东森平台

首页 > 技术支持 > 升级通告 > 每周升级通告

每周升级通告-2022-07-12

宣布时间 2022-07-12

新增事件

事件名称：	HTTP_提权攻击_Atlassian-Jira_8.2.3远程代码执行[CVE-2019-11581]
宁静类型：	宁静漏洞
事件描述:	检测到源IP主机正在利用HTTP_Atlassian-Jira_远程代码执行漏洞[CVE-2019-11581]攻击目的IP主机的行为。AtlassianJira是澳大利亚Atlassian公司的一套缺陷跟踪管理系统。该系统主要用于对事情中种种问题、缺陷进行跟踪管理。AtlassianJiraServer和JiraDataCenter存在服务端模板注入漏洞，乐成利用此漏洞的攻击者可在运行受影响版本的JiraServer或JiraDataCenter系统上执行任意命令。目前PoC已放出，建议受影响的客户尽快升级或接纳临时缓解措施。第一种情况，Jira服务端已配置好SMTP服务器，且“联系管理员表单”功效已开启(默认配置不开启)；第二种情况，Jira服务端已配置好SMTP服务器，且攻击者具有"JIRA管理员"的访问权限。在第一种情况下，“联系管理员表单”功效开启的情况下，攻击者可以未经任何认证，通过向/secure/ContactAdministrators."font-family:MS Mincho">提倡请求利用此漏洞。在第二种情况下，攻击者具有"JIRA管理员"的访问权限下可通过/secure/admin/SendBulkMail!default."font-family:MS Mincho">利用此漏洞。影响版本4.4.x5.x.x6.x.x7.0.x7.1.x7.2.x7.3.x7.4.x7.5.x7.6.x<7.6.147.7.x7.8.x7.9.x7.10.x7.11.x7.12.x7.13.x<7.13.58.0.x<8.0.38.1.x<8.1.28.2.x<8.2.3修复版本7.6.147.13.58.0.38.1.28.2.3攻击乐成，可远程执行任意代码。
更新时间：	20220712

事件名称：	HTTP_木马后门_PowershellEmpire_连接
宁静类型：	木马后门
事件描述:	检测到Empire的后门�？槭酝剂釉冻谭衿�。源IP所在的主机可能被植入了Empire的后门�？�。Empire是一款类似Metasploit的渗透测试框架，使用PowerShell脚本作为攻击载荷�？梢钥焖僭诤笃诓渴鹇┒蠢媚？�，内置�？橛屑碳锹肌�Mimikatz、绕过UAC、内网扫描等。其内置了基于PowerShell的后门�？�，功效类似于Meterpreter。远程控制被植入机器。
更新时间：	20220712

事件名称：	HTTP_提权攻击_浪潮ClusterEngineV4.0_sysShell_命令执行
宁静类型：	宁静漏洞
事件描述:	检测到源ip正在向目的ip上的浪潮ClusterEngineV4.0发送特殊的请求从而获取服务器权限。浪潮InspurClusterEngine是中国浪潮公司的一个应用软件。提供管理集群系统中软硬件提交的作业。
更新时间：	20220712

事件名称：	TCP_挖矿木马_BitCoinMiner_GetBlockTemplate协议_实验连接矿池_获取区块模板(BTC)
宁静类型：	蠕虫病毒
事件描述:	检测到木马试图连接矿池获取区块模板。源IP所在的主机可能被植入了BitCoinMiner木马。Getblocktemplate协议是新的疏散式的比特币挖矿协议，于2012年中旬在比特币社区开放自主研发，它取代了老的getwork挖矿协议。该事件表明矿工正在实验连接矿池并请求初始模板。挖矿法式会占用CPU资源，可能导致受害主机变慢。占用用户资源进行挖矿。
更新时间：	20220712

事件名称：	TCP_挖矿木马_BitCoinMiner_GetBlockTemplate协议_连接矿池乐成_返回区块模板(BTC)
宁静类型：	蠕虫病毒
事件描述:	检测到挖矿木马连接矿池乐成的行为。源IP所在的主机可能被植入了BitCoinMiner木马。GetBlockTemplate协议是新的疏散式的比特币挖矿协议，于2012年中旬在比特币社区开放自主研发，它取代了老的getwork挖矿协议。该事件表明矿工正在连接矿池乐成并返回区块模板。挖矿法式会占用CPU资源，可能导致受害主机变慢。占用用户资源进行挖矿。
更新时间：	20220712

