每周升级公告-2022-07-12
发布时间 2022-07-12新增事件
事件名称: | HTTP_提权攻击_Atlassian-Jira_8.2.3远程代码执行[CVE-2019-11581] |
安全类型: | 安全漏洞 |
事件描述: | 检测到源IP主机正在利用HTTP_Atlassian-Jira_远程代码执行漏洞[CVE-2019-11581]攻击目的IP主机的行为。AtlassianJira是澳大利亚Atlassian公司的一套缺陷跟踪管理系统。该系统主要用于对工作中各类问题、缺陷进行跟踪管理。AtlassianJiraServer和JiraDataCenter存在服务端模板注入漏洞,成功利用此漏洞的攻击者可在运行受影响版本的JiraServer或JiraDataCenter系统上执行任意命令。目前PoC已放出,建议受影响的客户尽快升级或采用临时缓解措施。第一种情况,Jira服务端已配置好SMTP服务器,且“联系管理员表单”功能已开启(默认配置不开启);第二种情况,Jira服务端已配置好SMTP服务器,且攻击者具有"JIRA管理员"的访问权限。在第一种情况下,“联系管理员表单”功能开启的情况下,攻击者可以未经任何认证,通过向/secure/ContactAdministrators."font-family:MS Mincho">发起请求利用此漏洞。在第二种情况下,攻击者具有"JIRA管理员"的访问权限下可通过/secure/admin/SendBulkMail!default."font-family:MS Mincho">利用此漏洞。影响版本4.4.x5.x.x6.x.x7.0.x7.1.x7.2.x7.3.x7.4.x7.5.x7.6.x<7.6.147.7.x7.8.x7.9.x7.10.x7.11.x7.12.x7.13.x<7.13.58.0.x<8.0.38.1.x<8.1.28.2.x<8.2.3修复版本7.6.147.13.58.0.38.1.28.2.3攻击成功,可远程执行任意代码。 |
更新时间: | 20220712 |
事件名称: | HTTP_木马后门_PowershellEmpire_连接 |
安全类型: | 木马后门 |
事件描述: | 检测到Empire的后门模块试图连接远程服务器。源IP所在的主机可能被植入了Empire的后门模块。Empire是一款类似Metasploit的渗透测试框架,使用PowerShell脚本作为攻击载荷。可以快速在后期部署漏洞利用模块,内置模块有键盘记录、Mimikatz、绕过UAC、内网扫描等。其内置了基于PowerShell的后门模块,功能类似于Meterpreter。远程控制被植入机器。 |
更新时间: | 20220712 |
事件名称: | HTTP_提权攻击_浪潮ClusterEngineV4.0_sysShell_命令执行 |
安全类型: | 安全漏洞 |
事件描述: | 检测到源ip正在向目的ip上的浪潮ClusterEngineV4.0发送特殊的请求从而获取服务器权限。浪潮InspurClusterEngine是中国浪潮公司的一个应用软件。提供管理集群系统中软硬件提交的作业。 |
更新时间: | 20220712 |
事件名称: | TCP_挖矿木马_BitCoinMiner_GetBlockTemplate协议_尝试连接矿池_获取区块模板(BTC) |
安全类型: | 蠕虫病毒 |
事件描述: | 检测到木马试图连接矿池获取区块模板。源IP所在的主机可能被植入了BitCoinMiner木马。Getblocktemplate协议是新的分散式的比特币挖矿协议,于2012年中旬在比特币社区开放自主研发,它取代了老的getwork挖矿协议。该事件表明矿工正在尝试连接矿池并请求初始模板。挖矿程序会占用CPU资源,可能导致受害主机变慢。占用用户资源进行挖矿。 |
更新时间: | 20220712 |
事件名称: | TCP_挖矿木马_BitCoinMiner_GetBlockTemplate协议_连接矿池成功_返回区块模板(BTC) |
安全类型: | 蠕虫病毒 |
事件描述: | 检测到挖矿木马连接矿池成功的行为。源IP所在的主机可能被植入了BitCoinMiner木马。GetBlockTemplate协议是新的分散式的比特币挖矿协议,于2012年中旬在比特币社区开放自主研发,它取代了老的getwork挖矿协议。该事件表明矿工正在连接矿池成功并返回区块模板。挖矿程序会占用CPU资源,可能导致受害主机变慢。占用用户资源进行挖矿。 |
