东森平台

首页 > 技术支持 > 升级通告 > 每周升级通告

2019-12-31

宣布时间 2019-12-31

新增事件

事件名称：	TCP_后门_Gh0st_连接(扫描)
宁静类型：	宁静扫描
事件描述：	检测到源IP主机在对目的IP主机进行扫描。 Gh0st远控是一个国内的远控法式，可以对远程主机进行任意操作。本事件报警不是真实攻击，仅仅意味着源IP主机在对目的IP主机进行扫描。源IP一般属于Shodan扫描主机，目的IP是客户主机。源IP主机模仿Gh0st样本向目的IP主机发送上线报文，如果收到期望的返回数据，即认为目的IP主机上运行着Gh0st控制端，是Gh0st的C&C服务。 Shodan就是通过这种扫描来获取恶意软件的C&C服务器，除Shodan外，其它一些威胁情报公司的IP主机也在进行着这种扫描。
更新时间：	20191231

事件名称：	TCP_后门_njRat_连接(扫描)
宁静类型：	宁静扫描
事件描述：	检测到源IP主机在对目的IP主机进行扫描。 njRat远控是一个功效强大是远控。本事件报警不是真实攻击，仅仅意味着源IP主机在对目的IP主机进行扫描。源IP一般属于Shodan扫描主机，目的IP是客户主机。源IP主机模仿njRat样本向目的IP主机发送上线报文，如果收到期望的返回数据，即认为目的IP主机上运行着njRat控制端，是njRat的C&C服务器。 Shodan就是通过这种扫描来获取恶意软件的C&C服务器，除Shodan外，其它一些威胁情报公司的IP主机也在进行着这种扫描。
更新时间：	20191231

事件名称：	TCP_后门_KG.Rat_连接(扫描)
宁静类型：	宁静扫描
事件描述：	检测到源IP主机在对目的IP主机进行扫描。 KG.Rat是一个后门，连接远程服务器，接受执行黑客指令。本事件报警不是真实攻击，仅仅意味着源IP主机在对目的IP主机进行扫描。源IP一般属于Shodan扫描主机，目的IP是客户主机。源IP主机模仿KG.Rat样本向目的IP主机发送上线报文，如果收到期望的返回数据，即认为目的IP主机上运行着KG.Rat控制端，是KG.Rat的C&C服务器。 Shodan就是通过这种扫描来获取恶意软件的C&C服务器，除Shodan外，其它一些威胁情报公司的IP主机也在进行着这种扫描。
更新时间：	20191224

事件名称：	TCP_后门_ircBot_连接(扫描)
宁静类型：	宁静扫描
事件描述：	检测到源IP主机在对目的IP主机进行扫描。 ircBot是基于irc协议的僵尸网络，主要功效是对指定目标主机提倡DDoS攻击。本事件报警不是真实攻击，仅仅意味着源IP主机在对目的IP主机进行扫描。源IP一般属于Shodan扫描主机，目的IP是客户主机。源IP主机模仿ircBot样本向目的IP主机发送上线报文，如果收到期望的返回数据，即认为目的IP主机上运行着ircBot控制端，是ircBot的C&C服务器。 Shodan就是通过这种扫描来获取恶意软件的C&C服务器，除Shodan外，其它一些威胁情报公司的IP主机也在进行着这种扫描。
更新时间：	20191231

事件名称：	TCP_后门_Win32.Remcos_连接(扫描)
宁静类型：	宁静扫描
事件描述：	检测到源IP主机在对目的IP主机进行扫描。 Remcos是一个功效强大的远控，运行后可完全控制被植入机器。本事件报警不是真实攻击，仅仅意味着源IP主机在对目的IP主机进行扫描。源IP一般属于Shodan扫描主机，目的IP是客户主机。源IP主机模仿Remcos样本向目的IP主机发送上线报文，如果收到期望的返回数据，即认为目的IP主机上运行着Remcos控制端，是Remcos的C&C服务器。 Shodan就是通过这种扫描来获取恶意软件的C&C服务器，除Shodan外，其它一些威胁情报公司的IP主机也在进行着这种扫描。
更新时间：	20191231