事件名称：	TCP_提权攻击_Spring_Cloud_Function_SpEL_表达式注入_代码执行
宁静类型：	宁静漏洞
事件描述:	SpringCloudFunction是来自Pivotal的Spring团队的新项目，它致力于促进函数作为主要的开发单元。该项目提供了一个通用的模型，用于在种种平台上部署基于函数的软件，包罗像AmazonAWSLambda这样的FaaS（函数即服务，functionasaservice）平台。由于SpringCloudFunction未对HTTP请求头部数据进行有效的验证，攻击者可利用该漏洞在未授权的情况下，结构恶意数据进行远程代码执行漏洞攻击，最终获取服务器最高权限。
更新时间：	20220712

事件名称：	TCP_挖矿木马_BitCoinMiner_GetBlockTemplate协议_实验连接矿池_请求更改模板(BTC)
宁静类型：	蠕虫病毒
事件描述:	检测到木马试图连接远程矿池服务器请求更改为新模板。源IP所在的主机可能被植入了BitCoinMiner木马。Getblocktemplate协议是新的疏散式的比特币挖矿协议，于2012年中旬在比特币社区开放自主研发，它取代了老的getwork挖矿协议。该事件表明矿工正在实验连接矿池并请求初始模板。挖矿法式会占用CPU资源，可能导致受害主机变慢。占用用户资源进行挖矿。
更新时间：	20220712

事件名称：	TCP_挖矿木马_BitCoinMiner_GetBlockTemplate协议_挖矿乐成_提交区块(BTC)
宁静类型：	蠕虫病毒
事件描述:	检测到矿工找到切合要求难度的事情时，向矿池服务器提交shares。源IP所在的主机可能被植入了BitCoinMiner木马。Getblocktemplate协议是新的疏散式的比特币挖矿协议，于2012年中旬在比特币社区开放自主研发，它取代了老的getwork挖矿协议。挖矿法式会占用CPU资源，可能导致受害主机变慢。占用用户资源进行挖矿。
更新时间：	20220712

事件名称：	TCP_僵尸网络_Fbot_连接
宁静类型：	木马后门
事件描述:	检测到Fbot试图连接C&C服务器。源IP主机可能被植入了僵尸网络Fbot。Fbot是僵尸网络Mirai的一个重要变种，一直很活跃。主要功效是对指定目标提倡DDoS攻击，通过种种漏洞流传自身。
更新时间：	20220712

事件名称：	TCP_挖矿木马_CortexMiner_实验连接矿池(CTXC)
宁静类型：	蠕虫病毒
事件描述:	检测到木马试图连接远程服务器。源IP所在的主机可能被植入了CortexMiner挖矿木马。CortexMiner是一款挖矿恶意法式，挖矿法式会占用CPU资源，可能导致受害主机变慢。CTXC币英文全称cortex，CTXC的目标是打造一个真正去中心化人工智能自治系统，在区块链上提供最先进的机器学习模型，用户可以使用cortex区块链上的智能合约来推断该模型。cortex的目标之一还包罗实现一个机器学习平台，允许用户在平台上宣布任务，提交aidapps。
更新时间：	20220712

事件名称：	TCP_挖矿木马_CortexMiner_获取挖矿任务(CTXC)
宁静类型：	蠕虫病毒
事件描述:	检测到挖矿木马获取挖矿任务的行为。源IP所在的主机可能被植入了CortexMiner挖矿木马。CortexMiner是一款挖矿恶意法式，挖矿法式会占用CPU资源，可能导致受害主机变慢。CTXC币英文全称cortex，CTXC的目标是打造一个真正去中心化人工智能自治系统，在区块链上提供最先进的机器学习模型，用户可以使用cortex区块链上的智能合约来推断该模型。cortex的目标之一还包罗实现一个机器学习平台，允许用户在平台上宣布任务，提交aidapps。
更新时间：	20220712

