每周升级公告-2021-11-16
发布时间 2021-12-10新增事件
事件名称: | TCP_木马_Win32.Dark_Crystal_RAT/DCRat_远控木马_连接C2服务器 |
安全类型: | 远控后门 |
事件描述: | 检测到木马DarkCrystal连接C2服务器,表明源IP主机已感染该木马。DarkCrystal恶意软件是一种RAT(远程访问木马),C#语言,俄罗斯人开发。DarkCrystalRAT是一种非常先进的黑客工具,具有很多功能,其中包括:运行远程命令、收集用户信息、通过网络摄像头录制视频、通过麦克风录制音频、执行DDoS或UDP/TCP洪水攻击、管理文件系统等等。 |
更新时间: | 20211116 |
事件名称: | HTTP_表达式注入_通用 |
安全类型: | 其他注入 |
事件描述: | 2013年4月15日ExpressionLanguageInjection词条在OWASP上被创建,而这个词的最早出现可以追溯到2012年12月的《Remote-Code-with-Expression-Language-Injection》一文,在这个paper中第一次提到了这个名词。而这个时期,只不过还只是把它叫做远程代码执行漏洞、远程命令执行漏洞或者上下文操控漏洞。像Struts2系列的s2-003、s2-009、s2-016等,这种由OGNL表达式引起的命令执行漏洞。 |
更新时间: | 20211116 |
事件名称: | HTTP_安全漏洞_D-Link_DAP-1860_远程命令执行漏洞[CVE-2019-19597][CNNVD-201912-215] |
安全类型: | 命令执行 |
事件描述: | D-LinkDAP-1860是中国台湾友讯(D-Link)公司的一款WiFi范围扩展器。D-LinkDAP-18601.04b03之前版本中存在安全漏洞。攻击者可借助HTTP请求头中的HNAP_AUTH参数后注入shell元字符利用该漏洞以root权限执行任意命令。 |
更新时间: | 20211116 |
事件名称: | HTTP_可疑行为_passwd内容文件回显 |
安全类型: | 其他可疑行为 |
事件描述: | 检测到源IP正在通过命令执行查看/etc/passwd文件的内容。此文件中存储了系统中的所有账户、权限等信息。 |
更新时间: | 20211116 |
修改事件
事件名称: | HTTP_IBM_WebSphere_Java反序列化_远程代码执行漏洞[CVE-2015-7450] |
安全类型: | 代码执行 |
事件描述: | WebSphere是IBM公司开发的中间件基础设施平台。WebSphere7版本在开发中使用了ApacheCommonsCollections库中的InvokerTransformer类,该类存在Java反序列化漏洞。攻击者可以发送精心构造的Java序列化对象,远程执行任意代码或命令 |
更新时间: | 20211116 |
事件名称: | HTTP_Struts2_S2-016/S2-017/S2-018远程命令执行变形攻击[CVE-2013-2251/4310] |
安全类型: | 命令执行 |
事件描述: | 检测到源IP主机正试图通过ApacheStruts2框架命令执行漏洞攻击目的IP主机远程攻击者可通过带有action:、redirect:或redirectAction:的前缀参数利用该漏洞执行任意OGNL表达式。漏洞存在的版本:S2-016:Struts2.0.0-Struts2.3.15S2-017:Struts2.0.0-Struts2.3.15S2-018:Struts2.0.0-Struts2.3.15.2攻击成功,可远程执行任意代码。 |
更新时间: | 20211116 |
事件名称: | TCP_通用_Java反序列化_ysoserial恶意数据利用 |
安全类型: | 命令执行 |
事件描述: | 检测到源IP主机正在通过TCP发送ysoserial生成的恶意JAVA反序列化数据对目的主机进行攻击。若访问的应用存在漏洞JAVA反序列化漏洞,攻击者可以发送精心构造的Java序列化对象,远程执行任意代码或命令。远程执行任意代码,获取系统控制权。 |
更新时间: | 20211116 |
事件名称: | TCP_僵尸网络_Mirai.Putin_连接 |
安全类型: | 其他注入 |
事件描述: | 检测到僵尸网络Mirai变种Putin试图连接C&C服务器。源IP所在的主机可能被植入了Mirai变种Putin。Mirai僵尸网络蠕虫主要通过扫描防护能力不强的物联网设备(IoT),包括:路由器、网络摄像头、DVR设备等等,IoT设备主要是MIPS、ARM等架构,因存在默认密码、弱密码、严重漏洞未及时修复等因素,导致被攻击者植入木马。窃取敏感信息,获取管理员权限。由于源代码已经公开,Mirai出现了很多变种,本事件针对其变种Putin。 |
更新时间: | 20211116 |
事件名称: | HTTP_安全漏洞_phpunint_远程代码执行漏洞[CVE-2017-9841][CNNVD-201706-1127] |
安全类型: | 代码执行 |
事件描述: | PHPUnit是PHP程式语言中最常见的单元测试(unittesting)框架,通常phpunit使用composer非常流行的PHP依赖管理器进行部署,将会在当前目录创建一个vendor文件夹.phpunit生产环境中仍然安装了它,如果该编写器模块存在于Web可访问目录,则存在远程代码执行漏洞。 |
更新时间: | 20211116 |
事件名称: | HTTP_可疑行为_Fastjson漏洞_hex编码利用 |
安全类型: | 其他可疑行为 |
事件描述: | FastJson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将JavaBean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean,由于具有执行效率高的特点,应用范围很广。攻击成功,可远程执行任意代码。fastjson可接受并解析hex编码内容,因此攻击者可利用hex编码绕过检测设备。 |
更新时间: | 20211116 |
京公网安备11010802024551号