2019-06-18

宣布时间 2019-06-19

新增事务


事务名称:

TCP_Oracle_WebLogic_反序列化误差[CNVD-C-2019-48814/CVE-2019-2725]

事务级别:

高级事务

清静类型:

清静误差

事务形貌:

检测到源IP使用weblogic反序列化误差举行攻击的行为

更新时间:

20190618

默认行动:

扬弃

 

事务名称:

TCP_Oracle_WebLogic_反序列化误差探测[CNVD-C-2019-48814/CVE-2019-2725]

事务级别:

高级事务

清静类型:

清静误差

事务形貌:

检测到源IP使用weblogic反序列化误差举行攻击的行为

更新时间:

20190618

默认行动:

扬弃

 

事务名称:

HTTP_Coremail_设置信息泄露误差[CNVD-2019-16798]

事务级别:

中级事务

清静类型:

清静误差

事务形貌:

检测到源IP正在使用Coremail_设置信息泄露误差举行攻击的行为

更新时间:

20190618

默认行动:

扬弃

 

事务名称:

HTTP_木马后门_RigExploitKit_毗连

事务级别:

中级事务

清静类型:

木马后门

事务形貌:

检测到误差使用工具包Rig试图下载恶意软件 ,源IP主机正在浏览的网页很可能被植入了恶意的剧本代码 ,被定向到误差使用工具包Rig的页面 ,导致下载恶意软件。

Exploit Kit是误差使用工具包 ,预打包了装置程序、控制面板、恶意代码以及相当数目的攻击工具。一样平常来说 ,Exploit Kit会包括一系列差别的误差使用代码。攻击者会向正当的网站注入恶意的剧本或代码 ,以重定向到Exploit Kit页面。受害者浏览网页时即加载Exploit Kit的种种误差使用代码 ,最终下载其它恶意软件。

Rig2014年泛起的一款Exploit Kit即误差使用工具包 ,主要以Java ,FlashSilverlight误差为目的。

更新时间:

20190618

默认行动:

扬弃

 

事务名称:

HTTP_木马后门_webshell_jsp_string_byte变形

事务级别:

中级事务

清静类型:

木马后门

事务形貌:

检测到源IP主机正向目的主机上传或下载jsp木马

更新时间:

20190618

默认行动:

扬弃

 

事务名称:

HTTP_watchbog_挖矿木马下载

事务级别:

高级事务

清静类型:

木马后门

事务形貌:

检测到远程执行下令中包括下载watchbog挖矿木马行为

更新时间:

20190618

默认行动:

扬弃

 

事务名称:

HTTP_Nexus_Repository_Manager_3远程代码执行误差[CVE-2019-7238]

事务级别:

高级事务

清静类型:

清静误差

事务形貌:

Nexus Repository Manager用于搭建Maven私服 ,用于治理报告和文档的项目治理软件

更新时间:

20190618

默认行动:

扬弃


修改事务


事务名称:

TCP_后门_njRat_毗连

事务级别:

中级事务

清静类型:

木马后门

事务形貌:

检测到木马试图毗连远程服务器。源IP所在的主机可能被植入了木马。

njRAT是一个C#语言编写的后门 ,功效异常强盛 ,可完全控制被熏染机械。现在已发明使用njRAT对中东国家提倡攻击的案例。主要针对能源、电信、政府等主要目的。

njRAT可以窃取敏感信息 ,如键盘纪录、主流浏览器(FirefoxGoogle ChromeOpera)生涯的密码、焦点窗口问题等 ,也可以截取被熏染机械桌面。

更新时间:

20190618

默认行动:

扬弃

 

事务名称:

TCP_后门_Boer远控_毗连

事务级别:

中级事务

清静类型:

木马后门

事务形貌:

Boer远控是一款海内的远程控制软件 ,可以对远程主机举行恣意操作。

特洛伊木马(Trojan)是后门程序的一种。典范的木马程序为服务器/客户端结构 ,一样平常情形下入侵者通过使用某种误差取得主机的控制权后 ,想法在被攻击的主机上运行木马程序的服务器端 ,之后就可以从远程使用客户端程序通过对主机上的服务器端程序举行会见而完全控制该主机 ,在治理员毫无所知的情形下执行恣意程序、会见恣意文件等种种不法操作。因此木马程序是一种危害极大的恶意程序 ,若是发明主机上保存木马程序 ,则主机一定已经遭到了入侵 ,需要尽快接纳步伐。

