新增事件


事件名称:

TCP_安全漏洞_Microsoft_SMBV3_远程代码执行漏洞[CVE-2020-0796](无漏洞)

安全类型:

安全漏洞

事件描述:

检测到源IP主机可能正在对目的主机进行CVE-2020-0796漏洞利用的行为,但是目的主机协商的SMB并不存在该漏洞。

更新时间:

20200609








事件名称:

HTTP_Apache_Solr_远程代码执行漏洞[CVE-2019-17558][CNNVD-201912-1225]

安全类型:

安全漏洞

事件描述:

检测到源IP主机正在利用Apache Solr VelocityResponseWriter远程代码执行漏洞对目的主机进行攻击的行为。

Apache Solr是美国阿帕奇(Apache)软件基金会的一款基于Lucene(一款全文搜索引擎)的搜索服务器。该产品支持层面搜索、垂直搜索、高亮显示搜索结果等。 Apache Solr 5.0.0版本至8.3.1版本中存在输入验证错误漏洞。该漏洞源于网络系统或产品未对输入的数据进行正确的验证。攻击者向网站发送精心构造的攻击payload,攻击成功可以远程执行任意命令,进而控制服务器。

更新时间:

20200609














事件名称:

HTTP_税务系统_远程代码执行漏洞

安全类型:

安全漏洞

事件描述:

检测到源IP主机正在利用反序列化远程代码执行漏洞对目的主机进行攻击的行为,试图通过传入精心构造的恶意代码或命令来入侵目的IP主机。

更新时间:

20200609








事件名称:

HTTP_fastjson_1.2.68_JSON反序列化_远程代码执行漏洞

安全类型:

安全漏洞

事件描述:

检测到源IP主机正在利用fastjsonJSON反序列化远程代码执行漏洞对目的主机进行攻击的行为,试图通过传入精心构造的恶意代码或命令来入侵目的IP主机。

fastjson1.2.68以及之前版本存在远程代码执行高危安全漏洞。开发者在使用fastjson时,如果编写不当,可能导致JSON反序列化远程代码执行漏洞。攻击者通过发送一个精心构造的JSON序列化恶意代码,当程序执行JSON反序列化的过程中执行恶意代码,从而导致远程代码执行。

更新时间:

20200609












事件名称:

TCP_通用_Java反序列化_ysoserial恶意数据利用

安全类型:

安全漏洞

事件描述:

检测到源IP主机正在通过TCP发送ysoserial生成的恶意JAVA反序列化数据对目的主机进行攻击。

若访问的应用存在漏洞JAVA反序列化漏洞,攻击者可以发送精心构造的Java序列化对象,远程执行任意代码或命令。

更新时间:

20200609










事件名称:

HTTP_木马后门_Win32.Poulight_连接

安全类型:

木马后门

事件描述:

检测到木马试图连接远程服务器。源IP所在的主机可能被植入了木马Poullight

Poulight是一款来自俄罗斯的C#语言编写的窃密木马,可以窃取受害主机的敏感信息,包括一些Skype等软件的登录凭证、电子货币钱包数据等,并接收C2服务器的命令执行下载其它模块。

更新时间:

20200609










事件名称:

TCP_Windows_远程读取域成员

安全类型:

可疑行为

事件描述:

检测到源IP对目的主机远程读取域内组成员或遍历域内成员的行为。

Microsoft Windows是微软发布的非常流行的操作系统。

在获取到主机权限后,黑客通常会查询域管理员,域控制器主机名来收集域内信息。

更新时间:

20200609










事件名称:

TCP_Windows_远程修改注册表

安全类型:

可疑行为

事件描述:

检测到源IP对目的主机进行远程注册表写入的行为.

Microsoft Windows是微软发布的非常流行的操作系统。

如果攻击者成功远程连接 Microsoft 注册表,就可能获取目标服务器的注册表信息,并修改其中内容。

更新时间:

20200609











修改事件


事件名称:

TCP_木马_TrickBot.Pwgrab_连接

安全类型:

木马后门

事件描述:

检测到木马试图连接远程服务器。源IP所在的主机可能被植入了木马TrickBot

TrickBot是一个功能强大的窃密木马。Trickbot新增加了一个窃密模块Pwgrab,可以窃取主流浏览器如IEFirefoxChromeEdge保存的账号密码及Cookies等数据。还可以窃取OutlookFileZillaWinSCP等客户端保存的账号密码。

更新时间:

20200609










事件名称:

TCP_木马_Win32.TrickBot_NetworkCollectorModule

安全类型:

木马后门

事件描述:

检测到木马试图连接远程服务器。源IP所在的主机可能被植入了木马TrickBot

TrickBot是一个功能强大的窃密木马。Trickbot银行木马中包含Network Collector Module,该模块可以搜集用户信息上传至服务器。

更新时间:

20200609









事件名称:

TCP_SMB_NMAP扫描

安全类型:

安全扫描

事件描述:

检测到源IP主机正在利用对目的主机使用NMAP通过SMB协议获取计算机信息的行为。

更新时间:

20200609








事件名称:

TCP_Cisco_SmartInstall_远程代码执行漏洞[CVE-2018-0171&CVE-2016-1349]

安全类型:

安全漏洞

事件描述:

检测到试图通过Cisco Smart Install远程代码执行漏洞进行攻击的行为。

Cisco IOS Software是美国思科(Cisco)公司为其网络设备开发的操作系统。

Cisco IOS Software中的Smart Install功能存在输入验证漏洞,该漏洞源于程序没有正确的校验数据包数据。远程攻击者可通过向TCP 4786端口上的受影响设备发送特制的Smart Install消息利用该漏洞造成拒绝服务(设备重新加载)或执行任意代码。

更新时间:

20200609













事件名称:

HTTP_木马后门_CobaltStrike.Stager_连接C2服务器

安全类型:

木马后门

事件描述:

检测到由黑客工具 CobaltStrike 生成的后门 Stager 试图连接远程服务器下载木马 CobaltStrike.Beacon, IP所在的主机可能被植入了CobaltStrike.StagerCobaltStrike.Beacon执行后攻击者可利用CobaltStrike完全控制受害机器,并进行横向移动。

CobatStrike是一款基于java编写的全平台多方协同后渗透攻击框架。CobaltStrike集成了端口转发、端口扫描、socket代理、提权、钓鱼、远控木马等功能。该工具几乎覆盖了APT攻击链中所需要用到的各个技术环节,深受黑客们的喜爱。

更新时间:

20200609














事件名称:

TCP_Windows_系统默认共享连接

安全类型:

安全审计

事件描述:

检测到源IP对目的主机进行默认连接的行为,并传输pe文件的行为。

更新时间:

20200609







事件名称:

TCP_安全漏洞_Microsoft_SMBV3_远程代码执行漏洞[CVE-2020-0796]

安全类型:

安全漏洞

事件描述:

检测到源IP主机可能正在对目的主机进行CVE-2020-0796漏洞利用的行为。

更新时间:

20200609