事件名称：	TCP_后门_Win32.KilerRat_连接(扫描)
宁静类型：	宁静扫描
事件描述：	检测到源IP主机在对目的IP主机进行扫描。 KilerRat是一个功效非常强大的后门，CSharp语言编写。运行后，可以完全控制被植入机器。本事件报警不是真实攻击，仅仅意味着源IP主机在对目的IP主机进行扫描。源IP一般属于Shodan扫描主机，目的IP是客户主机。源IP主机模仿KilerRat样本向目的IP主机发送上线报文，如果收到期望的返回数据，即认为目的IP主机上运行着KilerRat控制端，是KilerRat的C&C服务器。 Shodan就是通过这种扫描来获取恶意软件的C&C服务器，除Shodan外，其它一些威胁情报公司的IP主机也在进行着这种扫描。
更新时间：	20191231

事件名称：	TCP_后门_Linux.XOR.DDoS_连接(扫描)
宁静类型：	宁静扫描
事件描述：	检测到源IP主机在对目的IP主机进行扫描。 Linux.XoR.DDoS是一个僵尸网络，主要功效是对指定目标主机提倡DDoS攻击。本事件报警不是真实攻击，仅仅意味着源IP主机在对目的IP主机进行扫描。源IP一般属于Shodan扫描主机，目的IP是客户主机。源IP主机模仿XoR.DDoS样本向目的IP主机发送上线报文，如果收到期望的返回数据，即认为目的IP主机上运行着XoR.DDoS控制端，是XoR.DDoS的C&C服务器。 Shodan就是通过这种扫描来获取恶意软件的C&C服务器，除Shodan外，其它一些威胁情报公司的IP主机也在进行着这种扫描。
更新时间：	20191231

事件名称：	UDP_后门_Win32.ZeroAcess_连接(扫描)
宁静类型：	宁静扫描
事件描述：	检测到源IP主机在对目的IP主机进行扫描。 ZeroAcess是一个后门，运行后，注入其他进程。下载其他病毒或者配置信息或者�？榈然蚯匀∶舾行畔�。本事件报警不是真实攻击，仅仅意味着源IP主机在对目的IP主机进行扫描。源IP一般属于Shodan扫描主机，目的IP是客户主机。源IP主机模仿ZeroAcess样本向目的IP主机发送上线报文，如果收到期望的返回数据，即认为目的IP主机上运行着ZeroAcess控制端，是ZeroAcess的C&C服务器。 Shodan就是通过这种扫描来获取恶意软件的C&C服务器，除Shodan外，其它一些威胁情报公司的IP主机也在进行着这种扫描。
更新时间：	20191231

事件名称：	TCP_后门_Linux.BillGates_连接(扫描)
宁静类型：	宁静扫描
事件描述：	检测到源IP主机在对目的IP主机进行扫描。 BillGates是Linux平台下的一个僵尸网络，主要功效是针对指定目标进行DDoS攻击。本事件报警不是真实攻击，仅仅意味着源IP主机在对目的IP主机进行扫描。源IP一般属于Shodan扫描主机，目的IP是客户主机。源IP主机模仿BillGates样本向目的IP主机发送上线报文，如果收到期望的返回数据，即认为目的IP主机上运行着BillGates控制端，是BillGates的C&C服务器。 Shodan就是通过这种扫描来获取恶意软件的C&C服务器，除Shodan外，其它一些威胁情报公司的IP主机也在进行着这种扫描。
更新时间：	20191231

