2019-12-31
发布时间 2019-12-31新增事件
|
事件名称: |
TCP_后门_Gh0st_连接(扫描) |
|
安全类型: |
安全扫描 |
|
事件描述: |
检测到源IP主机在对目的IP主机进行扫描。 Gh0st远控是一个国内的远控程序,可以对远程主机进行任意操作。 本事件报警不是真实攻击,仅仅意味着源IP主机在对目的IP主机进行扫描。源IP一般属于Shodan扫描主机,目的IP是客户主机。源IP主机模仿Gh0st样本向目的IP主机发送上线报文,如果收到期望的返回数据,即认为目的IP主机上运行着Gh0st控制端,是Gh0st的C&C服务 。 Shodan就是通过这种扫描来获取恶意软件的C&C服务器,除Shodan外,其它一些威胁情报公司的IP主机也在进行着这种扫描。 |
|
更新时间: |
20191231 |
|
事件名称: |
TCP_后门_njRat_连接(扫描) |
|
安全类型: |
安全扫描 |
|
事件描述: |
检测到源IP主机在对目的IP主机进行扫描。 njRat远控是一个功能强大是远控。 本事件报警不是真实攻击,仅仅意味着源IP主机在对目的IP主机进行扫描。源IP一般属于Shodan扫描主机,目的IP是客户主机。源IP主机模仿njRat样本向目的IP主机发送上线报文,如果收到期望的返回数据,即认为目的IP主机上运行着njRat控制端,是njRat的C&C服务器。 Shodan就是通过这种扫描来获取恶意软件的C&C服务器,除Shodan外,其它一些威胁情报公司的IP主机也在进行着这种扫描。 |
|
更新时间: |
20191231 |
|
事件名称: |
TCP_后门_KG.Rat_连接(扫描) |
|
安全类型: |
安全扫描 |
|
事件描述: |
检测到源IP主机在对目的IP主机进行扫描。 KG.Rat是一个后门,连接远程服务器,接受执行黑客指令。 本事件报警不是真实攻击,仅仅意味着源IP主机在对目的IP主机进行扫描。源IP一般属于Shodan扫描主机,目的IP是客户主机。源IP主机模仿KG.Rat样本向目的IP主机发送上线报文,如果收到期望的返回数据,即认为目的IP主机上运行着KG.Rat控制端,是KG.Rat的C&C服务器。 Shodan就是通过这种扫描来获取恶意软件的C&C服务器,除Shodan外,其它一些威胁情报公司的IP主机也在进行着这种扫描。 |
|
更新时间: |
20191224 |
|
事件名称: |
TCP_后门_ircBot_连接(扫描) |
|
安全类型: |
安全扫描 |
|
事件描述: |
检测到源IP主机在对目的IP主机进行扫描。 ircBot是基于irc协议的僵尸网络,主要功能是对指定目标主机发起DDoS攻击。 本事件报警不是真实攻击,仅仅意味着源IP主机在对目的IP主机进行扫描。源IP一般属于Shodan扫描主机,目的IP是客户主机。源IP主机模仿ircBot样本向目的IP主机发送上线报文,如果收到期望的返回数据,即认为目的IP主机上运行着ircBot控制端,是ircBot的C&C服务器。 Shodan就是通过这种扫描来获取恶意软件的C&C服务器,除Shodan外,其它一些威胁情报公司的IP主机也在进行着这种扫描。 |
|
更新时间: |
20191231 |
|
事件名称: |
TCP_后门_Win32.Remcos_连接(扫描) |
|
安全类型: |
安全扫描 |
|
事件描述: |
检测到源IP主机在对目的IP主机进行扫描。 Remcos是一个功能强大的远控,运行后可完全控制被植入机器。 本事件报警不是真实攻击,仅仅意味着源IP主机在对目的IP主机进行扫描。源IP一般属于Shodan扫描主机,目的IP是客户主机。源IP主机模仿Remcos样本向目的IP主机发送上线报文,如果收到期望的返回数据,即认为目的IP主机上运行着Remcos控制端,是Remcos的C&C服务器。 Shodan就是通过这种扫描来获取恶意软件的C&C服务器,除Shodan外,其它一些威胁情报公司的IP主机也在进行着这种扫描。 |