事件名称：	TCP_挖矿木马_CortexMiner_挖矿乐成(CTXC)
宁静类型：	蠕虫病毒
事件描述:	检测到挖矿木马挖矿乐成的行为，即矿机向矿池提交挖矿结果。源IP所在的主机可能被植入了CortexMiner挖矿木马。CortexMiner是一款挖矿恶意法式，挖矿法式会占用CPU资源，可能导致受害主机变慢。CTXC币英文全称cortex，CTXC的目标是打造一个真正去中心化人工智能自治系统，在区块链上提供最先进的机器学习模型，用户可以使用cortex区块链上的智能合约来推断该模型。cortex的目标之一还包罗实现一个机器学习平台，允许用户在平台上宣布任务，提交aidapps。
更新时间：	20220712

事件名称：	TCP_挖矿木马_CortexMiner_连接矿池乐成(CTXC)
宁静类型：	蠕虫病毒
事件描述:	检测到挖矿木马连接矿池乐成的行为。源IP所在的主机可能被植入了CortexMiner挖矿木马。CortexMiner是一款挖矿恶意法式，挖矿法式会占用CPU资源，可能导致受害主机变慢。CTXC币英文全称cortex，CTXC的目标是打造一个真正去中心化人工智能自治系统，在区块链上提供最先进的机器学习模型，用户可以使用cortex区块链上的智能合约来推断该模型。cortex的目标之一还包罗实现一个机器学习平台，允许用户在平台上宣布任务，提交aidapps。
更新时间：	20220712

事件名称：	TCP_挖矿木马_CPUMiner_挖矿控制命令通信_矿机支持Mining.set_extranonce要领(BTC/LTC)
宁静类型：	蠕虫病毒
事件描述:	检测到矿机向矿池表明支持Mining.set_extranonce要领。源IP所在的主机可能被植入了CPUMiner挖矿木马。CPUMiner是一款挖矿恶意法式，挖矿法式会占用CPU资源，可能导致受害主机变慢。
更新时间：	20220712

事件名称：	TCP_挖矿木马_CPUMiner_挖矿控制命令通信_矿池更新Extranonce(BTC/LTC)
宁静类型：	蠕虫病毒
事件描述:	检测到矿池通过mining.set_extranonce要领更新矿机的Extranonce。源IP所在的主机可能被植入了CPUMiner挖矿木马。CPUMiner是一款挖矿恶意法式，挖矿法式会占用CPU资源，可能导致受害主机变慢。
更新时间：	20220712

事件名称：	TCP_提权攻击_Click1_Java反序列化利用链_代码执行
宁静类型：	宁静漏洞
事件描述:	检测到源IP主机正在利用Click1的Java反序列化利用链对目的主机进行攻击的行为。若访问的应用存在漏洞JAVA反序列化漏洞且使用了click-nodeps:2.3.0，攻击者可以发送精心结构的Java序列化工具，远程执行任意代码或命令。远程执行任意代码，获取系统控制权。
更新时间：	20220712

事件名称：	HTTP_提权攻击_Spring_Boot_jolokia_logback_远程代码执行
宁静类型：	宁静漏洞
事件描述:	检测到源ip正在利用Actuator的/jolokia接口调用ch.qos.logback.classic.jmx.JMXConfigurator类的reloadByURL要领设置外部日志配置url地址。SpringBootActuator是一款可以资助你监控系统数据的框架,其可以监控很多很多的系统数据,它有对应用系统的自省和监控的集乐成能，可以检察应用配置的详细信息。Jolokia允许通过HTTP访问所有已注册的MBean，同时可以使用URL列出所有可用的MBeans操作。
更新时间：	20220712

事件名称：	HTTP_提权攻击_Spring_Boot_Actuator_mysqljdbc_远程代码执行
宁静类型：	宁静漏洞
事件描述:	检测到源ip正在利用Actuator的/env接口设置属性将spring.datasource.url设置为外部恶意mysqljdbcurl地址。SpringBootActuator是一款可以资助你监控系统数据的框架,其可以监控很多很多的系统数据,它有对应用系统的自省和监控的集乐成能，可以检察应用配置的详细信息。
更新时间：	20220712

