本周事件库

新增事件

事件名称:

HTTP_后门_InvisiMole.Rc2cl_连接

事件级别:

中级事件

安全类型:

木马后门

事件描述:

检测到后门试图连接远程服务器。源IP所在的主机可能被植入了InvisiMole。InvisiMole是一个体系化的间谍软件,包含两个后门模块,RC2FM和RC2CL。运行后,可完全控制被植入机器。

更新时间:

20180629

默认动作:

丢弃

 

 

事件名称:

HTTP_Acunetix11_AWVS11_Content_Web漏洞扫描1

事件级别:

低级事件

安全类型:

安全扫描

事件描述:

检测到源IP主机正在利用Acunetix11(AWVS11)漏洞扫描工具对目的主机进行Web应用漏洞扫描的行为,尝试扫描发现Web应用系统漏洞,为进一步入侵目的IP主机做准备。Acunetix11(AWVS11)是一款商用的针对Web应用的安全漏洞扫描软件。

更新时间:

20180629

默认动作:

丢弃

 

 

事件名称:

HTTP_Acunetix11_AWVS11_Content_Web漏洞扫描2

事件级别:

低级事件

安全类型:

安全扫描

事件描述:

检测到源IP主机正在利用Acunetix11(AWVS11)漏洞扫描工具对目的主机进行Web应用漏洞扫描的行为,尝试扫描发现Web应用系统漏洞,为进一步入侵目的IP主机做准备。Acunetix11(AWVS11)是一款商用的针对Web应用的安全漏洞扫描软件。

更新时间:

20180629

默认动作:

丢弃

 

 

事件名称:

HTTP_AppScan9_Content_Web漏洞扫描

事件级别:

低级事件

安全类型:

安全扫描

事件描述:

检测到源IP主机正在利用AppScan 9漏洞扫描工具对目的主机进行Web应用漏洞扫描的行为,尝试扫描发现Web应用系统漏洞,为进一步入侵目的IP主机做准备。AppScan 9是一款商用的针对Web应用的安全漏洞扫描软件。

更新时间:

20180629

默认动作:

丢弃

 

 

事件名称:

TCP_木马后门_Win32.SocketPlayer_连接

事件级别:

中级事件

安全类型:

木马后门

事件描述:

检测到后门试图连接远程服务器。源IP所在的主机可能被植入了SocketPlayer。SocketPlayer是一个后门,功能非常强大。运行后,可完全控制被植入机器。

更新时间:

20180629

默认动作:

丢弃

 

 

事件名称:

HTTP_Malware_NocturnalStealer_连接服务器

事件级别:

中级事件

安全类型:

木马后门

事件描述:

检测到Nocturnal Stealer试图连接远程服务器。Nocturnal Stealer旨在窃取在多个基于Chromium和Firefox的浏览器中发现的数据。它还可以在FileZilla中窃取许多流行的加密货币钱包以及任何保存的FTP密码。

更新时间:

20180629

默认动作:

丢弃

 

 

事件名称:

HTTP_木马后门_MsraMiner_连接

事件级别:

中级事件

安全类型:

木马后门

事件描述:

检测到MsraMiner试图连接远程服务器。MsraMiner定时和C&C进行连接接受命令和更新模块,主要目的为挖掘门罗币。

更新时间:

20180629

默认动作:

丢弃

 

 

事件名称:

HTTP_phpMyAdmin_target参数_远程代码执行漏洞

事件级别:

中级事件

安全类型:

安全漏洞

事件描述:

检测到源IP主机正在利用phpMyAdmin远程代码执行漏洞对目的主机进行攻击的行为。phpMyAdmin是用PHP编写的工具,用于通过Web管理MySQL。phpMyAdmin版本小于4.8.2存在phpMyAdmin远程代码执行漏洞,攻击者利用此漏洞窃取敏感信息,远程执行系统命令。

更新时间:

20180629

默认动作:

丢弃

修改事件

事件名称:

HTTP_后门_Win32.Mirage_连接

事件级别:

中级事件

安全类型:

木马后门

事件描述:

检测到木马试图连接远程服务器。源IP所在的主机可能被植入了Mirage。Win32.Mirage是一个功能很强大的后门,一般利用电子邮件传播。目前已经发现有APT攻击使用了该后门。

更新时间:

20180629

默认动作:

丢弃

 

 

事件名称:

HTTP_Struts2_S2-045/S2-046远程命令执行攻击[CVE-2017-5638]

事件级别:

高级事件

安全类型:

安全漏洞

事件描述:

检测到源IP地址主机正在向目的IP地址主机发起Struts2 S2-045/S2-046攻击。Apache Struts是美国阿帕奇(Apache)软件基金会负责维护的一款用于创建企业级Java Web应用的开源框架。Struts 2.3.5 - Struts 2.3.31, Struts 2.5 - Struts 2.5.10版本存在严重的漏洞,在使用Jakarta插件处理文件上传操作时可能导致远程代码执行漏洞,攻击者可以在文件上传时通过构造HTTP请求头中的Content-Type值可能造成远程代码执行漏洞(S2-045);构造恶意OGNL使得上传文件的大小(由Content-Length头指定)大于Struts2允许的最大大小2GB(S2-046)。

更新时间:

20180629

默认动作:

丢弃

 

 

事件名称:

HTTP_Struts2_S2-046远程命令执行攻击[CVE-2017-5638]

事件级别:

高级事件

安全类型:

安全漏洞

事件描述:

检测到源IP地址主机正在向目的IP地址主机发起Struts2 S2-046攻击。Apache Struts是美国阿帕奇(Apache)软件基金会负责维护的一款用于创建企业级Java Web应用的开源框架。Struts 2.3.5 - Struts 2.3.31, Struts 2.5 - Struts 2.5.10版本存在严重的漏洞,在使用Jakarta插件处理文件上传操作时可能导致远程代码执行漏洞,构造恶意OGNL使得上传文件的大小(由Content-Length头指定)大于Struts2允许的最大大小2GB。

更新时间:

20180629

默认动作:

丢弃

 

 

事件名称:

TCP_后门_njRat变种_连接

事件级别:

中级事件

安全类型:

木马后门

事件描述:

检测到木马试图连接远程服务器。源IP所在的主机可能被植入了njRat变种。njRat是一个CSharp语言编写的后门,功能异常强大,可完全控制被感染机器。可以窃取敏感信息,如键盘记录、主流浏览器(Firefox、Google Chrome、Opera)保存的密码、焦点窗口标题等。目前已经出现很多njRat变种。

更新时间:

20180629

默认动作:

丢弃

 

 

事件名称:

TCP_后门_Win32.Torchwood_连接

事件级别:

中级事件

安全类型:

木马后门

事件描述:

检测到后门试图连接远程服务器。源IP所在的主机可能被植入了后门Torchwood。Torchwood是一个功能非常强大的后门,运行后可以完全控制被植入机器。主要通过CHM文件传播。

更新时间:

20180629

默认动作:

丢弃

 

历史事件库更新

  • 公司总部 | 分支机构 | 法律声明 | 投资者关系 | 400-624-3900 800-810-6038
  • © 启明星辰1996-2018 版权所有 京ICP备05032414号 京公网安备11010802024551号