|
更新时间: |
20191231 |
|
事件名称: |
TCP_后门_Win32.KilerRat_连接(扫描) |
|
安全类型: |
安全扫描 |
|
事件描述: |
检测到源IP主机在对目的IP主机进行扫描。 KilerRat是一个功能非常强大的后门,CSharp语言编写。运行后,可以完全控制被植入机器。 本事件报警不是真实攻击,仅仅意味着源IP主机在对目的IP主机进行扫描。源IP一般属于Shodan扫描主机,目的IP是客户主机。源IP主机模仿KilerRat样本向目的IP主机发送上线报文,如果收到期望的返回数据,即认为目的IP主机上运行着KilerRat控制端,是KilerRat的C&C服务器。 Shodan就是通过这种扫描来获取恶意软件的C&C服务器,除Shodan外,其它一些威胁情报公司的IP主机也在进行着这种扫描。 |
|
更新时间: |
20191231 |
|
事件名称: |
TCP_后门_Linux.XOR.DDoS_连接(扫描) |
|
安全类型: |
安全扫描 |
|
事件描述: |
检测到源IP主机在对目的IP主机进行扫描。 Linux.XoR.DDoS是一个僵尸网络,主要功能是对指定目标主机发起DDoS攻击。 本事件报警不是真实攻击,仅仅意味着源IP主机在对目的IP主机进行扫描。源IP一般属于Shodan扫描主机,目的IP是客户主机。源IP主机模仿XoR.DDoS样本向目的IP主机发送上线报文,如果收到期望的返回数据,即认为目的IP主机上运行着XoR.DDoS控制端,是XoR.DDoS的C&C服务器。 Shodan就是通过这种扫描来获取恶意软件的C&C服务器,除Shodan外,其它一些威胁情报公司的IP主机也在进行着这种扫描。 |
|
更新时间: |
20191231 |
|
事件名称: |
UDP_后门_Win32.ZeroAcess_连接(扫描) |
|
安全类型: |
安全扫描 |
|
事件描述: |
检测到源IP主机在对目的IP主机进行扫描。 ZeroAcess是一个后门,运行后,注入其他进程。下载其他病毒或者配置信息或者模块等或窃取敏感信息。 本事件报警不是真实攻击,仅仅意味着源IP主机在对目的IP主机进行扫描。源IP一般属于Shodan扫描主机,目的IP是客户主机。源IP主机模仿ZeroAcess样本向目的IP主机发送上线报文,如果收到期望的返回数据,即认为目的IP主机上运行着ZeroAcess控制端,是ZeroAcess的C&C服务器。 Shodan就是通过这种扫描来获取恶意软件的C&C服务器,除Shodan外,其它一些威胁情报公司的IP主机也在进行着这种扫描。 |
|
更新时间: |
20191231 |
|
事件名称: |
TCP_后门_Linux.BillGates_连接(扫描) |
|
安全类型: |
安全扫描 |
|
事件描述: |
检测到源IP主机在对目的IP主机进行扫描。 BillGates是Linux平台下的一个僵尸网络,主要功能是针对指定目标进行DDoS攻击。 本事件报警不是真实攻击,仅仅意味着源IP主机在对目的IP主机进行扫描。源IP一般属于Shodan扫描主机,目的IP是客户主机。源IP主机模仿BillGates样本向目的IP主机发送上线报文,如果收到期望的返回数据,即认为目的IP主机上运行着BillGates控制端,是BillGates的C&C服务器。 Shodan就是通过这种扫描来获取恶意软件的C&C服务器,除Shodan外,其它一些威胁情报公司的IP主机也在进行着这种扫描。 |
|
更新时间: |
20191231 |
|
事件名称: |
TCP_后门_DDoS.Win32.Nitol_连接(扫描) |
|
安全类型: |
安全扫描 |
|
事件描述: |
