2021-03-30
发布时间 2021-03-31新增事件
事件名称: | TCP_僵尸网络_FBot.Botnet_连接 |
安全类型: | 木马后门 |
事件描述: | 检测到FBot试图连接C&C服务器,源IP主机可能被植入了僵尸网络FBot。FBot是一个基于Mirai的僵尸网络,一直很活跃,主要功能是对指定目标发起DDoS攻击。一般通过漏洞传播自身。 |
更新时间: | 20210330 |
事件名称: | TCP_可疑行为_辅助提权脚本下载 |
安全类型: | 可疑行为 |
事件描述: | 检测到源IP主机试图下载辅助提权脚本,辅助提权脚本通常针对的是枚举系统信息而不是给出特定的漏洞或者利用。 |
更新时间: | 20210330 |
事件名称: | TCP_可疑行为_SSF代理工具_TLS连接 |
安全类型: | 木马后门 |
事件描述: | 检测到SSF代理工具连接服务器,目的地址主机正在使用SSF代理工具。SecureSocketFunneling(SSF)是一种网络代理工具。它提供简单有效的方式,将多个sockets(TCP或UDP)的数据通过单个安全TLS链接转发到远程计算机。 |
更新时间: | 20210330 |
事件名称: | TCP_可疑行为_SSF代理工具_TLS连接 |
安全类型: | 木马后门 |
事件描述: | 检测到由黑客工具CobaltStrike生成的后门Beacon试图连接远程服务器,源IP所在的主机可能被植入了CobaltStrike.Beacon。CobaltStrike.Beacon执行后攻击者可利用CobaltStrike完全控制受害机器,并进行横向移动。CobatStrike是一款基于java编写的全平台多方协同后渗透攻击框架。CobaltStrike集成了端口转发、端口扫描、socket代理、提权、钓鱼、远控木马等功能。该工具几乎覆盖了APT攻击链中所需要用到的各个技术环节,深受黑客们的喜爱。 |
更新时间: | 20210330 |
修改事件
事件名称: | HTTP_木马后门_PHP_reGeorg-v1.0_后门上传 |
安全类型: | 木马后门 |
事件描述: | 检测到源IP主机正向目的主机上传reGeorg-v1.0木马后门文件。reGeorg-v1.0木马是黑客常用的一种内网渗透流量转发木马,攻击者通过上传该木马文件到Web服务器,然后在本地通过特定攻击脚本连接服务端的木马文件进行内网流量转发。攻击者企图通过这种方式绕过内网防护设备以Web服务器为跳板攻击其他内网主机,试图获取内网其他服务器的控制权。上传木马后门,进而远程连接木马后门攻击内网其他主机。 |
更新时间: | 20210330 |
事件名称: | TCP_后门_Win32.SpyIrcBot_连接 |
安全类型: | 木马后门 |
事件描述: | 检测到木马试图连接远程服务器。源IP所在的主机可能被植入了后门SpyIrcBot。SpyIrcBot是一个基于irc协议的后门,运行后可允许攻击者远程控制被植入机器。可远程控制被植入机器。 |
更新时间: | 20210330 |
京公网安备11010802024551号