更新时间:

20190618

默认行动:

扬弃

 

事务名称:

TCP_后门_VBS.H.Worm.Rat_毗连

事务级别:

中级事务

清静类型:

木马后门

事务形貌:

检测到木马试图毗连远程服务器。源IP所在的主机可能被植入了木马。

H-worm是一个基于VBS语言的后门 ,功效很是强盛。H-worm借鉴了njRAT的开源代码 ,服务端为使用VBS剧本编写的蠕虫病毒 ,适用于Windows全系操作系统并且使用了较量先进的User-Agent转达数据的方法 ,主要撒播方法有三种:电子邮件附件、恶意链接和被熏染的U盘撒播,蠕虫式的撒播机制会形成大宗的熏染。由于其精练有用的远控功效、非PE剧本易于免杀、便于修改等特征,一直被黑产所青睐而活跃至今。

更新时间:

20190618

默认行动:

扬弃

 

事务名称:

UDP_后门_Win32.ZeroAcess_毗连

事务级别:

中级事务

清静类型:

木马后门

事务形貌:

检测到木马试图毗连远程服务器。

IP所在的主机可能被植入了木马。

Win32.ZeroAcess是一个后门 ,运行后 ,注入其他历程。下载其他病毒或者设置信息或者� ?榈然蚯匀∶舾行畔�。

上报该事务有两种可能 ,一是源主机被熏染了 ,毗连CC服务器;二是ZeroAcess服务器端通过shadan署理方法举行扫描行为 ,主要看源IP是否是本单位的IP地点。

更新时间:

20190618

默认行动:

扬弃

 

事务名称:

HTTP_Trojan.Win32.Rombertik_毗连

事务级别:

中级事务

清静类型:

木马后门

事务形貌:

检测到木马试图毗连远程服务器。源IP所在的主机可能被植入了木马Rombertik。

Rombertik是一个窃取敏感信息的木马 ,具有高度重大的逃避检测和避免剖析手艺 ,还能够删除受害者硬盘数据 ,以使盘算机无法正常使用。运行后把自身注入到浏览器历程 ,网络用户浏览Web网站时的所有信息以及用户登录凭证和其他敏感数据。Rombertik主要通过邮件撒播。

更新时间:

20190618

默认行动:

扬弃

 

事务名称:

TCP_木马后门_Win32/Linux_ircBot_毗连

事务级别:

中级事务

清静类型:

木马后门

事务形貌:

检测到ircBot试图毗连远程服务器。源IP所在的主机可能被植入了ircBot。

ircBot是基于irc协议的僵尸网络 ,主要功效是对指定目的主机提倡DDoS攻击�;箍梢韵略仄渌《镜奖恢踩牖�。

更新时间:

20190618

默认行动:

扬弃

  

事务名称:

HTTP_木马后门_webshell_PHP_eval一句话webshell

事务级别:

中级事务

清静类型:

木马后门

事务形貌:

检测到源IP主机正向目的主机上传PHP eval一句话webshell木马。

更新时间:

20190618

默认行动:

扬弃

 

事务名称:

TTP_木马后门_webshell_JSP_一句话木马

事务级别:

中级事务

清静类型:

木马后门

事务形貌:

检测到源IP主机正向目的主机上传jsp cmd小马。

更新时间:

20190618

默认行动:

扬弃

 

事务名称:

HTTP_木马后门_ASP_webshell一句话木马

事务级别:

中级事务

清静类型:

木马后门

事务形貌:

检测到源IP主机正向目的主机上传ASP一句话木马的行为

攻击者实验向服务器上传ASP一句话木马文件 ,若是上传乐成将通过一句话木马毗连工具对服务器举行控制。

更新时间:

20190618

默认行动:

扬弃


删除事务

 

1. POP3_FOXMAILD_USER_远程缓冲区溢出误差使用[CVE-2005-0635/0636]


2. FTP_ArGoSoft_DELE_远程缓冲区溢出误差使用[CVE-2005-0696]


3. TCP_CA服务器_GETCONFIG远程溢出误差使用[CVE-2005-0581]


4. ICMP_牢靠源IP的PING_FLOOD攻击


5. ICMP_PING主机漫衍扫描