检测到源IP主机在对目的IP主机进行扫描。 Nitol是近来最活跃的恶意DDoS攻击家族之一。 本事件报警不是真实攻击,仅仅意味着源IP主机在对目的IP主机进行扫描。源IP一般属于Shodan扫描主机,目的IP是客户主机。源IP主机模仿Nitol样本向目的IP主机发送上线报文,如果收到期望的返回数据,即认为目的IP主机上运行着Nitol控制端,是Nitol的C&C服务器。 Shodan就是通过这种扫描来获取恶意软件的C&C服务器,除Shodan外,其它一些威胁情报公司的IP主机也在进行着这种扫描。 |
|
更新时间: |
20191231 |
|
事件名称: |
HTTP_木马_ISR.stealer_连接 |
|
安全类型: |
木马后门 |
|
事件描述: |
检测到 ISR stealer 试图连接远程服务器,源IP所在的主机可能被植入了ISR stealer。 ISR Stealer是Hackhound Stealer的修改版,使用VB编写的,通常会使用.NET包装器包装自身。ISR Stealer 是一个密码窃取程序,它会从浏览器和邮箱类软件中窃取受害者的账号密码,并且具备常见的远控命令,如下载和执行其他恶意软件,从控制服务器接收命令,将特定信息中继回控制服务器。 |
|
更新时间: |
20191231 |
|
事件名称: |
TCP_木马_Allakore.Remote_连接 |
|
安全类型: |
木马后门 |
|
事件描述: |
检测到木马 Allakore_Remote 试图连接远程服务器。源IP所在的主机可能被植入了 Allakore_Remote 木马。 AllaKore Remote 是用Delphi XE6和Delphi 7编写的开源远控工具。AllaKore Remote具有以下功能:远程访问、数据压缩、文件访问、聊天。 |
|
更新时间: |
20191231 |
修改事件
事件名称:
HTTP_Apache_Commons_Fileupload_反序列化漏洞[CVE-2016-1000031]
安全类型:
安全漏洞
事件描述:
检测到源IP主机正在利用Apache_Commons_Fileupload_反序列化漏洞攻击目的IP主机的行为
更新时间:
20191231
事件名称:
TCP_冰蝎_jspjspx_webshell_上传
安全类型:
木马后门
事件描述:
检测到源IP主机正向目的主机上传冰蝎 jspjspxwebshell木马
更新时间:
20191231
事件名称:
TCP_冰蝎_asp_webshell_上传
安全类型:
木马后门
事件描述:
检测到源IP主机正向目的主机上传冰蝎 aspwebshell木马
更新时间:
20191231
事件名称:
TCP_后门_Linux.BillGates_连接
安全类型:
木马后门
事件描述:
检测到木马试图连接远程服务器。源IP所在的主机可能被植入了后门BillGates。
BillGates是Linux平台下的一个僵尸网络,主要功能是针对指定目标进行DDoS攻击。
更新时间:
20191231
|
事件名称: |
DNS_后门_Win32.KcnaBot_连接 |
|
安全类型: |
木马后门 |
|
事件描述: |
检测到后门试图连接远程服务器。源IP所在的主机可能被植入了后门KcnaBot。 KcnaBot是一个功能非常强大的后门,利用DNS协议与C&C服务器通信。 |
|
更新时间: |
20191231 |
|
事件名称: |
HTTP_木马后门_DiamondFox_连接 |
|
安全类型: |
木马后门 |
|
事件描述: |
检测到木马试图连接远程服务器。源IP所在的主机可能被植入了DiamondFox。 DiamondFox是基于VB的窃密木马,功能非常强大,可以窃取各类账号密码。有反虚拟机以及沙箱功能。还有DDoS功能。 |
|
更新时间: |
20191231 |
|
事件名称: |
HTTP_木马_Win32.Krypton_连接 |
|
安全类型: |
木马后门 |
|
事件描述: |
检测到木马试图连接远程服务器。源IP所在的主机可能被植入了木马Krypton。 Krypton是一个木马程序,运行后可以窃取受害主机的敏感信息。 |
|
更新时间: |
20191231 |
京公网安备11010802024551号