更新时间: | 20220712 |
事件名称: | TCP_提权攻击_Spring_Cloud_Function_SpEL_表达式注入_代码执行 |
安全类型: | 安全漏洞 |
事件描述: | SpringCloudFunction是来自Pivotal的Spring团队的新项目,它致力于促进函数作为主要的开发单元。该项目提供了一个通用的模型,用于在各种平台上部署基于函数的软件,包括像AmazonAWSLambda这样的FaaS(函数即服务,functionasaservice)平台。由于SpringCloudFunction未对HTTP请求头部数据进行有效的验证,攻击者可利用该漏洞在未授权的情况下,构造恶意数据进行远程代码执行漏洞攻击,最终获取服务器最高权限。 |
更新时间: | 20220712 |
事件名称: | TCP_挖矿木马_BitCoinMiner_GetBlockTemplate协议_尝试连接矿池_请求更改模板(BTC) |
安全类型: | 蠕虫病毒 |
事件描述: | 检测到木马试图连接远程矿池服务器请求更改为新模板。源IP所在的主机可能被植入了BitCoinMiner木马。Getblocktemplate协议是新的分散式的比特币挖矿协议,于2012年中旬在比特币社区开放自主研发,它取代了老的getwork挖矿协议。该事件表明矿工正在尝试连接矿池并请求初始模板。挖矿程序会占用CPU资源,可能导致受害主机变慢。占用用户资源进行挖矿。 |
更新时间: | 20220712 |
事件名称: | TCP_挖矿木马_BitCoinMiner_GetBlockTemplate协议_挖矿成功_提交区块(BTC) |
安全类型: | 蠕虫病毒 |
事件描述: | 检测到矿工找到符合要求难度的工作时,向矿池服务器提交shares。源IP所在的主机可能被植入了BitCoinMiner木马。Getblocktemplate协议是新的分散式的比特币挖矿协议,于2012年中旬在比特币社区开放自主研发,它取代了老的getwork挖矿协议。挖矿程序会占用CPU资源,可能导致受害主机变慢。占用用户资源进行挖矿。 |
更新时间: | 20220712 |
事件名称: | TCP_僵尸网络_Fbot_连接 |
安全类型: | 木马后门 |
事件描述: | 检测到Fbot试图连接C&C服务器。源IP主机可能被植入了僵尸网络Fbot。Fbot是僵尸网络Mirai的一个重要变种,一直很活跃。主要功能是对指定目标发起DDoS攻击,通过各类漏洞传播自身。 |
更新时间: | 20220712 |
事件名称: | TCP_挖矿木马_CortexMiner_尝试连接矿池(CTXC) |
安全类型: | 蠕虫病毒 |
事件描述: | 检测到木马试图连接远程服务器。源IP所在的主机可能被植入了CortexMiner挖矿木马。CortexMiner是一款挖矿恶意程序,挖矿程序会占用CPU资源,可能导致受害主机变慢。CTXC币英文全称cortex,CTXC的目标是打造一个真正去中心化人工智能自治系统,在区块链上提供最先进的机器学习模型,用户可以使用cortex区块链上的智能合约来推断该模型。cortex的目标之一还包括实现一个机器学习平台,允许用户在平台上发布任务,提交aidapps。 |
更新时间: | 20220712 |
事件名称: | TCP_挖矿木马_CortexMiner_获取挖矿任务(CTXC) |
安全类型: | 蠕虫病毒 |
事件描述: | 检测到挖矿木马获取挖矿任务的行为。源IP所在的主机可能被植入了CortexMiner挖矿木马。CortexMiner是一款挖矿恶意程序,挖矿程序会占用CPU资源,可能导致受害主机变慢。CTXC币英文全称cortex,CTXC的目标是打造一个真正去中心化人工智能自治系统,在区块链上提供最先进的机器学习模型,用户可以使用cortex区块链上的智能合约来推断该模型。cortex的目标之一还包括实现一个机器学习平台,允许用户在平台上发布任务,提交aidapps。 |
更新时间: | 20220712 |
事件名称: | TCP_挖矿木马_CortexMiner_挖矿成功(CTXC) |
安全类型: | 蠕虫病毒 |
