新增事件


事件名称:

HTTP_木马后门_CobaltStrike.Powershell_代码下载执行

安全类型:

木马后门

事件描述:

检测到由黑客工具 CobaltStrike 生成的 后门powershell命令 试图连接远程服务器下载木马 CobaltStrike.Beacon, IP所在的主机可能执行了后门Powershell命令。CobaltStrike.Beacon执行后攻击者可利用CobaltStrike完全控制受害机器,并进行横向移动。

CobatStrike是一款基于java编写的全平台多方协同后渗透攻击框架。CobaltStrike集成了端口转发、端口扫描、socket代理、提权、钓鱼、远控木马等功能。该工具几乎覆盖了APT攻击链中所需要用到的各个技术环节,深受黑客们的喜爱。

更新时间:

20200616














事件名称:

HTTP_木马_APT_Andariel_Proto_Module_连接C2服务器

安全类型:

木马后门

事件描述:

检测到木马试图连接远程服务器。源IP所在的主机可能被植入了Andariel Proto Module

Andariel作为朝鲜APT组织Lazarus的分支团伙,主要负责对外进行军事活动。Proto Module为一款窃密木马,窃取受害主机的各种信息,包括MAC地址、计算机名称、安装的软件等。

更新时间:

20200616











事件名称:

HTTP_Ransomware_Locky勒索病毒连接C2服务器

安全类型:

蠕虫病毒

事件描述:

检测到勒索病毒试图连接远程服务器。源IP所在的主机可能被植入了Locky勒索病毒。

Locky勒索病毒,通过RSA-2048AES-128算法对100多种文件类型进行加密,加密成".lock"文件,同时在每个存在加密文件的目录下释放一个名为_Locky_recover_instructions.txt的勒索提示文件,一般利用垃圾邮件进行传播,是首例具有中文提示的比特币勒索软件。Locky连接C2上传敏感信息并请求加密的公钥。

更新时间:

20200616













事件名称:

HTTP_齐治堡垒机_远程命令执行漏洞[CNVD-2019-20835]

安全类型:

注入攻击

事件描述:

检测到试图通齐治运维堡垒机服务端的命令注入漏洞进行攻击的行为。攻击者攻击成功后可远程执行任意命令。

更新时间:

20200616








事件名称:

TCP_Vmware_vCenterServer_vmdir_信息泄露漏洞

安全类型:

安全漏洞

事件描述:

检测到源IP主机正在利用TCP_Vmware_vCenterServer_vmdir_信息泄露漏洞对目的主机进行攻击的行为。

更新时间:

20200616









修改事件



事件名称:

TCP_后门_DDoS.Win32.Nitol_连接

安全类型:

木马后门

事件描述:

检测到木马试图连接远程服务器。源IP所在的主机可能被植入了木马。

DDoS.Win32.Nitol是近来最活跃的恶意DDoS攻击家族之一。

DDoS.Win32.Nitol连接远程服务器,接收黑客指令,向目标域或网站发起DDoS攻击。还可以下载其他病毒到被感染机器。

更新时间:

20200616










事件名称:

TCP_木马_CoinMiner_尝试连接矿池

安全类型:

木马后门

事件描述:

检测到木马试图连接远程服务器。源IP所在的主机可能被植入了Coinminer木马。

CoinMiner是一款挖矿恶意程序,挖矿程序会占用CPU资源,可能导致受害主机变慢。

更新时间:

20200616









事件名称:

TCP_木马_CoinMiner_连接矿池成功

安全类型:

木马后门

事件描述:

检测到木马试图连接远程服务器。源IP所在的主机可能被植入了CoinMiner木马。

CoinMiner是一款挖矿恶意程序,挖矿程序会占用CPU资源,可能导致受害主机变慢。

更新时间:

20200616









事件名称:

TCP_冰蝎_asp_webshell_上传

安全类型:

木马后门

事件描述:

检测到源IP主机正向目的主机上传冰蝎 aspwebshell木马。

更新时间:

20200616