2019-09-10

发布时间 2019-09-10

新增事件


事件名称:

TCP_后门_Splinter.OceanLotus(海莲花)_连接

事件级别:

中级事件

安全类型:

木马后门

事件描述:

检测到Splinter试图连接远程服务器。源IP所在的主机可能被植入了Splinter

SplinterAPT组织海莲花所使用的一个后门,功能非常强大。

更新时间:

20190910

默认动作:

丢弃










事件名称:

HTTP_后门_Win32.Vools_连接

事件级别:

中级事件

安全类型:

木马后门

事件描述:

检测到后门Vools试图连接远程服务器。源IP所在的主机可能被植入了Vools

Vools是一个后门,被用来传播挖矿木马等恶意软件。

更新时间:

20190910

默认动作:

丢弃










事件名称:

CloudBees_Jenkins_Script_Security_Plugin_远程命令执行漏洞[CVE-2019-1003029]

事件级别:

中级事件

安全类型:

安全漏洞

事件描述:

检测到源IP主机正在利用CloudBees_Jenkins_Script_Security_Plugin_远程命令执行漏洞[CVE-2019-1003029]攻击目的IP主机的行为。

更新时间:

20190910

默认动作:

通过











事件名称:

HTTP_MyBB_后门_远程代码执行漏洞

事件级别:

高级事件

安全类型:

安全漏洞

事件描述:

检测到源IP主机正在利用HTTP_MYBB_后门_远程代码执行漏洞攻击目的IP主机的行为。

更新时间:

20190910

默认动作:

丢弃



事件名称:

TCP_类菜刀流量_连接

事件级别:

中级事件

安全类型:

木马后门

事件描述:

菜刀类流量如果没有大量的修改代码,都会有一个共同的特征,本条规则将共同特征提取出来进行防御性报警。

更新时间:

20190910

默认动作:

丢弃


事件名称:

HTTP_木马后门_reGeorg-v1.0_后门连接

事件级别:

中级事件

安全类型:

木马后门

事件描述:

检测到源IP主机正在连接目的主机上的reGeorg-v1.0木马后门文件,向内网主机发送特定连接指令。

reGeorg-v1.0木马是黑客常用的一种内网渗透流量转发木马,攻击者通过上传该木马文件到Web服务器,然后在本地通过特定攻击脚本连接服务端的木马文件进行内网流量转发。攻击者企图通过这种方式绕过内网防护设备以Web服务器为跳板攻击其他内网主机,试图获取内网其他服务器的控制权。攻击者确认服务器上存在该木马文件之后,会通过使用reGeorgSocksProxy.pyProxifier等工具设置连接,向内网主机发送特定攻击指令。

更新时间:

20190910

默认动作:

丢弃


修改事件



事件名称:

TCP_后门_Win32.DarkVnc_连接

事件级别:

中级事件

安全类型:

木马后门

事件描述:

检测到木马试图连接远程服务器。源IP所在的主机可能被植入了DarkVnc

DarkVnc是功能强大的后门,运行后,可完全控制被感染机器。

更新时间:

20190910

默认动作:

丢弃