2019-12-31

发布时间 2019-12-31

新增事件


事件名称:

TCP_后门_Gh0st_连接(扫描)

安全类型:

安全扫描

事件描述:

检测到源IP主机在对目的IP主机进行扫描。

Gh0st远控是一个国内的远控程序,可以对远程主机进行任意操作。

本事件报警不是真实攻击,仅仅意味着源IP主机在对目的IP主机进行扫描。源IP一般属于Shodan扫描主机,目的IP是客户主机。源IP主机模仿Gh0st样本向目的IP主机发送上线报文,如果收到希望的返回数据,即认为目的IP主机上运行着Gh0st控制端,是Gh0stC&C服务

 Shodan就是通过这种扫描来获取恶意App的C&C服务器,除Shodan外,其它一些威胁情报企业的IP主机也在进行着这种扫描。

更新时间:

20191231















事件名称:

TCP_后门_njRat_连接(扫描)

安全类型:

安全扫描

事件描述:

检测到源IP主机在对目的IP主机进行扫描。

njRat远控是一个功能强大是远控。

本事件报警不是真实攻击,仅仅意味着源IP主机在对目的IP主机进行扫描。源IP一般属于Shodan扫描主机,目的IP是客户主机。源IP主机模仿njRat样本向目的IP主机发送上线报文,如果收到希望的返回数据,即认为目的IP主机上运行着njRat控制端,是njRatC&C服务器。

Shodan就是通过这种扫描来获取恶意App的C&C服务器,除Shodan外,其它一些威胁情报企业的IP主机也在进行着这种扫描。

更新时间:

20191231














事件名称:

TCP_后门_KG.Rat_连接(扫描)

安全类型:

安全扫描

事件描述:

检测到源IP主机在对目的IP主机进行扫描。

KG.Rat是一个后门,连接远程服务器,接受实行黑客指令。

本事件报警不是真实攻击,仅仅意味着源IP主机在对目的IP主机进行扫描。源IP一般属于Shodan扫描主机,目的IP是客户主机。源IP主机模仿KG.Rat样本向目的IP主机发送上线报文,如果收到希望的返回数据,即认为目的IP主机上运行着KG.Rat控制端,是KG.RatC&C服务器。

Shodan就是通过这种扫描来获取恶意App的C&C服务器,除Shodan外,其它一些威胁情报企业的IP主机也在进行着这种扫描。

更新时间:

20191224














事件名称:

TCP_后门_ircBot_连接(扫描)

安全类型:

安全扫描

事件描述:

检测到源IP主机在对目的IP主机进行扫描。

ircBot是基于irc协议的僵尸网络,主要功能是对指定目标主机发起DDoS攻击。

本事件报警不是真实攻击,仅仅意味着源IP主机在对目的IP主机进行扫描。源IP一般属于Shodan扫描主机,目的IP是客户主机。源IP主机模仿ircBot样本向目的IP主机发送上线报文,如果收到希望的返回数据,即认为目的IP主机上运行着ircBot控制端,是ircBotC&C服务器。

Shodan就是通过这种扫描来获取恶意App的C&C服务器,除Shodan外,其它一些威胁情报企业的IP主机也在进行着这种扫描。

更新时间:

20191231














事件名称:

TCP_后门_Win32.Remcos_连接(扫描)

安全类型:

安全扫描

事件描述:

检测到源IP主机在对目的IP主机进行扫描。

Remcos是一个功能强大的远控,运行后可完全控制被植入机器。

本事件报警不是真实攻击,仅仅意味着源IP主机在对目的IP主机进行扫描。源IP一般属于Shodan扫描主机,目的IP是客户主机。源IP主机模仿Remcos样本向目的IP主机发送上线报文,如果收到希望的返回数据,即认为目的IP主机上运行着Remcos控制端,是RemcosC&C服务器。

 Shodan就是通过这种扫描来获取恶意App的C&C服务器,除Shodan外,其它一些威胁情报企业的IP主机也在进行着这种扫描。

更新时间:

20191231














事件名称:

TCP_后门_Win32.KilerRat_连接(扫描)

安全类型:

安全扫描

事件描述:

检测到源IP主机在对目的IP主机进行扫描。

KilerRat是一个功能非常强大的后门,CSharp语言编写。运行后,可以完全控制被植入机器。

本事件报警不是真实攻击,仅仅意味着源IP主机在对目的IP主机进行扫描。源IP一般属于Shodan扫描主机,目的IP是客户主机。源IP主机模仿KilerRat样本向目的IP主机发送上线报文,如果收到希望的返回数据,即认为目的IP主机上运行着KilerRat控制端,是KilerRatC&C服务器。

Shodan就是通过这种扫描来获取恶意App的C&C服务器,除Shodan外,其它一些威胁情报企业的IP主机也在进行着这种扫描。

更新时间:

20191231















事件名称:

TCP_后门_Linux.XOR.DDoS_连接(扫描)

安全类型:

安全扫描

事件描述:

检测到源IP主机在对目的IP主机进行扫描。

Linux.XoR.DDoS是一个僵尸网络,主要功能是对指定目标主机发起DDoS攻击。

本事件报警不是真实攻击,仅仅意味着源IP主机在对目的IP主机进行扫描。源IP一般属于Shodan扫描主机,目的IP是客户主机。源IP主机模仿XoR.DDoS样本向目的IP主机发送上线报文,如果收到希望的返回数据,即认为目的IP主机上运行着XoR.DDoS控制端,是XoR.DDoSC&C服务器。

Shodan就是通过这种扫描来获取恶意App的C&C服务器,除Shodan外,其它一些威胁情报企业的IP主机也在进行着这种扫描。

更新时间:

