2020-04-21
发布时间 2020-04-21新增事件
事件名称: |
TCP_后门_Win.BACKSPACE/Lecna_连接C2服务器 |
安全类型: |
木马后门 |
事件描述: |
检测到后门试图连接远程服务器。 BACKSPACE是一个后门,也就是"Lecna",功能非常强大,可完全控制被感染机器。 BACKSPACE可以窃取敏感信息,如计算机名称、系统版本,IP地址等,具有进程管理、文件管理、注册表管理、执行命令等。 |
更新时间: |
20200421 |
事件名称: |
TCP_木马_Sidewinder.PreBotModules_连接C2服务器 |
安全类型: |
木马后门 |
事件描述: |
检测到 Sidewinder.PreBotModules 试图连接远程服务器。源IP所在的主机可能被植入了后门 Sidewinder.PreBotModules。 PreBotModules 是APT组织"响尾蛇"(SideWinder、T-APT-04)用c#写的信息收集模块,该后门模块通常使用Office诱饵文档下发,植入主机后会收集受害主机的计算机名、用户名、MAC地址、启用的服务和进程、更新补丁等指纹信息发送至远程服务器。 |
更新时间: |
20200421 |
修改事件
事件名称:
HTTP_后门_FakeSanforUD_连接
安全类型:
木马后门
事件描述:
检测到木马试图连接远程服务器。源IP所在的主机可能被植入了FakeSanforUD。
深信服VPN客户端存在漏洞,在升级时会下载执行名为SangforUD.exe的更新程序。但VPN客户端仅对SangforUD.exe做了简单的版本对比,没有做任何的安全检查。APT组织Darkhotel攻破了VPN服务器,篡改升级配置文件并把SangforUD.exe替换为恶意的后门FakeSanforUD。
FakeSanforUD是一个后门,通过下载执行shellcode,最终下载核心的后门恶意组件thinmon.dll。核心后门组件thinmon.dll会解密云端下发的另外一个加密文件Sangfor_tmp_1.dat,以加载、线程启动、注入进程3种方式中的一种启动dat文件 ,最终由dat文件实现与服务器交互执行恶意操作。
更新时间:
20200421
事件名称:
DNS_木马_可疑矿池域名解析请求
安全类型:
木马后门
事件描述:
检测到木马试图连接远程服务器。源IP所在的主机可能被植入了挖矿木马。
更新时间:
20200421