东森平台

首页 > 技术支持 > 升级通告 > 每周升级通告

每周升级通告-2021-11-16

宣布时间 2021-12-10

新增事件

事件名称：	TCP_木马_Win32.Dark_Crystal_RAT/DCRat_远控木马_连接C2服务器
宁静类型：	远控后门
事件描述：	检测到木马DarkCrystal连接C2服务器，表明源IP主机已熏染该木马。DarkCrystal恶意软件是一种RAT（远程访问木马），C#语言，俄罗斯人开发。DarkCrystalRAT是一种非常先进的黑客工具，具有很多功效，其中包罗：运行远程命令、收集用户信息、通过网络摄像头录制视频、通过麦克风录制音频、执行DDoS或UDP/TCP洪水攻击、管理文件系统等等。
更新时间：	20211116

事件名称：	HTTP_表达式注入_通用
宁静类型：	其他注入
事件描述：	2013年4月15日ExpressionLanguageInjection词条在OWASP上被创建，而这个词的最早泛起可以追溯到2012年12月的《Remote-Code-with-Expression-Language-Injection》一文，在这个paper中第一次提到了这个名词。而这个时期，只不外还只是把它叫做远程代码执行漏洞、远程命令执行漏洞或者上下文操控漏洞。像Struts2系列的s2-003、s2-009、s2-016等，这种由OGNL表达式引起的命令执行漏洞。
更新时间：	20211116

事件名称：	HTTP_宁静漏洞_D-Link_DAP-1860_远程命令执行漏洞[CVE-2019-19597][CNNVD-201912-215]
宁静类型：	命令执行
事件描述：	D-LinkDAP-1860是中国台湾友讯（D-Link）公司的一款WiFi范围扩展器。D-LinkDAP-18601.04b03之前版本中存在宁静漏洞。攻击者可借助HTTP请求头中的HNAP_AUTH参数后注入shell元字符利用该漏洞以root权限执行任意命令。
更新时间：	20211116

事件名称：	HTTP_可疑行为_passwd内容文件回显
宁静类型：	其他可疑行为
事件描述：	检测到源IP正在通过命令执行检察/etc/passwd文件的内容。此文件中存储了系统中的所有账户、权限等信息。
更新时间：	20211116

修改事件

事件名称：	HTTP_IBM_WebSphere_Java反序列化_远程代码执行漏洞[CVE-2015-7450]
宁静类型：	代码执行
事件描述：	WebSphere是IBM公司开发的中间件基础设施平台。WebSphere7版本在开发中使用了ApacheCommonsCollections库中的InvokerTransformer类，该类存在Java反序列化漏洞。攻击者可以发送精心结构的Java序列化工具，远程执行任意代码或命令
更新时间：	20211116

事件名称：	HTTP_Struts2_S2-016/S2-017/S2-018远程命令执行变形攻击[CVE-2013-2251/4310]
宁静类型：	命令执行
事件描述：	检测到源IP主机正试图通过ApacheStruts2框架命令执行漏洞攻击目的IP主机远程攻击者可通过带有action:、redirect:或redirectAction:的前缀参数利用该漏洞执行任意OGNL表达式。漏洞存在的版本：S2-016：Struts2.0.0-Struts2.3.15S2-017：Struts2.0.0-Struts2.3.15S2-018：Struts2.0.0-Struts2.3.15.2攻击乐成，可远程执行任意代码。
更新时间：	20211116

事件名称：	TCP_通用_Java反序列化_ysoserial恶意数据利用
宁静类型：	命令执行
事件描述：	检测到源IP主机正在通过TCP发送ysoserial生成的恶意JAVA反序列化数据对目的主机进行攻击。若访问的应用存在漏洞JAVA反序列化漏洞，攻击者可以发送精心结构的Java序列化工具，远程执行任意代码或命令。远程执行任意代码，获取系统控制权。
更新时间：	20211116

事件名称：	TCP_僵尸网络_Mirai.Putin_连接
宁静类型：	其他注入
事件描述：	检测到僵尸网络Mirai变种Putin试图连接C&C服务器。源IP所在的主机可能被植入了Mirai变种Putin。Mirai僵尸网络蠕虫主要通过扫描防护能力不强的物联网设备（IoT），包罗：路由器、网络摄像头、DVR设备等等，IoT设备主要是MIPS、ARM等架构，因存在默认密码、弱密码、严重漏洞未及时修复等因素，导致被攻击者植入木马。窃取敏感信息，获取管理员权限。由于源代码已经果然，Mirai泛起了很多变种，本事件针对其变种Putin。
更新时间：	20211116

事件名称：	HTTP_宁静漏洞_phpunint_远程代码执行漏洞[CVE-2017-9841][CNNVD-201706-1127]
宁静类型：	代码执行
事件描述：	PHPUnit是PHP程式语言中最常见的单元测试(unittesting)框架，通常phpunit使用composer非常流行的PHP依赖管理器进行部署,将会在当前目录创建一个vendor文件夹.phpunit生产环境中仍然安装了它,如果该编写器�？榇嬖谟赪eb可访问目录，则存在远程代码执行漏洞。
更新时间：	20211116

事件名称：	HTTP_可疑行为_Fastjson漏洞_hex编码利用
宁静类型：	其他可疑行为
事件描述：	FastJson是阿里巴巴的开源JSON解析库，它可以解析JSON格式的字符串，支持将JavaBean序列化为JSON字符串，也可以从JSON字符串反序列化到JavaBean，由于具有执行效率高的特点，应用范围很广。攻击乐成，可远程执行任意代码。fastjson可接受并解析hex编码内容，因此攻击者可利用hex编码绕过检测设备。
更新时间：	20211116

上一篇下一篇

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

Copyright ? 东森平台版权所有京ICP备05032414号京公网安备11010802024551号