被植入了MuddyWater组织利用的后门。

MuddyWater是一个主要针对伊拉克和沙特阿拉伯的政府机构的APT组织,该APT组织背后的团队同样针对中东欧洲和美国等其他国家。其主要利用Powershell进行他们的恶意行为,在一系列行动中衍生出了他们的专有木马POWERSTATS。该组织的攻击目标主要集中在政府,通信与石油领域,该组织疑似来自于伊朗。该事件表明MuddyWater组织利用后门与远程服务器连接并接收命令实行。

更新时间:

20191224