东森平台

首页 > 技术支持 > 升级通告 > 每周升级通告

2020-06-09

宣布时间 2020-06-10

新增事件

事件名称：	TCP_宁静漏洞_Microsoft_SMBV3_远程代码执行漏洞[CVE-2020-0796](无漏洞)
宁静类型：	宁静漏洞
事件描述：	检测到源IP主机可能正在对目的主机进行CVE-2020-0796漏洞利用的行为，但是目的主机协商的SMB并不存在该漏洞。
更新时间：	20200609

事件名称：	HTTP_Apache_Solr_远程代码执行漏洞[CVE-2019-17558][CNNVD-201912-1225]
宁静类型：	宁静漏洞
事件描述：	检测到源IP主机正在利用Apache Solr VelocityResponseWriter远程代码执行漏洞对目的主机进行攻击的行为。 Apache Solr是美国阿帕奇（Apache）软件基金会的一款基于Lucene（一款全文搜索引擎）的搜索服务器。该产物支持层面搜索、垂直搜索、高亮显示搜索结果等。 Apache Solr 5.0.0版本至8.3.1版本中存在输入验证错误漏洞。该漏洞源于网络系统或产物未对输入的数据进行正确的验证。攻击者向网站发送精心结构的攻击payload，攻击乐成可以远程执行任意命令，进而控制服务器。
更新时间：	20200609

事件名称：	HTTP_税务系统_远程代码执行漏洞
宁静类型：	宁静漏洞
事件描述：	检测到源IP主机正在利用反序列化远程代码执行漏洞对目的主机进行攻击的行为，试图通过传入精心结构的恶意代码或命令来入侵目的IP主机。
更新时间：	20200609

事件名称：	HTTP_fastjson_1.2.68_JSON反序列化_远程代码执行漏洞
宁静类型：	宁静漏洞
事件描述：	检测到源IP主机正在利用fastjsonJSON反序列化远程代码执行漏洞对目的主机进行攻击的行为，试图通过传入精心结构的恶意代码或命令来入侵目的IP主机。 fastjson在1.2.68以及之前版本存在远程代码执行高危宁静漏洞�？⒄咴谑褂�fastjson时，如果编写不妥，可能导致JSON反序列化远程代码执行漏洞。攻击者通过发送一个精心结构的JSON序列化恶意代码，当法式执行JSON反序列化的过程中执行恶意代码，从而导致远程代码执行。
更新时间：	20200609

事件名称：	TCP_通用_Java反序列化_ysoserial恶意数据利用
宁静类型：	宁静漏洞
事件描述：	检测到源IP主机正在通过TCP发送ysoserial生成的恶意JAVA反序列化数据对目的主机进行攻击。若访问的应用存在漏洞JAVA反序列化漏洞，攻击者可以发送精心结构的Java序列化工具，远程执行任意代码或命令。
更新时间：	20200609

事件名称：	HTTP_木马后门_Win32.Poulight_连接
宁静类型：	木马后门
事件描述：	检测到木马试图连接远程服务器。源IP所在的主机可能被植入了木马Poullight。 Poulight是一款来自俄罗斯的C#语言编写的窃密木马，可以窃取受害主机的敏感信息，包罗一些Skype等软件的登录凭证、电子货币钱包数据等，并接收C2服务器的命令执行下载其它�？�。
更新时间：	20200609

事件名称：	TCP_Windows_远程读取域成员
宁静类型：	可疑行为
事件描述：	检测到源IP对目的主机远程读取域内组成员或遍历域内成员的行为。 Microsoft Windows是微软宣布的非常流行的操作系统。在获取到主机权限后，黑客通�；岵檠蚬芾碓保蚩刂破髦骰词占蚰谛畔�。
更新时间：	20200609

事件名称：	TCP_Windows_远程修改注册表
宁静类型：	可疑行为
事件描述：	检测到源IP对目的主机进行远程注册表写入的行为. Microsoft Windows是微软宣布的非常流行的操作系统。如果攻击者乐成远程连接 Microsoft 注册表，就可能获取目标服务器的注册表信息，并修改其中内容。
更新时间：	20200609

修改事件

事件名称：	TCP_木马_TrickBot.Pwgrab_连接
宁静类型：	木马后门
事件描述：	检测到木马试图连接远程服务器。源IP所在的主机可能被植入了木马TrickBot。 TrickBot是一个功效强大的窃密木马。Trickbot新增加了一个窃密�？�Pwgrab，可以窃取主流浏览器如IE、Firefox、Chrome、Edge生存的账号密码及Cookies等数据�；箍梢郧匀�Outlook、FileZilla、WinSCP等客户端生存的账号密码。
更新时间：	20200609

事件名称：	TCP_木马_Win32.TrickBot_NetworkCollectorModule
宁静类型：	木马后门
事件描述：	检测到木马试图连接远程服务器。源IP所在的主机可能被植入了木马TrickBot。 TrickBot是一个功效强大的窃密木马。Trickbot银行木马中包罗Network Collector Module，该�？榭梢运鸭没畔⑸洗练衿�。
更新时间：	20200609

事件名称：	TCP_SMB_NMAP扫描
宁静类型：	宁静扫描
事件描述：	检测到源IP主机正在利用对目的主机使用NMAP通过SMB协议获取计算机信息的行为。
更新时间：	20200609

事件名称：	TCP_Cisco_SmartInstall_远程代码执行漏洞[CVE-2018-0171&CVE-2016-1349]
宁静类型：	宁静漏洞
事件描述：	检测到试图通过Cisco Smart Install远程代码执行漏洞进行攻击的行为。 Cisco IOS Software是美国思科（Cisco）公司为其网络设备开发的操作系统。 Cisco IOS Software中的Smart Install功效存在输入验证漏洞，该漏洞源于法式没有正确的校验数据包数据。远程攻击者可通过向TCP 4786端口上的受影响设备发送特制的Smart Install消息利用该漏洞造成拒绝服务（设备重新加载）或执行任意代码。
更新时间：	20200609

事件名称：	HTTP_木马后门_CobaltStrike.Stager_连接C2服务器
宁静类型：	木马后门
事件描述：	检测到由黑客工具 CobaltStrike 生成的后门 Stager 试图连接远程服务器下载木马 CobaltStrike.Beacon, 源IP所在的主机可能被植入了CobaltStrike.Stager。CobaltStrike.Beacon执行后攻击者可利用CobaltStrike完全控制受害机器，并进行横向移动。 CobatStrike是一款基于java编写的全平台多方协同后渗透攻击框架。CobaltStrike集成了端口转发、端口扫描、socket署理、提权、钓鱼、远控木马等功效。该工具几乎笼罩了APT攻击链中所需要用到的各个技术环节，深受黑客们的喜爱。
更新时间：	20200609

事件名称：	TCP_Windows_系统默认共享连接
宁静类型：	宁静审计
事件描述：	检测到源IP对目的主机进行默认连接的行为，并传输pe文件的行为。
更新时间：	20200609

事件名称：	TCP_宁静漏洞_Microsoft_SMBV3_远程代码执行漏洞[CVE-2020-0796]
宁静类型：	宁静漏洞
事件描述：	检测到源IP主机可能正在对目的主机进行CVE-2020-0796漏洞利用的行为。
更新时间：	20200609

上一篇下一篇

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

Copyright ? 东森平台版权所有京ICP备05032414号京公网安备11010802024551号