事件描述: | 检测到挖矿木马挖矿成功的行为,即矿机向矿池提交挖矿结果。源IP所在的主机可能被植入了CortexMiner挖矿木马。CortexMiner是一款挖矿恶意程序,挖矿程序会占用CPU资源,可能导致受害主机变慢。CTXC币英文全称cortex,CTXC的目标是打造一个真正去中心化人工智能自治系统,在区块链上提供最先进的机器学习模型,用户可以使用cortex区块链上的智能合约来推断该模型。cortex的目标之一还包括实现一个机器学习平台,允许用户在平台上发布任务,提交aidapps。 |
更新时间: | 20220712 |
事件名称: | TCP_挖矿木马_CortexMiner_连接矿池成功(CTXC) |
安全类型: | 蠕虫病毒 |
事件描述: | 检测到挖矿木马连接矿池成功的行为。源IP所在的主机可能被植入了CortexMiner挖矿木马。CortexMiner是一款挖矿恶意程序,挖矿程序会占用CPU资源,可能导致受害主机变慢。CTXC币英文全称cortex,CTXC的目标是打造一个真正去中心化人工智能自治系统,在区块链上提供最先进的机器学习模型,用户可以使用cortex区块链上的智能合约来推断该模型。cortex的目标之一还包括实现一个机器学习平台,允许用户在平台上发布任务,提交aidapps。 |
更新时间: | 20220712 |
事件名称: | TCP_挖矿木马_CPUMiner_挖矿控制命令通信_矿机支持Mining.set_extranonce方法(BTC/LTC) |
安全类型: | 蠕虫病毒 |
事件描述: | 检测到矿机向矿池表明支持Mining.set_extranonce方法。源IP所在的主机可能被植入了CPUMiner挖矿木马。CPUMiner是一款挖矿恶意程序,挖矿程序会占用CPU资源,可能导致受害主机变慢。 |
更新时间: | 20220712 |
事件名称: | TCP_挖矿木马_CPUMiner_挖矿控制命令通信_矿池更新Extranonce(BTC/LTC) |
安全类型: | 蠕虫病毒 |
事件描述: | 检测到矿池通过mining.set_extranonce方法更新矿机的Extranonce。源IP所在的主机可能被植入了CPUMiner挖矿木马。CPUMiner是一款挖矿恶意程序,挖矿程序会占用CPU资源,可能导致受害主机变慢。 |
更新时间: | 20220712 |
事件名称: | TCP_提权攻击_Click1_Java反序列化利用链_代码执行 |
安全类型: | 安全漏洞 |
事件描述: | 检测到源IP主机正在利用Click1的Java反序列化利用链对目的主机进行攻击的行为。若访问的应用存在漏洞JAVA反序列化漏洞且使用了click-nodeps:2.3.0,攻击者可以发送精心构造的Java序列化对象,远程执行任意代码或命令。远程执行任意代码,获取系统控制权。 |
更新时间: | 20220712 |
事件名称: | HTTP_提权攻击_Spring_Boot_jolokia_logback_远程代码执行 |
安全类型: | 安全漏洞 |
事件描述: | 检测到源ip正在利用Actuator的/jolokia接口调用ch.qos.logback.classic.jmx.JMXConfigurator类的reloadByURL方法设置外部日志配置url地址。SpringBootActuator是一款可以帮助你监控系统数据的框架,其可以监控很多很多的系统数据,它有对应用系统的自省和监控的集成功能,可以查看应用配置的详细信息。Jolokia允许通过HTTP访问所有已注册的MBean,同时可以使用URL列出所有可用的MBeans操作。 |
更新时间: | 20220712 |
事件名称: | HTTP_提权攻击_Spring_Boot_Actuator_mysqljdbc_远程代码执行 |
安全类型: | 安全漏洞 |
事件描述: | 检测到源ip正在利用Actuator的/env接口设置属性将spring.datasource.url设置为外部恶意mysqljdbcurl地址。SpringBootActuator是一款可以帮助你监控系统数据的框架,其可以监控很多很多的系统数据,它有对应用系统的自省和监控的集成功能,可以查看应用配置的详细信息。 |
更新时间: | 20220712 |
事件名称: | HTTP_提权攻击_H3C_IMC_命令注入 |
安全类型: | 安全漏洞 |
事件描述: | 检测到源IP正在利用H3C的漏洞进行恶意命令注入。H3CIMC(IntlligentManagementCenter)智能管理中心是H3C推出的下一代业务只能管理产品。它融合了当前多个产品,以统一风格提供与网络相关的各类管理、控制、监控等功能;同时以开放的组件化的架构原型,向平台及其承载业务提供分布式、分级式交互管理特性;并未业务软件的下一代产品提供最可靠的、可扩展、高性能的业务平台。 |