20191231














事件名称:

UDP_后门_Win32.ZeroAcess_连接(扫描)

安全类型:

安全扫描

事件描述:

检测到源IP主机在对目的IP主机进行扫描。

ZeroAcess是一个后门,运行后,注入其他进程。下载其他病毒或者配置信息或者模块等或窃取敏感信息。

本事件报警不是真实攻击,仅仅意味着源IP主机在对目的IP主机进行扫描。源IP一般属于Shodan扫描主机,目的IP是客户主机。源IP主机模仿ZeroAcess样本向目的IP主机发送上线报文,如果收到希望的返回数据,即认为目的IP主机上运行着ZeroAcess控制端,是ZeroAcessC&C服务器。

Shodan就是通过这种扫描来获取恶意App的C&C服务器,除Shodan外,其它一些威胁情报企业的IP主机也在进行着这种扫描。

更新时间:

20191231















事件名称:

TCP_后门_Linux.BillGates_连接(扫描)

安全类型:

安全扫描

事件描述:

检测到源IP主机在对目的IP主机进行扫描。

BillGatesLinux平台下的一个僵尸网络,主要功能是针对指定目标进行DDoS攻击。

本事件报警不是真实攻击,仅仅意味着源IP主机在对目的IP主机进行扫描。源IP一般属于Shodan扫描主机,目的IP是客户主机。源IP主机模仿BillGates样本向目的IP主机发送上线报文,如果收到希望的返回数据,即认为目的IP主机上运行着BillGates控制端,是BillGatesC&C服务器。

Shodan就是通过这种扫描来获取恶意App的C&C服务器,除Shodan外,其它一些威胁情报企业的IP主机也在进行着这种扫描。

更新时间:

20191231















事件名称:

TCP_后门_DDoS.Win32.Nitol_连接(扫描)

安全类型:

安全扫描

事件描述:

检测到源IP主机在对目的IP主机进行扫描。

Nitol是近来最活跃的恶意DDoS攻击家族之一。

本事件报警不是真实攻击,仅仅意味着源IP主机在对目的IP主机进行扫描。源IP一般属于Shodan扫描主机,目的IP是客户主机。源IP主机模仿Nitol样本向目的IP主机发送上线报文,如果收到希望的返回数据,即认为目的IP主机上运行着Nitol控制端,是NitolC&C服务器。

 Shodan就是通过这种扫描来获取恶意App的C&C服务器,除Shodan外,其它一些威胁情报企业的IP主机也在进行着这种扫描。

更新时间:

20191231














事件名称:

HTTP_木马_ISR.stealer_连接

安全类型:

木马后门

事件描述:

检测到 ISR stealer 试图连接远程服务器,IP所在的主机可能被植入了ISR stealer

ISR StealerHackhound Stealer的修改版,使用VB编写的,通常会使用.NET包装器包装自身。ISR Stealer 是一个密码窃取程序,它会从浏览器和邮箱类App中窃取受害者的账号密码,并且具备常见的远控命令,如下载和实行其他恶意App,从控制服务器接收命令,将特定信息中继回控制服务器。

更新时间:

20191231












事件名称:

TCP_木马_Allakore.Remote_连接

安全类型:

木马后门

事件描述:

检测到木马 Allakore_Remote 试图连接远程服务器。源IP所在的主机可能被植入了 Allakore_Remote 木马。

AllaKore Remote 是用Delphi XE6Delphi 7编写的开源远控工具。AllaKore Remote具有以下功能:远程访问、数据压缩、文件访问、聊天。

更新时间:

20191231











修改事件


事件名称:

HTTP_Apache_Commons_Fileupload_反序列化漏洞[CVE-2016-1000031]

安全类型:

安全漏洞

事件描述:

检测到源IP主机正在利用Apache_Commons_Fileupload_反序列化漏洞攻击目的IP主机的行为

更新时间:

20191231








事件名称:

TCP_冰蝎_jspjspx_webshell_上传

安全类型:

木马后门

事件描述:

检测到源IP主机正向目的主机上传冰蝎 jspjspxwebshell木马

更新时间:

20191231







事件名称:

TCP_冰蝎_asp_webshell_上传

安全类型:

木马后门

事件描述:

检测到源IP主机正向目的主机上传冰蝎 aspwebshell木马

更新时间:

20191231







事件名称:

TCP_后门_Linux.BillGates_连接

安全类型:

木马后门

事件描述:

检测到木马试图连接远程服务器。源IP所在的主机可能被植入了后门BillGates

BillGatesLinux平台下的一个僵尸网络,主要功能是针对指定目标进行DDoS攻击。

更新时间:

20191231










事件名称:

DNS_后门_Win32.KcnaBot_连接

安全类型:

木马后门

事件描述:

检测到后门试图连接远程服务器。源IP所在的主机可能被植入了后门KcnaBot

KcnaBot是一个功能非常强大的后门,利用DNS协议与C&C服务器通信。

更新时间:

20191231








事件名称:

HTTP_木马后门_DiamondFox_连接

安全类型:

木马后门

事件描述:

检测到木马试图连接远程服务器。源IP所在的主机可能被植入了DiamondFox

DiamondFox是基于VB的窃密木马,功能非常强大,可以窃取各类账号密码。有反虚拟机以及沙箱功能。还有DDoS功能。

更新时间:

20191231









事件名称:

HTTP_木马_Win32.Krypton_连接

安全类型:

木马后门

事件描述:

检测到木马试图连接远程服务器。源IP所在的主机可能被植入了木马Krypton

Krypton是一个木马程序,运行后可以窃取受害主机的敏感信息。

更新时间:

20191231