本周事件库
新增事件
事件名称:
HTTP_木马_Win.Trojan.Agent.abe_连接
事件级别:
中级事件
安全类型:
木马后门
事件描述:
检测到木马试图连接远程服务器。源IP所在的主机可能被植入了Win.Trojan.Agent.abe木马。Win.Trojan.Agent.abe是一个远控木马,具有常见的下载文件、远程控制机器的功能,危害很大。
更新时间:
20180112
默认动作:
丢弃
 
 
事件名称:
HTTP_木马_Win.Trojan.Mitozh_连接
事件级别:
中级事件
安全类型:
木马后门
事件描述:
检测到木马试图连接远程服务器。源IP所在的主机可能被植入了Win.Trojan.Mitozh木马。
更新时间:
20180112
默认动作:
丢弃
 
 
事件名称:
HTTP_木马_Win.Trojan.Yakes_连接
事件级别:
中级事件
安全类型:
木马后门
事件描述:
检测到木马试图连接远程服务器。源IP所在的主机可能被植入了Win.Trojan.Yakes木马。
更新时间:
20180112
默认动作:
丢弃
 
 
事件名称:
HTTP_木马_Win.Trojan.wakuang返回矿池
事件级别:
中级事件
安全类型:
木马后门
事件描述:
检测到木马试图连接远程服务器。源IP所在的主机可能被植入了Win.Trojan.wakuang木马。Win.Trojan.wakuang返回矿池创建888.exe,888.exe释放随机名称的dll文件,再将该dll文件注册为RemoteAccess服务。它启动后会在%TEMP%目录下释放xmrigbu.exe可执行文件,该文件首先会将自身复制到%windir%\w1ninit.exe。w1ninit.exe用于挖矿,该文件由UPX加壳保护。通过分析发现,w1ninit.exe会首先访问服务器获取挖矿信息,包括矿池、矿工ID等,随后会配置好参数进行挖矿。
更新时间:
20180112
默认动作:
丢弃
 
 
事件名称:
HTTP_木马_Win.Trojan.Hangman.A_连接
事件级别:
中级事件
安全类型:
木马后门
事件描述:
检测到木马试图连接远程服务器。源IP所在的主机可能被植入了Win.Trojan.Hangman.A木马。
更新时间:
20180112
默认动作:
丢弃
 
 
事件名称:
HTTP_木马_Win.Trojan.Sathurbot_连接
事件级别:
中级事件
安全类型:
木马后门
事件描述:
检测到木马试图连接远程服务器。源IP所在的主机可能被植入了Win.Trojan.Sathurbot木马。Win.Trojan.Sathurbot是一个恶意捆绑木马,执行后会显示常见的文件安装框和访问IE浏览框,启动"C:\WINDOWS\system32\rundll32.exe" "C:\Documents and Settings\All Users\Application Data\Microsoft\Media Tools\MediaIconsOverlays.dll",DllInstall执行核心代码,来执行窃取用户信息。
更新时间:
20180112
默认动作:
丢弃
 
 
事件名称:
HTTP_木马_Win.Trojan.Ruinmail_连接
事件级别:
中级事件
安全类型:
木马后门
事件描述:
检测到木马试图连接远程服务器。源IP所在的主机可能被植入了Win.Trojan.Ruinmail木马。Win.Trojan.Ruinmail是Delphi语言编写的恶意程序,执行后会首先去cbbps0.lh1.in下载sqlite3.dll文件,然后加载此文件完成恶意功能,发送上线信息,盗取用户信息。
更新时间:
20180112
默认动作:
丢弃
 
 
事件名称:
HTTP_木马_Win.Trojan.BlackCoffee_连接
事件级别:
中级事件
安全类型:
木马后门
事件描述:
检测到木马试图连接远程服务器。源IP所在的主机可能被植入了Win.Trojan.BlackCoffee木马。Win.Trojan.BlackCoffee为一个eml文件,样本带了6个附件文件,且页面文件为一个html页面,带有js恶意代码,如果用户大意点击了此恶意eml,则用户电脑可能中毒。
更新时间:
20180112
默认动作:
丢弃
 
 
事件名称:
TCP_后门_ShadowTechRat_连接
事件级别:
中级事件
安全类型:
木马后门
事件描述:
检测到后门试图连接远程服务器。源IP所在的主机可能被植入了ShadowTechRat。ShadowTechRat是一个CSharp语言编写的后门,功能异常强大,可完全控制被感染机器。
更新时间:
20180112
默认动作:
丢弃
修改事件
 
