新增事件


事件名称:

TCP_后门_Win.BACKSPACE/Lecna_连接C2服务器

安全类型:

木马后门

事件描述:

检测到后门试图连接远程服务器。

BACKSPACE是一个后门,也就是"Lecna",功能非常强大,可完全控制被感染机器。

BACKSPACE可以窃取敏感信息,如计算机名称、系统版本,IP地址等,具有进程管理、文件管理、注册表管理、执行命令等。

更新时间:

20200421











事件名称:

TCP_木马_Sidewinder.PreBotModules_连接C2服务器

安全类型:

木马后门

事件描述:

检测到 Sidewinder.PreBotModules 试图连接远程服务器。源IP所在的主机可能被植入了后门 Sidewinder.PreBotModules

PreBotModules APT组织"响尾蛇"SideWinderT-APT-04)用c#写的信息收集模块,该后门模块通常使用Office诱饵文档下发,植入主机后会收集受害主机的计算机名、用户名、MAC地址、启用的服务和进程、更新补丁等指纹信息发送至远程服务器。

更新时间:

20200421











修改事件


事件名称:

HTTP_后门_FakeSanforUD_连接

安全类型:

木马后门

事件描述:

检测到木马试图连接远程服务器。源IP所在的主机可能被植入了FakeSanforUD

深信服VPN客户端存在漏洞,在升级时会下载执行名为SangforUD.exe的更新程序。但VPN客户端仅对SangforUD.exe做了简单的版本对比,没有做任何的安全检查。APT组织Darkhotel攻破了VPN服务器,篡改升级配置文件并把SangforUD.exe替换为恶意的后门FakeSanforUD

FakeSanforUD是一个后门,通过下载执行shellcode,最终下载核心的后门恶意组件thinmon.dll。核心后门组件thinmon.dll会解密云端下发的另外一个加密文件Sangfor_tmp_1.dat,以加载、线程启动、注入进程3种方式中的一种启动dat文件 ,最终由dat文件实现与服务器交互执行恶意操作。

更新时间:

20200421















事件名称:

DNS_木马_可疑矿池域名解析请求

安全类型:

木马后门

事件描述:

检测到木马试图连接远程服务器。源IP所在的主机可能被植入了挖矿木马。

更新时间:

20200421