事件名称：	HTTP_提权攻击_H3C_IMC_命令注入
宁静类型：	宁静漏洞
事件描述:	检测到源IP正在利用H3C的漏洞进行恶意命令注入。H3CIMC（IntlligentManagementCenter）智能管理中心是H3C推出的下一代业务只能管理产物。它融合了当前多个产物，以统一风格提供与网络相关的种种管理、控制、监控等功效；同时以开放的组件化的架构原型，向平台及其承载业务提供漫衍式、分级式交互管理特性；并未业务软件的下一代产物提供最可靠的、可扩展、高性能的业务平台。
更新时间：	20220712

事件名称：	TCP_其它可疑行为_ScriptEngineManager加载JS代码行为
宁静类型：	可疑行为
事件描述:	在JAVA中，javax.script.ScriptEngineManager可用来执行js代码，攻击者可利用此类执行恶意js代码，从而控制目的IP设备权限
更新时间：	20220712

事件名称：	TCP_僵尸网络_Boat_连接
宁静类型：	其他事件
事件描述:	Boat是一个融合了开源僵尸网络DDoS攻击源代码的新僵尸网络家族，但和C2的通信协议及交互逻辑是全新，完全差异于之前主流的僵尸网络。目前，Boat有x86、x64、arm、mips平台版本，主要功效包罗信息搜集、DDoS攻击、弱口令扫描、自删除等。
更新时间：	20220712

事件名称：	TCP_其它可疑行为_写入jar文件
宁静类型：	可疑行为
事件描述:	在JAVA中，java.io.FileOutputStream可以用来文件写入，攻击者可利用该类写入恶意jar包，配合其它漏洞及手法从而获取目的IP设备权限。
更新时间：	20220712

事件名称：	HTTP_提权攻击_Microsoft_Exchange_Server_未授权访问[CVE-2020-0692][CNNVD-202002-555]
宁静类型：	宁静漏洞
事件描述:	MicrosoftExchangeServer是个消息与协作系统。MicrosoftExchangeServer中存在特权提升漏洞。乐成利用此漏洞的攻击者可以获得与ExchangeServer的其他任何用户相同的权限。这可能允许攻击者执行诸如访问其他用户邮箱之类的活动。
更新时间：	20220712

事件名称：	HTTP_文件操作攻击_中科网威_NPFW防火墙_CommandsPolling.php_文件读取
宁静类型：	宁静漏洞
事件描述:	中科网威NPFW防火墙存在任意文件读取漏洞，由于代码过滤不足，可读取服务器任意文件。
更新时间：	20220712

事件名称：	HTTP_提权攻击_D-Link_DIR-645_service.cgi_远程命令执行
宁静类型：	宁静漏洞
事件描述:	D-LinkDIR-645固件版本小于即是1.03版本存在一个远程命令执行漏洞，该漏洞形成的原因是由于service.cgi在处置HTTP请求中的数据不妥，形成命令拼接，导致可执行任意命令。
更新时间：	20220712

事件名称：	TCP_信息泄露_ASUSWRT_RT-AC53会话泄露_攻击实验[CVE-2017-6549][CNNVD-201703-321]
宁静类型：	CGI攻击
事件描述:	检测到源ip正在向Cookie中发送cgi_logout，来窃取ASUSWRT_RT-AC53设备中的任何活动的管理会话。
更新时间：	20220712

事件名称：	HTTP_提权攻击_金山V8终端宁静系统_pdf_maker.php_命令执行
宁静类型：	宁静漏洞
事件描述:	金山V8终端宁静系统pdfmaker.php存在命令执行漏洞，由于没有过滤危险字符，导致结构特殊字符即可进行命令拼接执行任意命令。
更新时间：	20220712

事件名称：	HTTP_宁静漏洞_BSPHP_未授权访问
宁静类型：	CGI攻击
事件描述:	BSPHP存在未授权访问漏洞，攻击者可未授权访问相关接口，获取用户名和登陆ip等敏感信息。
更新时间：	20220712

