每周升级公告-2021-11-16

发布时间 2021-12-10

新增事件




事件名称:

TCP_木马_Win32.Dark_Crystal_RAT/DCRat_远控木马_连接C2服务器

安全类型:

远控后门

事件描述:

检测到木马DarkCrystal连接C2服务器,表明源IP主机已感染该木马。DarkCrystal恶意软件是一种RAT(远程访问木马),C#语言,俄罗斯人开发。DarkCrystalRAT是一种非常先进的黑客工具,具有很多功能,其中包括:运行远程命令、收集用户信息、通过网络摄像头录制视频、通过麦克风录制音频、执行DDoS或UDP/TCP洪水攻击、管理文件系统等等。

更新时间:

20211116

 

 

事件名称:

HTTP_表达式注入_通用

安全类型:

其他注入

事件描述:

2013年4月15日ExpressionLanguageInjection词条在OWASP上被创建,而这个词的最早出现可以追溯到2012年12月的《Remote-Code-with-Expression-Language-Injection》一文,在这个paper中第一次提到了这个名词。而这个时期,只不过还只是把它叫做远程代码执行漏洞、远程命令执行漏洞或者上下文操控漏洞。像Struts2系列的s2-003、s2-009、s2-016等,这种由OGNL表达式引起的命令执行漏洞。

更新时间:

20211116

 

 

事件名称:

HTTP_安全漏洞_D-Link_DAP-1860_远程命令执行漏洞[CVE-2019-19597][CNNVD-201912-215]

安全类型:

命令执行

事件描述:

D-LinkDAP-1860是中国台湾友讯(D-Link)公司的一款WiFi范围扩展器。D-LinkDAP-18601.04b03之前版本中存在安全漏洞。攻击者可借助HTTP请求头中的HNAP_AUTH参数后注入shell元字符利用该漏洞以root权限执行任意命令。

更新时间:

20211116

 

 

事件名称:

HTTP_可疑行为_passwd内容文件回显

安全类型:

其他可疑行为

事件描述:

检测到源IP正在通过命令执行查看/etc/passwd文件的内容。此文件中存储了系统中的所有账户、权限等信息。

更新时间:

20211116

 

修改事件



事件名称:

HTTP_IBM_WebSphere_Java反序列化_远程代码执行漏洞[CVE-2015-7450]

安全类型:

代码执行

事件描述:

WebSphere是IBM公司开发的中间件基础设施平台。WebSphere7版本在开发中使用了ApacheCommonsCollections库中的InvokerTransformer类,该类存在Java反序列化漏洞。攻击者可以发送精心构造的Java序列化对象,远程执行任意代码或命令

更新时间:

20211116

 

 

事件名称:

HTTP_Struts2_S2-016/S2-017/S2-018远程命令执行变形攻击[CVE-2013-2251/4310]

安全类型:

命令执行

事件描述:

检测到源IP主机正试图通过ApacheStruts2框架命令执行漏洞攻击目的IP主机远程攻击者可通过带有action:、redirect:或redirectAction:的前缀参数利用该漏洞执行任意OGNL表达式。漏洞存在的版本:S2-016:Struts2.0.0-Struts2.3.15S2-017:Struts2.0.0-Struts2.3.15S2-018:Struts2.0.0-Struts2.3.15.2攻击成功,可远程执行任意代码。

更新时间:

20211116

 


事件名称:

TCP_通用_Java反序列化_ysoserial恶意数据利用

安全类型:

命令执行

事件描述:

检测到源IP主机正在通过TCP发送ysoserial生成的恶意JAVA反序列化数据对目的主机进行攻击。若访问的应用存在漏洞JAVA反序列化漏洞,攻击者可以发送精心构造的Java序列化对象,远程执行任意代码或命令。远程执行任意代码,获取系统控制权。

更新时间:

20211116

 


事件名称:

TCP_僵尸网络_Mirai.Putin_连接

安全类型:

其他注入

事件描述:

检测到僵尸网络Mirai变种Putin试图连接C&C服务器。源IP所在的主机可能被植入了Mirai变种Putin。Mirai僵尸网络蠕虫主要通过扫描防护能力不强的物联网设备(IoT),包括:路由器、网络摄像头、DVR设备等等,IoT设备主要是MIPS、ARM等架构,因存在默认密码、弱密码、严重漏洞未及时修复等因素,导致被攻击者植入木马。窃取敏感信息,获取管理员权限。由于源代码已经公开,Mirai出现了很多变种,本事件针对其变种Putin。

更新时间:

20211116

 

 

事件名称:

HTTP_安全漏洞_phpunint_远程代码执行漏洞[CVE-2017-9841][CNNVD-201706-1127]

安全类型:

代码执行

事件描述:

PHPUnit是PHP程式语言中最常见的单元测试(unittesting)框架,通常phpunit使用composer非常流行的PHP依赖管理器进行部署,将会在当前目录创建一个vendor文件夹.phpunit生产环境中仍然安装了它,如果该编写器模块存在于Web可访问目录,则存在远程代码执行漏洞。

更新时间:

20211116

 


事件名称:

HTTP_可疑行为_Fastjson漏洞_hex编码利用

安全类型:

其他可疑行为

事件描述:

FastJson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将JavaBean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean,由于具有执行效率高的特点,应用范围很广。攻击成功,可远程执行任意代码。fastjson可接受并解析hex编码内容,因此攻击者可利用hex编码绕过检测设备。

更新时间:

20211116