2020-04-07
发布时间 2020-04-07新增事件
|
事件名称: |
TCP_NSA_EternalBlue_(永恒之蓝)_SMB漏洞扫描[MS17-010]_扫描有漏洞 |
|
安全类型: |
安全漏洞 |
|
事件描述: |
检测到源IP对目的主机进行MS17-010漏洞扫描的行为. Microsoft Windows是微软发布的非常流行的操作系统。 如果攻击者向 Microsoft 服务器发送经精心构造的畸形请求包,可以获取目标服务器的系统权限,并且完全控制目标系统。 |
|
更新时间: |
20200407 |
|
事件名称: |
HTTP_后门_FakeSanforUD_连接 |
|
安全类型: |
木马后门 |
|
事件描述: |
检测到木马试图连接远程服务器。源IP所在的主机可能被植入了Rarog。 深信服VPN客户端存在漏洞,在升级时会下载执行名为SangforUD.exe的更新程序。但VPN客户端仅对SangforUD.exe做了简单的版本对比,没有做任何的安全检查。APT组织Darkhotel攻破了VPN服务器,篡改升级配置文件并把SangforUD.exe替换为恶意的后门FakeSanforUD。 FakeSanforUD是一个后门,通过下载执行shellcode,最终下载核心的后门恶意组件thinmon.dll。核心后门组件thinmon.dll会解密云端下发的另外一个加密文件Sangfor_tmp_1.dat,以加载、线程启动、注入进程3种方式中的一种启动dat文件 ,最终由dat文件实现与服务器交互执行恶意操作。 |
|
更新时间: |
20200407 |
|
事件名称: |
TCP_Metasploit_匿名管道扫描 |
|
安全类型: |
安全扫描 |
|
事件描述: |
检测到源IP主机正在利用对目的主机使用Metasploit通过SMB协议获取计算机信息的行为。 |
|
更新时间: |
20200407 |
|
事件名称: |
TCP_SMB_NMAP扫描 |
|
安全类型: |
安全扫描 |
|
事件描述: |
检测到源IP主机正在利用对目的主机使用NMAP通过SMB协议获取计算机信息的行为。 |
|
更新时间: |
20200407 |
|
事件名称: |
TCP_NSA_EternalBlue_(永恒之蓝)_SMB漏洞扫描[MS17-010]_扫描无漏洞 |
|
安全类型: |
安全漏洞 |
|
事件描述: |
检测到源IP对目的主机进行MS17-010漏洞扫描的行为. Microsoft Windows是微软发布的非常流行的操作系统。 如果攻击者向 Microsoft 服务器发送经精心构造的畸形请求包,可以获取目标服务器的系统权限,并且完全控制目标系统。 |
|
更新时间: |
20200407 |
|
事件名称: |
TCP_NSA_EternalBlue_(永恒之蓝)_DoublePulsar后门_扫描或植入后门_疑似执行或卸载 |
|
安全类型: |
木马后门 |
|
事件描述: |
检测到通过MS17-010的漏洞植入DoublePulsar后门的行为。 Microsoft Windows是美国微软(Microsoft)公司发布的一系列操作系统。SMBv1 server是其中的一个服务器协议组件。DoublePulsar是一个后门程序,用于在已感染的系统上注入和运行恶意代码。 Microsoft Windows中的SMBv1服务器存在远程代码执行漏洞。远程攻击者可借助特制的数据包利用该漏洞植入或扫描DoublePulsar后门。 |
|
更新时间: |
20200407 |
|
事件名称: |
TCP_NSA_EternalBlue_(永恒之蓝)_DoublePulsar后门_扫描或植入后门_疑似ping |
|
安全类型: |
木马后门 |
|
事件描述: |
检测到通过MS17-010的漏洞植入DoublePulsar后门的行为。 Microsoft Windows是美国微软(Microsoft)公司发布的一系列操作系统。SMBv1 server是其中的一个服务器协议组件。DoublePulsar是一个后门程序,用于在已感染的系统上注入和运行恶意代码。 Microsoft Windows中的SMBv1服务器存在远程代码执行漏洞。远程攻击者可借助特制的数据包利用该漏洞植入DoublePulsar后门。 |
|
更新时间: |
20200407 |
|
事件名称: |
TCP_DrayTek_预身份验证命令注入漏洞[CVE-2020-8515] |
|
安全类型: |
注入攻击 |
|
事件描述: |
检测到攻击者利用DrayTek预身份验证处的两处命令注入漏洞进行攻击的行为。DrayTek是一家在中国生产防火墙,VPN设备,路由器,WLAN设备等的制造商。该漏洞源于/cgi-bin/mainfunction.cgi程序未正确过滤keyPath字段和rtick字段其中的特殊字符,攻击者可利用该漏洞不经过身份验证以root权限执行代码。 |
|
更新时间: |
20200407 |
|
事件名称: |
HTTP_ZyXEL_预身份验证命令注入漏洞[CVE-2020-9054] |
|
安全类型: |
注入攻击 |
|
事件描述: |
检测到源IP主机正试图通过ZyXEL设备中的预身份验证的命令注入漏洞进行攻击的行为。攻击者攻击成功后可远程执行任意代码。 |
|
更新时间: |
20200407 |
修改事件
|
事件名称: |
TCP_NSA_EternalBlue_(永恒之蓝)_SMB漏洞写入shellcode[MS17-010] |
|
安全类型: |
安全漏洞 |
|
事件描述: |
检测到源IP对目的主机利用MS17-010漏洞写入shellcode的行为. Microsoft Windows是微软发布的非常流行的操作系统。 如果攻击者向 Microsoft 服务器发送经精心构造的畸形请求包,可以获取目标服务器的系统权限,并且完全控制目标系统。 |
|
更新时间: |
20200407 |
|
事件名称: |
TCP_安全漏洞_Microsoft_SMBv3_远程代码执行漏洞[CVE-2020-0796] |
|
安全类型: |
安全漏洞 |
|
事件描述: |
检测到源IP主机可能正在对目的主机进行CVE-2020-0796漏洞利用的行为。 |
|
更新时间: |
20200407 |
|
事件名称: |
UDP_僵尸网络_Mozi.P2PBotnet_连接 |
|
安全类型: |
木马后门 |
|
事件描述: |
检测到僵尸网络Mozi试图和Peer通信。因为是基于P2P协议,源IP和目的IP所在的主机可能都被植入了僵尸网络Mozi。 Mozi是一个基于P2P协议的僵尸网络,主要支持的功能为:DDoS攻击、收集Bot信息、执行指定URL的payload、从指定的URL更新样本、执行系统或自定义命令。 |
|
更新时间: |
20200407 |
|
事件名称: |
TCP_Tomcat/Coldfusion_AJP13_任意文件读取[CVE-2020-1938/CVE-2020-3761/CVE-2020-3794] |
|
安全类型: |
安全漏洞 |
|
事件描述: |
检测到源IP主机正在利用Tomcat/Coldfusion_AJP13任意文件读取漏洞对目的主机进行攻击的行为。 |
|
更新时间: |
20200407 |
京公网安备11010802024551号