事件名称：	HTTP_提权攻击_Nodejs_Squirrelly组件_代码执行[CVE-2021-32819]
宁静类型：	宁静漏洞
事件描述:	该漏洞位于Squirrelly和Express模板引擎组件中，Squirrelly通过Express渲染API将纯模板数据与引擎配置选项混合。漏洞形成原因在于攻击者设置defaultFilter的参数值笼罩原生配置属性的值。攻击者可以在defaultFilter值中注入恶意内容，从而执行恶意代码。
更新时间：	20220712

事件名称：	HTTP_提权攻击_佑友防火墙后台index.php_命令执行
宁静类型：	宁静漏洞
事件描述:	佑友防火墙后台维护工具存在命令执行漏洞，由于没有过滤危险字符，导致远程攻击者可以执行任意命令。
更新时间：	20220712

事件名称：	TCP_提权攻击_Myfaces2_Java反序列化利用链_代码执行
宁静类型：	宁静漏洞
事件描述:	检测到源IP主机正在利用Myfaces2的Java反序列化利用链对目的主机进行攻击的行为。攻击者可以发送精心结构的Java序列化工具，远程执行任意代码或命令。远程执行任意代码，获取系统控制权。
更新时间：	20220712

事件名称：	TCP_提权攻击_JBossInterceptors1_Java反序列化利用链_代码执行
宁静类型：	宁静漏洞
事件描述:	检测到源IP主机正在利用JBossInterceptors1的Java反序列化利用链对目的主机进行攻击的行为。若访问的应用存在漏洞JAVA反序列化漏洞且使用了javassist:3.12.1.GA,jboss-interceptor-core:2.0.0.Final,cdi-api:1.0-SP1,javax.interceptor-api:3.1,jboss-interceptor-spi:2.0.0.Final,slf4j-api:1.7.21，攻击者可以发送精心结构的Java序列化工具，远程执行任意代码或命令。远程执行任意代码，获取系统控制权。
更新时间：	20220712

事件名称：	HTTP_提权攻击_Pi-hole_命令执行[CVE-2020-8816][CNNVD-202003-1972]
宁静类型：	宁静漏洞
事件描述:	Pi-hole是一个用于内容过滤的DNS服务器，v4.3.2及其之前的版本存在命令执行漏洞，在攻击者登录后可以执行任意命令。
更新时间：	20220712

事件名称：	HTTP_提权攻击_js-yaml_远程代码执行[CVE-2013-4660]
宁静类型：	宁静漏洞
事件描述:	js-yaml是YAML1.2的JavaScript解析器和串联器。Node.js的js-yaml�？�2.0.5之前版本在解析输入时，没有考虑不宁静的!!js/function旗标，可使远程攻击者通过特制的字符串触发eval操作，执行任意代码。
更新时间：	20220712

事件名称：	TCP_提权攻击_PostgreSQL-JDBC-Driver_远程代码执行[CVE-2022-21724]
宁静类型：	宁静漏洞
事件描述:	PostgreSQL-JDBC-Driver9.4.1208-42.3.2版本会实例化jdbcurl中指定的类，当攻击者控制jdbcurl或属性时能够造成远程代码执行
更新时间：	20220712

事件名称：	TCP_提权攻击_CommonsBeanutils1/2/183NOCC_Java反序列化利用链_代码执行
宁静类型：	宁静漏洞
事件描述:	检测到源IP主机正在利用CommonsBeanutils1183NOCC的Java反序列化利用链对目的主机进行攻击的行为。若访问的应用存在漏洞JAVA反序列化漏洞且使用了commons-beanutils:1.8.3，攻击者可以发送精心结构的Java序列化工具，远程执行任意代码或命令，获取系统控制权。
更新时间：	20220712

事件名称：	TCP_提权攻击_CommonsBeanutils3/3183_Java反序列化利用链_代码执行
宁静类型：	宁静漏洞
事件描述:	检测到源IP主机正在利用CommonsBeanutils3的Java反序列化利用链对目的主机进行攻击的行为。若访问的应用存在漏洞JAVA反序列化漏洞且使用了commons-beanutils:1.9.2,commons-collections:3.1，攻击者可以发送精心结构的Java序列化工具，远程执行任意代码或命令。远程执行任意代码，获取系统控制权。
更新时间：	20220712

