2020-06-16

颁布功夫 2020-06-16

新增事务


事务名称::

HTTP_木马后门_CobaltStrike.Powershell_代码下载执行

安全类型::

木马后门

事务描述::

检测到由黑客工具 CobaltStrike 天生的 后门powershell号令 试图衔接远程服务器下载木马 CobaltStrike.Beacon, IP地点的主机可能执行了后门Powershell号令。CobaltStrike.Beacon执行后攻击者可利用CobaltStrike齐全节制受害机械,,,并进行横向移动。

CobatStrike是一款基于java编写的全平台多方协同后渗入攻击框架。CobaltStrike集成了端口转发、、、端口扫描、、、socket代理、、、提权、、、垂钓、、、远控木马等职能。该工具险些覆盖了APT攻击链中所必要用到的各个技术环节,,,深受黑客们的喜欢。

更新功夫::

20200616














事务名称::

HTTP_木马_APT_Andariel_Proto_Module_衔接C2服务器

安全类型::

木马后门

事务描述::

检测到木马试图衔接远程服务器。源IP地点的主机可能被植入了Andariel Proto Module。

Andariel作为朝鲜APT组织Lazarus的分支团伙,,,重要掌管对外进行军事活动。Proto Module为一款窃密木马,,,窃取受害主机的各类信息,,,蕴含MAC地址、、、推算机名称、、、装置的软件等。

更新功夫::

20200616











事务名称::

HTTP_Ransomware_Locky勒索病毒衔接C2服务器

安全类型::

蠕虫病毒

事务描述::

检测到勒索病毒试图衔接远程服务器。源IP地点的主机可能被植入了Locky勒索病毒。

Locky勒索病毒,,,通过RSA-2048AES-128算法对100多种文件类型进行加密,,,加密成".lock"文件,,,同时在每个存在加密文件的目录下开释一个名为_Locky_recover_instructions.txt的勒索提醒文件,,,通常利用垃圾邮件进行传布,,,是首例拥有中文提醒的比特币勒索软件。Locky衔接C2上传敏感信息并要求加密的公钥。

更新功夫::

20200616













事务名称::

HTTP_齐治碉堡机_远程号令执行缝隙[CNVD-2019-20835]

安全类型::

注入攻击

事务描述::

检测到试图通齐治运维碉堡机服务端的号令注入缝隙进行攻击的行为。攻击者攻击成功后可远程执行肆意号令。

更新功夫::

20200616








事务名称::

TCP_Vmware_vCenterServer_vmdir_信息泄露缝隙

安全类型::

安全缝隙

事务描述::

检测到源IP主机正在利用TCP_Vmware_vCenterServer_vmdir_信息泄露缝隙对主张主机进行攻击的行为。

更新功夫::

20200616









批改事务



事务名称::

TCP_后门_DDoS.Win32.Nitol_衔接

安全类型::

木马后门

事务描述::

检测到木马试图衔接远程服务器。源IP地点的主机可能被植入了木马。

DDoS.Win32.Nitol是最近最活跃的恶意DDoS攻击家族之一。

DDoS.Win32.Nitol衔接远程服务器,,,接管黑客指令,,,向指标域或网站提议DDoS攻击。还能够下载其他病毒到被习染机械。

更新功夫::

20200616










事务名称::

TCP_木马_CoinMiner_尝试衔接矿池

安全类型::

木马后门

事务描述::

检测到木马试图衔接远程服务器。源IP地点的主机可能被植入了Coinminer木马。

CoinMiner是一款挖矿恶意法式,,,挖矿法式会占用CPU资源,,,可能导致受害主机变慢。

更新功夫::

20200616









事务名称::

TCP_木马_CoinMiner_衔接矿池成功

安全类型::

木马后门

事务描述::

检测到木马试图衔接远程服务器。源IP地点的主机可能被植入了CoinMiner木马。

CoinMiner是一款挖矿恶意法式,,,挖矿法式会占用CPU资源,,,可能导致受害主机变慢。

更新功夫::

20200616









事务名称::

TCP_冰蝎_asp_webshell_上传

安全类型::

木马后门

事务描述::

检测到源IP主机正向主张主机上传冰蝎 aspwebshell木马。

更新功夫::

20200616