更新时间: | 20220712 |
事件名称: | TCP_其它可疑行为_ScriptEngineManager加载JS代码行为 |
安全类型: | 可疑行为 |
事件描述: | 在JAVA中,javax.script.ScriptEngineManager可用来执行js代码,攻击者可利用此类执行恶意js代码,从而控制目的IP设备权限 |
更新时间: | 20220712 |
事件名称: | TCP_僵尸网络_Boat_连接 |
安全类型: | 其他事件 |
事件描述: | Boat是一个融合了开源僵尸网络DDoS攻击源代码的新僵尸网络家族,但和C2的通信协议及交互逻辑是全新,完全不同于之前主流的僵尸网络。目前,Boat有x86、x64、arm、mips平台版本,主要功能包括信息搜集、DDoS攻击、弱口令扫描、自删除等。 |
更新时间: | 20220712 |
事件名称: | TCP_其它可疑行为_写入jar文件 |
安全类型: | 可疑行为 |
事件描述: | 在JAVA中,java.io.FileOutputStream可以用来文件写入,攻击者可利用该类写入恶意jar包,配合其它漏洞及手法从而获取目的IP设备权限。 |
更新时间: | 20220712 |
事件名称: | HTTP_提权攻击_Microsoft_Exchange_Server_未授权访问[CVE-2020-0692][CNNVD-202002-555] |
安全类型: | 安全漏洞 |
事件描述: | MicrosoftExchangeServer是个消息与协作系统。MicrosoftExchangeServer中存在特权提升漏洞。成功利用此漏洞的攻击者可以获得与ExchangeServer的其他任何用户相同的权限。这可能允许攻击者执行诸如访问其他用户邮箱之类的活动。 |
更新时间: | 20220712 |
事件名称: | HTTP_文件操作攻击_中科网威_NPFW防火墙_CommandsPolling.php_文件读取 |
安全类型: | 安全漏洞 |
事件描述: | 中科网威NPFW防火墙存在任意文件读取漏洞,由于代码过滤不足,可读取服务器任意文件。 |
更新时间: | 20220712 |
事件名称: | HTTP_提权攻击_D-Link_DIR-645_service.cgi_远程命令执行 |
安全类型: | 安全漏洞 |
事件描述: | D-LinkDIR-645固件版本小于等于1.03版本存在一个远程命令执行漏洞,该漏洞形成的原因是由于service.cgi在处理HTTP请求中的数据不当,形成命令拼接,导致可执行任意命令。 |
更新时间: | 20220712 |
事件名称: | TCP_信息泄露_ASUSWRT_RT-AC53会话泄露_攻击尝试[CVE-2017-6549][CNNVD-201703-321] |
安全类型: | CGI攻击 |
事件描述: | 检测到源ip正在向Cookie中发送cgi_logout,来窃取ASUSWRT_RT-AC53设备中的任何活动的管理会话。 |
更新时间: | 20220712 |
事件名称: | HTTP_提权攻击_金山V8终端安全系统_pdf_maker.php_命令执行 |
安全类型: | 安全漏洞 |
事件描述: | 金山V8终端安全系统pdfmaker.php存在命令执行漏洞,由于没有过滤危险字符,导致构造特殊字符即可进行命令拼接执行任意命令。 |
更新时间: | 20220712 |
事件名称: | HTTP_安全漏洞_BSPHP_未授权访问 |
安全类型: | CGI攻击 |
事件描述: | BSPHP存在未授权访问漏洞,攻击者可未授权访问相关接口,获取用户名和登陆ip等敏感信息。 |
更新时间: | 20220712 |
事件名称: | HTTP_提权攻击_Nodejs_Squirrelly组件_代码执行[CVE-2021-32819] |
安全类型: | 安全漏洞 |
事件描述: | 该漏洞位于Squirrelly和Express模板引擎组件中,Squirrelly通过Express渲染API将纯模板数据与引擎配置选项混合。漏洞形成原因在于攻击者设置defaultFilter的参数值覆盖原生配置属性的值。攻击者可以在defaultFilter值中注入恶意内容,从而执行恶意代码。 |