事件名称：	TCP_提权攻击_JRMPClient_Obj_Java反序列化利用链_代码执行
宁静类型：	宁静漏洞
事件描述:	检测到源IP主机正在利用JRMPClient_Obj的Java反序列化利用链对目的主机进行攻击的行为。攻击者可以发送精心结构的Java序列化工具，远程执行任意代码或命令。远程执行任意代码，获取系统控制权。
更新时间：	20220712

事件名称：	TCP_提权攻击_Redis_命令执行[CNVD-2019-21763]
宁静类型：	宁静漏洞
事件描述:	Redis被爆出Redis4.x/5.x版本存在主从同步命令执行漏洞，攻击者通过结构特定的请求实现漏洞利用，乐成利用漏洞可在目标服务器上实现Getshell。
更新时间：	20220712

事件名称：	HTTP_木马后门_MSIL.Raudotek_连接
宁静类型：	木马后门
事件描述:	检测到下载者木马Raudotek试图连接远程服务器，源IP所在的主机可能被植入了Raudotek。Raudotek是基于CSharp的下载者木马，主要功效是下载其它恶意软件。
更新时间：	20220712

事件名称：	HTTP_提权攻击_PlaySMS_远程代码执行[CVE-2020-8644][CNNVD-202002-145]
宁静类型：	宁静漏洞
事件描述:	PlaySms是一个灵活的基于Web的短信平台，1.4.3前的版本存在模板注入漏洞，攻击者能够在未登录时执行任意代码
更新时间：	20220712

事件名称：	HTTP_注入攻击_Zoho_ManageEngine_ADAudit_Plus_XXE注入[CVE-2022-28219][CNNVD-202204-2014]
宁静类型：	注入攻击
事件描述:	检测到源ip正在向目的ip上的Zoho_ManageEngine_ADAudit_Plus进行XML外部实体(XXE)注入，进而执行代码。ZohoManageEngineAdauditPlus是美国ZohoCorporation公司的用于简化审计、证明合规性和检测威胁。
更新时间：	20220712

事件名称：	UDP_提权攻击_Nginx_DNS_Resolver_代码执行[CVE-2021-23017]
宁静类型：	宁静漏洞
事件描述:	检测到源ip正在通过目的主机上的Nginx_DNS_Resolver漏洞，伪造来自DNS服务器的UDP数据包，结构DNS响应造成1-byte内存笼罩，从而导致拒绝服务或任意代码执行。Nginx是一个高性能的HTTP和反向署理web服务器，同时也提供了IMAP/POP3/SMTP服务，由于其具有许多优越的特性，导致在全球范围内被广泛使用。
更新时间：	20220712

事件名称：	HTTP_设置缺陷_深信服_SSLVPN_changetelnum.csp_任意账户绑定手机号修改
宁静类型：	宁静漏洞
事件描述:	深信服SSLVPN的changetelnum.csp存在逻辑越权漏洞，攻击者登录乐成后可修改任意用户绑定的手机号码。
更新时间：	20220712

事件名称：	HTTP_提权攻击_Citrix_任意代码执行[CVE-2020-8194][CNNVD-202007-364]
宁静类型：	宁静漏洞
事件描述:	CitrixADC和CitrixNetScalerGateway存在一个代码注入漏洞。未经身份验证的远程攻击者可以利用它来创建恶意文件，如果该恶意文件由管理网络上的受害者执行，则可以允许攻击者在该用户的上下文中执行任意代码。
更新时间：	20220712

事件名称：	HTTP_提权攻击_Zabbix_5.0.17_items.php_远程代码执行
宁静类型：	宁静漏洞
事件描述:	Zabbix是一个开源软件工具，用于监控网络、服务器、虚拟机和云服务等IT基础设施，其5.0.17版本存在远程代码执行漏洞，攻击者可利用该漏洞获取目的IP设备权限。
更新时间：	20220712

事件名称：	HTTP_文件操作攻击_GilaCMS_文件包罗[CVE-2019-16679][CNNVD-201909-1026]
宁静类型：	宁静漏洞
事件描述:	GilaCMS0.1-1.10.9版本存在文件包罗漏洞，攻击者在登陆后可以利用该漏洞读取任意文件或包罗上传的webshell文件。
更新时间：	20220712