 
事件名称:
TCP_Tcpdump_v3.8.x_RT_ROUTING_INFO_DOS攻击
事件级别:
中级事件
安全类型:
拒绝服务
事件描述:
检测到针对tcpdump的拒绝服务攻击,攻击会引起Tcpdump产生死循环,反应缓慢。Tcpdump是一款可以让用户将网络上的传输的数据进行转储的软件。它可以被用来显示在一个网络界面中能够满足某些给定的条件的数据包的头信息。用户可以使用这种工具发现网络问题,检查ping攻击或者监视网络活动等。Tcpdump(v3.8.3 及更早版本)中包含一个远程拒绝服务漏洞,这个漏洞是由于一个能导致死循环的(BGP)数据包引起的。BGP是TCP协议,然而被攻击的主机并不需要具有开放的BGP端口(179)。发送一个特殊制作的TCP(ACK,PUSH)将导致死循环,然而这取决于该数据包是否能够被发出去而不被丢弃。在某些情况下,使用的源主机IP必须在本地子网中来保证构造的欺骗包能够通过本地的路由器。因为某些原因,一个TCP(SYN)数据包更容易被发送出去,使用-D_USE_SYN标志。一些版本的tcpdump(依据操作系统的不同而不同)需要特殊的指令行参数来使这个漏洞能够被利用,但是大多数情况下"-v"参数是必需的,有些还需要"-s" (snaplen)设定为88(没被欺骗过的在100左右,带有ip options)或更高。
更新时间:
20180112
默认动作:
丢弃
 
 
事件名称:
TCP_后门_Gh0st.PCRat_连接
事件级别:
中级事件
安全类型:
木马后门
事件描述:
检测到木马试图连接远程服务器。源IP所在的主机可能被植入了木马。Gh0st.PCRat是一个后门,运行后把自身拷贝到系统临时目录下,并释放木马Dll文件,该Dll是根据Gh0st远控的源码修改而来的远控木马PCRat。运行后可以完全控制被感染机器。主要通过邮件传播,黑客给受害者发送一个压缩文件,包含Gh0st.PCRat后门以及一个图片。图片一般是社会热点事件,以吸引用户打开。
更新时间:
20180112
默认动作:
丢弃
 
 
事件名称:
TCP_后门_Linux.DDoS.Gafgyt_连接
事件级别:
中级事件
安全类型:
木马后门
事件描述:
检测到木马试图连接远程服务器。源IP所在的主机可能被植入了DDoS.Gafgyt。DDoS.Gafgyt是一个Linux僵尸网络,主要功能是对指定目标机器发起DDoS攻击。
更新时间:
20180112
默认动作:
丢弃
 
 
事件名称:
HTTP_木马后门_Win32.infostealer_连接
事件级别:
中级事件
安全类型:
木马后门
事件描述:
检测到后门试图连接远程服务器。源IP所在的主机可能被植入了后门Win32.infostealer。Win32.infostealer是利用一个功能强大窃密木马,可以窃取主流浏览器、FTP、WinSCP等客户端保存的账号密码。
更新时间:
20180112
默认动作:
丢弃
 
 
事件名称:
TCP_木马_CoinMiner_连接矿池成功
事件级别:
中级事件
安全类型:
木马后门
事件描述:
检测到木马试图连接远程服务器。源IP所在的主机可能被植入了CoinMiner木马。CoinMiner是一款挖矿恶意程序,挖矿程序会占用CPU资源,可能导致受害主机变慢。
更新时间:
20180112
默认动作:
丢弃
 
 
事件名称:
HTTP_Weblogic_wls-wsat_远程代码执行漏洞
事件级别:
高级事件
安全类型:
安全漏洞
事件描述:
检测到源IP地址主机正在向目的IP地址主机发起Weblogic wls-wsat远程代码执行漏洞攻击的行为。Oracle Weblogic Server是应用程序服务器。
Oracle Weblogic Server 10.3.6.0、12.2.1.2、12.2.1.1、12.1.3.0 版本存在该漏洞。Weblogic WLS组件允许远程攻击者执行任意命令。攻击者向Weblogic服务器发送精心构造的HTTP恶意请求,攻击成功可以获取到服务器的Webshell,进一步可以获得目标服务器的控制权。
更新时间:
20180112
默认动作:
丢弃
 
历史事件库更新