更新时间: | 20220712 |
事件名称: | HTTP_提权攻击_佑友防火墙后台index.php_命令执行 |
安全类型: | 安全漏洞 |
事件描述: | 佑友防火墙后台维护工具存在命令执行漏洞,由于没有过滤危险字符,导致远程攻击者可以执行任意命令。 |
更新时间: | 20220712 |
事件名称: | TCP_提权攻击_Myfaces2_Java反序列化利用链_代码执行 |
安全类型: | 安全漏洞 |
事件描述: | 检测到源IP主机正在利用Myfaces2的Java反序列化利用链对目的主机进行攻击的行为。攻击者可以发送精心构造的Java序列化对象,远程执行任意代码或命令。远程执行任意代码,获取系统控制权。 |
更新时间: | 20220712 |
事件名称: | TCP_提权攻击_JBossInterceptors1_Java反序列化利用链_代码执行 |
安全类型: | 安全漏洞 |
事件描述: | 检测到源IP主机正在利用JBossInterceptors1的Java反序列化利用链对目的主机进行攻击的行为。若访问的应用存在漏洞JAVA反序列化漏洞且使用了javassist:3.12.1.GA,jboss-interceptor-core:2.0.0.Final,cdi-api:1.0-SP1,javax.interceptor-api:3.1,jboss-interceptor-spi:2.0.0.Final,slf4j-api:1.7.21,攻击者可以发送精心构造的Java序列化对象,远程执行任意代码或命令。远程执行任意代码,获取系统控制权。 |
更新时间: | 20220712 |
事件名称: | HTTP_提权攻击_Pi-hole_命令执行[CVE-2020-8816][CNNVD-202003-1972] |
安全类型: | 安全漏洞 |
事件描述: | Pi-hole是一个用于内容过滤的DNS服务器,v4.3.2及其之前的版本存在命令执行漏洞,在攻击者登录后可以执行任意命令。 |
更新时间: | 20220712 |
事件名称: | HTTP_提权攻击_js-yaml_远程代码执行[CVE-2013-4660] |
安全类型: | 安全漏洞 |
事件描述: | js-yaml是YAML1.2的JavaScript解析器和串联器。Node.js的js-yaml模块2.0.5之前版本在解析输入时,没有考虑不安全的!!js/function旗标,可使远程攻击者通过特制的字符串触发eval操作,执行任意代码。 |
更新时间: | 20220712 |
事件名称: | TCP_提权攻击_PostgreSQL-JDBC-Driver_远程代码执行[CVE-2022-21724] |
安全类型: | 安全漏洞 |
事件描述: | PostgreSQL-JDBC-Driver9.4.1208-42.3.2版本会实例化jdbcurl中指定的类,当攻击者控制jdbcurl或属性时能够造成远程代码执行 |
更新时间: | 20220712 |
事件名称: | TCP_提权攻击_CommonsBeanutils1/2/183NOCC_Java反序列化利用链_代码执行 |
安全类型: | 安全漏洞 |
事件描述: | 检测到源IP主机正在利用CommonsBeanutils1183NOCC的Java反序列化利用链对目的主机进行攻击的行为。若访问的应用存在漏洞JAVA反序列化漏洞且使用了commons-beanutils:1.8.3,攻击者可以发送精心构造的Java序列化对象,远程执行任意代码或命令,获取系统控制权。 |
更新时间: | 20220712 |
事件名称: | TCP_提权攻击_CommonsBeanutils3/3183_Java反序列化利用链_代码执行 |
安全类型: | 安全漏洞 |
事件描述: | 检测到源IP主机正在利用CommonsBeanutils3的Java反序列化利用链对目的主机进行攻击的行为。若访问的应用存在漏洞JAVA反序列化漏洞且使用了commons-beanutils:1.9.2,commons-collections:3.1,攻击者可以发送精心构造的Java序列化对象,远程执行任意代码或命令。远程执行任意代码,获取系统控制权。 |
更新时间: | 20220712 |
事件名称: | TCP_提权攻击_JRMPClient_Obj_Java反序列化利用链_代码执行 |