事件名称：	TCP_后门_DDoS.Win32.Nitol_连接(扫描)
宁静类型：	宁静扫描
事件描述：	检测到源IP主机在对目的IP主机进行扫描。 Nitol是近来最活跃的恶意DDoS攻击家族之一。本事件报警不是真实攻击，仅仅意味着源IP主机在对目的IP主机进行扫描。源IP一般属于Shodan扫描主机，目的IP是客户主机。源IP主机模仿Nitol样本向目的IP主机发送上线报文，如果收到期望的返回数据，即认为目的IP主机上运行着Nitol控制端，是Nitol的C&C服务器。 Shodan就是通过这种扫描来获取恶意软件的C&C服务器，除Shodan外，其它一些威胁情报公司的IP主机也在进行着这种扫描。
更新时间：	20191231

事件名称：	HTTP_木马_ISR.stealer_连接
宁静类型：	木马后门
事件描述：	检测到 ISR stealer 试图连接远程服务器,源IP所在的主机可能被植入了ISR stealer。 ISR Stealer是Hackhound Stealer的修改版,使用VB编写的，通�；崾褂�.NET包装器包装自身。ISR Stealer 是一个密码窃取法式，它会从浏览器和邮箱类软件中窃取受害者的账号密码，而且具备常见的远控命令，如下载和执行其他恶意软件，从控制服务器接收命令，将特定信息中继回控制服务器。
更新时间：	20191231

事件名称：	TCP_木马_Allakore.Remote_连接
宁静类型：	木马后门
事件描述：	检测到木马 Allakore_Remote 试图连接远程服务器。源IP所在的主机可能被植入了 Allakore_Remote 木马。 AllaKore Remote 是用Delphi XE6和Delphi 7编写的开源远控工具。AllaKore Remote具有以下功效：远程访问、数据压缩、文件访问、聊天。
更新时间：	20191231

修改事件

事件名称：	HTTP_Apache_Commons_Fileupload_反序列化漏洞[CVE-2016-1000031]
宁静类型：	宁静漏洞
事件描述：	检测到源IP主机正在利用Apache_Commons_Fileupload_反序列化漏洞攻击目的IP主机的行为
更新时间：	20191231

事件名称：	TCP_冰蝎_jspjspx_webshell_上传
宁静类型：	木马后门
事件描述：	检测到源IP主机正向目的主机上传冰蝎 jspjspxwebshell木马
更新时间：	20191231

事件名称：	TCP_冰蝎_asp_webshell_上传
宁静类型：	木马后门
事件描述：	检测到源IP主机正向目的主机上传冰蝎 aspwebshell木马
更新时间：	20191231

事件名称：	TCP_后门_Linux.BillGates_连接
宁静类型：	木马后门
事件描述：	检测到木马试图连接远程服务器。源IP所在的主机可能被植入了后门BillGates。 BillGates是Linux平台下的一个僵尸网络，主要功效是针对指定目标进行DDoS攻击。
更新时间：	20191231

事件名称：	DNS_后门_Win32.KcnaBot_连接
宁静类型：	木马后门
事件描述：	检测到后门试图连接远程服务器。源IP所在的主机可能被植入了后门KcnaBot。 KcnaBot是一个功效非常强大的后门，利用DNS协议与C&C服务器通信。
更新时间：	20191231

事件名称：	HTTP_木马后门_DiamondFox_连接
宁静类型：	木马后门
事件描述：	检测到木马试图连接远程服务器。源IP所在的主机可能被植入了DiamondFox。 DiamondFox是基于VB的窃密木马，功效非常强大，可以窃取种种账号密码。有反虚拟机以及沙箱功效�；褂�DDoS功效。
更新时间：	20191231

事件名称：	HTTP_木马_Win32.Krypton_连接
宁静类型：	木马后门
事件描述：	检测到木马试图连接远程服务器。源IP所在的主机可能被植入了木马Krypton。 Krypton是一个木马法式，运行后可以窃取受害主机的敏感信息。
更新时间：	20191231

上一篇下一篇

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

Copyright ? 东森平台版权所有京ICP备05032414号京公网安备11010802024551号