修改事件

事件名称：	HTTP_木马后门_PoshC2_连接C2服务器_乐成
宁静类型：	木马后门
事件描述:	检测到由黑客工具PoshC2生成的后门Implant试图连接远程服务器,源IP所在的主机可能被植入了PoshC2.Implant。PoshC2.Implant执行后攻击者可利用PoshC2完全控制受害机器，并进行横向移动。PoshC2是一个使用Python3编写的后渗透署理C2框架，遵循�？榛袷�，用户可以添加自己的�？楣ぞ�，从而保证灵活的可扩展性。PoshC2拥有多种编译语言的有效载荷，如：Powershell、C#、C++、Python等，同时提供相关载荷的源代码、种种可执行文件、Dll和原始Shell代码，这些使PoshC2能够应用于广泛的操作系统设备上，包罗Windows、*nix和OSX
更新时间：	20220712

事件名称：	HTTP_木马后门_PoshC2_连接C2服务器2_乐成
宁静类型：	木马后门
事件描述:	检测到由黑客工具PoshC2生成的后门Implant试图连接远程服务器,源IP所在的主机可能被植入了PoshC2.Implant。PoshC2.Implant执行后攻击者可利用PoshC2完全控制受害机器，并进行横向移动。PoshC2是一个使用Python3编写的后渗透署理C2框架，遵循�？榛袷�，用户可以添加自己的�？楣ぞ�，从而保证灵活的可扩展性。PoshC2拥有多种编译语言的有效载荷，如：Powershell、C#、C++、Python等，同时提供相关载荷的源代码、种种可执行文件、Dll和原始Shell代码，这些使PoshC2能够应用于广泛的操作系统设备上，包罗Windows、*nix和OSX
更新时间：	20220712

事件名称：	HTTP_木马后门_PoshC2_连接C2服务器3_乐成
宁静类型：	木马后门
事件描述:	检测到由黑客工具PoshC2生成的后门Implant试图连接远程服务器,源IP所在的主机可能被植入了PoshC2.Implant。PoshC2.Implant执行后攻击者可利用PoshC2完全控制受害机器，并进行横向移动。PoshC2是一个使用Python3编写的后渗透署理C2框架，遵循�？榛袷�，用户可以添加自己的�？楣ぞ�，从而保证灵活的可扩展性。PoshC2拥有多种编译语言的有效载荷，如：Powershell、C#、C++、Python等，同时提供相关载荷的源代码、种种可执行文件、Dll和原始Shell代码，这些使PoshC2能够应用于广泛的操作系统设备上，包罗Windows、*nix和OSX
更新时间：	20220712

事件名称：	TCP_提权攻击_Spring-Data-REST-PATCH请求_远程代码执行[CVE-2017-8046][CNNVD-201704-1106]
宁静类型：	宁静漏洞
事件描述:	该漏洞为攻击者通过SpringDataRest支持的PATCH要领，结构恶意的Json格式数据发送到服务端，导致服务端在解析数据时会执行任意Java代码、解析SpEL表达式，从而实现远程任意代码执行。
更新时间：	20220712

事件名称：	HTTP_提权攻击_XStream_代码执行[CVE-2021-21351][CNNVD-202103-1234]
宁静类型：	宁静漏洞
事件描述:	XStream是一个Java库，用于将工具序列化为XML并再次返回。解组时处置的流包罗类型信息以重新创建以前编写的工具。XStream因此基于这些类型信息创建新实例。攻击者可以利用处置过的输入流并替换或注入工具，从而执行从远程服务器加载的任意代码。
更新时间：	20220712

事件名称：	TCP_木马后门_PoisonIvy_shellcode_连接
宁静类型：	木马后门
事件描述:	检测源IP主机正在下载PoisonIvy的shellcode载荷。源IP所在的主机可能被植入了PoisonIvy。PoisonIvy是一个非常流行的远程控制工具，允许攻击者完全控制被植入机器。PoisonIvy可以生成shellcode载荷，即把所有恶意代码放在shellcode里。
更新时间：	20220712

上一篇下一篇

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

Copyright ? 东森平台版权所有京ICP备05032414号京公网安备11010802024551号