安全类型: | 安全漏洞 |
事件描述: | 检测到源IP主机正在利用JRMPClient_Obj的Java反序列化利用链对目的主机进行攻击的行为。攻击者可以发送精心构造的Java序列化对象,远程执行任意代码或命令。远程执行任意代码,获取系统控制权。 |
更新时间: | 20220712 |
事件名称: | TCP_提权攻击_Redis_命令执行[CNVD-2019-21763] |
安全类型: | 安全漏洞 |
事件描述: | Redis被爆出Redis4.x/5.x版本存在主从同步命令执行漏洞,攻击者通过构造特定的请求实现漏洞利用,成功利用漏洞可在目标服务器上实现Getshell。 |
更新时间: | 20220712 |
事件名称: | HTTP_木马后门_MSIL.Raudotek_连接 |
安全类型: | 木马后门 |
事件描述: | 检测到下载者木马Raudotek试图连接远程服务器,源IP所在的主机可能被植入了Raudotek。Raudotek是基于CSharp的下载者木马,主要功能是下载其它恶意软件。 |
更新时间: | 20220712 |
事件名称: | HTTP_提权攻击_PlaySMS_远程代码执行[CVE-2020-8644][CNNVD-202002-145] |
安全类型: | 安全漏洞 |
事件描述: | PlaySms是一个灵活的基于Web的短信平台,1.4.3前的版本存在模板注入漏洞,攻击者能够在未登录时执行任意代码 |
更新时间: | 20220712 |
事件名称: | HTTP_注入攻击_Zoho_ManageEngine_ADAudit_Plus_XXE注入[CVE-2022-28219][CNNVD-202204-2014] |
安全类型: | 注入攻击 |
事件描述: | 检测到源ip正在向目的ip上的Zoho_ManageEngine_ADAudit_Plus进行XML外部实体(XXE)注入,进而执行代码。ZohoManageEngineAdauditPlus是美国ZohoCorporation公司的用于简化审计、证明合规性和检测威胁。 |
更新时间: | 20220712 |
事件名称: | UDP_提权攻击_Nginx_DNS_Resolver_代码执行[CVE-2021-23017] |
安全类型: | 安全漏洞 |
事件描述: | 检测到源ip正在通过目的主机上的Nginx_DNS_Resolver漏洞,伪造来自DNS服务器的UDP数据包,构造DNS响应造成1-byte内存覆盖,从而导致拒绝服务或任意代码执行。Nginx是一个高性能的HTTP和反向代理web服务器,同时也提供了IMAP/POP3/SMTP服务,由于其具有许多优越的特性,导致在全球范围内被广泛使用。 |
更新时间: | 20220712 |
事件名称: | HTTP_设置缺陷_深信服_SSLVPN_changetelnum.csp_任意账户绑定手机号修改 |
安全类型: | 安全漏洞 |
事件描述: | 深信服SSLVPN的changetelnum.csp存在逻辑越权漏洞,攻击者登录成功后可修改任意用户绑定的手机号码。 |
更新时间: | 20220712 |
事件名称: | HTTP_提权攻击_Citrix_任意代码执行[CVE-2020-8194][CNNVD-202007-364] |
安全类型: | 安全漏洞 |
事件描述: | CitrixADC和CitrixNetScalerGateway存在一个代码注入漏洞。未经身份验证的远程攻击者可以利用它来创建恶意文件,如果该恶意文件由管理网络上的受害者执行,则可以允许攻击者在该用户的上下文中执行任意代码。 |
更新时间: | 20220712 |
事件名称: | HTTP_提权攻击_Zabbix_5.0.17_items.php_远程代码执行 |
安全类型: | 安全漏洞 |
事件描述: | Zabbix是一个开源软件工具,用于监控网络、服务器、虚拟机和云服务等IT基础设施,其5.0.17版本存在远程代码执行漏洞,攻击者可利用该漏洞获取目的IP设备权限。 |
更新时间: | 20220712 |
事件名称: | HTTP_文件操作攻击_GilaCMS_文件包含[CVE-2019-16679][CNNVD-201909-1026] |
安全类型: | 安全漏洞 |
事件描述: | GilaCMS0.1-1.10.9版本存在文件包含漏洞,攻击者在登陆后可以利用该漏洞读取任意文件或包含上传的webshell文件。 |
