2020-04-14

发布时间 2020-04-14

新增事件


事件名称:

HTTP_僵尸网络_BlackNet_连接C2服务器

安全类型:

蠕虫病毒

事件描述:

检测到僵尸网络BlackNet连接远程服务器,源IP所在的主机可能被僵尸程序BlackNet感染。

BlackNet是一个开源的Windows僵尸网络木马,其感染主机后能够利用被感染的机器进行各种DDOS攻击(TCPUDPARMESlowlorisHTTPGetPOSTHttp,带宽泛洪),并且会窃取被感染机器中的浏览器Cookie以及保存的账号密码,同时能够监听键盘输入以及上传/下载文件。此事件报警说明源IP所在主机已经被植入BlackNet,请及时对相关IP地址的主机进行排查。

更新时间:

20200414













事件名称:

TCP_向日葵_远程工具使用

安全类型:

安全审计

事件描述:

检测到您的网络中有一台主机正在试图使用向日葵连接对端设备。

向日葵远程控制是一款面向企业和专业人员的远程PC管理和控制的服务软件。您在任何可连入互联网的地点,都可以轻松访问和控制安装了向日葵远程控制客户端的远程主机,整个过程完全可以通过浏览器进行,无需再安装软件。向日葵远程控制拥有五秒快速而又强劲的内网穿透功力,融合了微软RDP远程桌面(3389),用户可以轻松在向日葵远程桌面协议和微软RDP协议中自由切换,享受最佳的远程桌面体验。

更新时间:

20200414













事件名称:

UDP_Teamviewer_远程工具使用

安全类型:

安全审计

事件描述:

检测到您的网络中有一台主机正在试图使用TeamViewer连接对端设备。

TeamViewer是一个能在任何防火墙和NAT代理的后台用于远程控制,桌面共享和文件传输的简单且快速的解决方案。为了连接到另一台计算机,只需要在两台计算机上同时运行 TeamViewer 即可,而不需要进行安装(也可以选择安装,安装后可以设置开机运行)。该软件第一次启动在两台计算机上自动生成伙伴 ID。只需要输入你的伙伴的IDTeamViewer,然后就会立即建立起连接。

更新时间:

20200414












事件名称:

TCP_Linux.DDG.Mining.Botnet_连接

安全类型:

木马后门

事件描述:

检测到僵尸网络DDG试图和超级节点xhubPeer节点通信。源IP所在主机都被植入了僵尸网络DDG

DDG是一个活跃已久的挖矿僵尸网络,专注于扫描控制SSH 端口、Redis数据库和OrientDB数据库服务器。它主要的盈利方式是利用服务器算力挖门罗币。

更新时间:

20200414











修改事件



事件名称:

DNS_木马_可疑矿池域名解析请求

安全类型:

安全漏洞

事件描述:

检测到木马试图连接远程服务器。源IP所在的主机可能被植入了挖矿木马。

更新时间:

20200414







事件名称:

TCP_Oracle_WebLogic_远程代码执行漏洞[CVE-2020-2551]

安全类型:

安全漏洞

事件描述:

检测到源IP主机正在利用Oracle WebLogic远程代码执行漏洞(CVE-2020-2551),试图通过GIOP协议传入精心构造的恶意代码或命令来入侵目的IP主机。

漏洞存在的weblogic版本:

10.3.6.0.0

12.1.3.0.0

12.2.1.3.0

12.2.1.4.0

如果被攻击机器没有升级相应的补丁,则有可能被直接获得权限。

更新时间:

20200414