更新时间: | 20220712 |
修改事件
事件名称: | HTTP_木马后门_PoshC2_连接C2服务器_成功 |
安全类型: | 木马后门 |
事件描述: | 检测到由黑客工具PoshC2生成的后门Implant试图连接远程服务器,源IP所在的主机可能被植入了PoshC2.Implant。PoshC2.Implant执行后攻击者可利用PoshC2完全控制受害机器,并进行横向移动。PoshC2是一个使用Python3编写的后渗透代理C2框架,遵循模块化格式,用户可以添加自己的模块工具,从而保证灵活的可扩展性。PoshC2拥有多种编译语言的有效载荷,如:Powershell、C#、C++、Python等,同时提供相关载荷的源代码、各种可执行文件、Dll和原始Shell代码,这些使PoshC2能够应用于广泛的操作系统设备上,包括Windows、*nix和OSX |
更新时间: | 20220712 |
事件名称: | HTTP_木马后门_PoshC2_连接C2服务器2_成功 |
安全类型: | 木马后门 |
事件描述: | 检测到由黑客工具PoshC2生成的后门Implant试图连接远程服务器,源IP所在的主机可能被植入了PoshC2.Implant。PoshC2.Implant执行后攻击者可利用PoshC2完全控制受害机器,并进行横向移动。PoshC2是一个使用Python3编写的后渗透代理C2框架,遵循模块化格式,用户可以添加自己的模块工具,从而保证灵活的可扩展性。PoshC2拥有多种编译语言的有效载荷,如:Powershell、C#、C++、Python等,同时提供相关载荷的源代码、各种可执行文件、Dll和原始Shell代码,这些使PoshC2能够应用于广泛的操作系统设备上,包括Windows、*nix和OSX |
更新时间: | 20220712 |
事件名称: | HTTP_木马后门_PoshC2_连接C2服务器3_成功 |
安全类型: | 木马后门 |
事件描述: | 检测到由黑客工具PoshC2生成的后门Implant试图连接远程服务器,源IP所在的主机可能被植入了PoshC2.Implant。PoshC2.Implant执行后攻击者可利用PoshC2完全控制受害机器,并进行横向移动。PoshC2是一个使用Python3编写的后渗透代理C2框架,遵循模块化格式,用户可以添加自己的模块工具,从而保证灵活的可扩展性。PoshC2拥有多种编译语言的有效载荷,如:Powershell、C#、C++、Python等,同时提供相关载荷的源代码、各种可执行文件、Dll和原始Shell代码,这些使PoshC2能够应用于广泛的操作系统设备上,包括Windows、*nix和OSX |
更新时间: | 20220712 |
事件名称: | TCP_提权攻击_Spring-Data-REST-PATCH请求_远程代码执行[CVE-2017-8046][CNNVD-201704-1106] |
安全类型: | 安全漏洞 |
事件描述: | 该漏洞为攻击者通过SpringDataRest支持的PATCH方法,构造恶意的Json格式数据发送到服务端,导致服务端在解析数据时会执行任意Java代码、解析SpEL表达式,从而实现远程任意代码执行。 |
更新时间: | 20220712 |
事件名称: | HTTP_提权攻击_XStream_代码执行[CVE-2021-21351][CNNVD-202103-1234] |
安全类型: | 安全漏洞 |
事件描述: | XStream是一个Java库,用于将对象序列化为XML并再次返回。解组时处理的流包含类型信息以重新创建以前编写的对象。XStream因此基于这些类型信息创建新实例。攻击者可以操纵处理过的输入流并替换或注入对象,从而执行从远程服务器加载的任意代码。 |
更新时间: | 20220712 |
事件名称: | TCP_木马后门_PoisonIvy_shellcode_连接 |
安全类型: | 木马后门 |
事件描述: | 检测源IP主机正在下载PoisonIvy的shellcode载荷。源IP所在的主机可能被植入了PoisonIvy。PoisonIvy是一个非常流行的远程控制工具,允许攻击者完全控制被植入机器。PoisonIvy可以生成shellcode载荷,即把所有恶意代码放在shellcode里。 |
更新时间: | 20220712 |
京公网安备11010802024551号