2018-07-13

宣布时间 2018-07-13

新增事件

事件名称：	HTTP_木马后门_Smurf.fileUpload(Confucius)_连接
事件级别：	中级事件
宁静类型：	木马后门
事件描述：	检测到Smurf试图连接远程服务器。源IP所在的主机可能被植入了Smurf。 Smurf是APT组织Confucius使用的窃取文件的木马，运行后，上传种种文件到C&C服务器，如doc, .docx, .xls, .xlsx, .pdf, .ppt, .pptx, .csv等。
更新时间：	20180713
默认行动：	抛弃

事件名称：	TCP_木马_Win32.TrickBot_NetworkCollectorModule
事件级别：	中级事件
宁静类型：	木马后门
事件描述：	检测到木马试图连接远程服务器。源IP所在的主机可能被植入了木马TrickBot。 TrickBot是一个功效强大的窃密木马。Trickbot银行木马中包罗Network Collector Module，该模块可以搜集用户信息上传至服务器。。
更新时间：	20180713
默认行动：	抛弃

事件名称：	HTTP_木马后门_Win32.LoadMoney_连接
事件级别：	中级事件
宁静类型：	木马后门
事件描述：	检测到Loadmoney试图连接远程服务器。源IP所在的主机可能被植入了Loadmoney。 Loadmoney是一个木马下载者，运行后会下载其它恶意样本。
更新时间：	20180713
默认行动：	抛弃

事件名称：	HTTP_Malware_KardonLoader_连接服务器
事件级别：	中级事件
宁静类型：	木马后门
事件描述：	检测到Kardon Loader试图连接远程服务器。源IP所在的主机可能被植入了Kardon Loader。 Kardon Loader是一个全功效的下载器，可以下载和安装其他恶意软件。例如，银行木马/凭证窃取软件等。
更新时间：	20180713
默认行动：	抛弃

事件名称：	HTTP_木马后门_DanaBot.Downloader_连接
事件级别：	中级事件
宁静类型：	木马后门
事件描述：	检测到DanaBot试图下载核心Main dll组件。源IP所在的主机可能被植入了DanaBot。 DanaBot是一个银行木马，包罗一个下载组件。下载组件运行后会下载核心Main dll组件。
更新时间：	20180713
默认行动：	抛弃

事件名称：	TCP_木马后门_DanaBot_连接
事件级别：	中级事件
宁静类型：	木马后门
事件描述：	检测到DanaBot的Main dll试图下载其它组件。源IP所在的主机可能被植入了DanaBot。 DanaBot是一个银行木马，包罗一个下载组件。下载组件运行后会下载核心Main dll组件。Main dll下载VNC、Stealer、Sniffer等组件，完成窃密。
更新时间：	20180713
默认行动：	抛弃

事件名称：	TCP_后门_PoisonIvy_Keepalive_连接2
事件级别：	中级事件
宁静类型：	木马后门
事件描述：	检测到PoisonIvy的心跳包数据。源IP所在的主机可能被植入了Poison Ivy。 Poison Ivy是一个被广泛应用的远程控制工具，允许攻击者完全控制被植入机器。
更新时间：	20180713
默认行动：	抛弃

事件名称：	HTTP_DVR_硬盘录像机_登录绕过漏洞[CVE-2018-9995]
事件级别：	中级事件
宁静类型：	网络设备攻击
事件描述：	检测到源IP主机正在利用DVR硬盘录像机登录绕过漏洞攻击目的IP主机的行为，试图通过利用DVR绕过登录漏洞登录到硬盘录像机后台，非法使用视频监控资源。 DVR全称Digital Video Recorder(硬盘录像机)，通常是视频监控系统中的重要组成部门。检测到有多款DVR设备存在登录绕过漏洞，攻击者通过修改Cookie:uid=admin之后并访问特定DVR的控制面板，返回此设备的明文管理员凭证。
更新时间：	20180713
默认行动：	抛弃

事件名称：	HTTP_anni安尼XVR_同轴硬盘录像机_密码泄露漏洞
事件级别：	中级事件
宁静类型：	网络设备攻击
事件描述：	检测到源IP主机正在利用XVR同轴硬盘录像机密码泄露漏洞攻击目的IP主机的行为，试图通过利用XVR密码泄露漏洞，进而登录到XVR后台，非法使用视频监控资源。 XVR同轴硬盘录像机，通常是视频监控系统中的重要组成部门。检测到anni安尼有多款XVR设备存在密码泄露，攻击者通过访问指定的URL，XVR设备即可返回登录密码。
更新时间：	20180713
默认行动：	抛弃

事件名称：	HTTP_施耐德_派尔高系列摄像机_远程代码执行漏洞
事件级别：	中级事件
宁静类型：	网络设备攻击
事件描述：	检测到源IP主机正在利用施耐德派尔高系列摄像机远程代码执行漏洞攻击目的IP主机的行为，试图通过远程执行任意命令，实验通过该设备进行挖矿或者DoS攻击等非法行为。施耐德公司旗下的派尔高系列摄像机通常被用于种种商业和工业监控领域，具有较好的环境适应性。Pelco系列摄像机存在远程代码执行漏洞，攻击者可以通过POST请求中的enable_leds参数注入任意代码或命令，进而完全控制摄像机。
更新时间：	20180713
默认行动：	抛弃

事件名称：	HTTP_NETGEAR_DGN1000_远程命令执行漏洞
事件级别：	中级事件
宁静类型：	网络设备攻击
事件描述：	检测到源IP主机正在利用美国网件NETGEAR DGN1000系列路由器远程代码执行漏洞攻击目的IP主机的行为，试图通过远程执行任意命令，实验通过该设备进行挖矿或者DoS攻击等非法行为。美国网件NETGEAR是美国知名的企业设备提供商，NETGEAR DGN1000系列路由器广泛被部署在全球各大互联网公司及家庭。DGN1000系列路由器存在远程代码执行漏洞，攻击者可以通过URL中的cmd参数注入任意代码或命令，进而完全控制路由器。
更新时间：	20180713
默认行动：	抛弃

事件名称：	HTTP_NETGEAR_JWNR_密码泄露漏洞
事件级别：	中级事件
宁静类型：	网络设备攻击
事件描述：	检测到源IP主机正在利用NETGEAR JWNR系列路由器密码泄露漏洞攻击目的IP主机的行为，试图通过利用JWNR系列路由器密码泄露漏洞，进而登录到路由器后台，完全控制整个网络。 XVR 同轴硬盘录像机，通常是视频监控系统中的重要组成部门。检测到anni安尼有多款XVR设备存在密码泄露，攻击者通过访问指定的URL，XVR设备即可返回登录密码。
更新时间：	20180713
默认行动：	抛弃

修改事件

事件名称：

HTTP_Microsoft_Windows_HTTP_sys远程代码执行漏洞[CVE-2015-1635]

事件级别：

中级事件

宁静类型：

宁静漏洞

事件描述：

检测到源IP主机正试图通过Microsoft Windows HTTP.sys远程代码执行漏洞攻击目的IP主机。 Http.sys是处理HTTP请求的内核模式驱动法式。 HTTP.sys错误解析结构的HTTP请求时，在实现上存在远程代码执行漏洞，乐成利用此漏洞后，攻击者可在System帐户上下文中执行任意代码。

更新时间：

20180713

默认行动：

抛弃

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

抖圈为赌而生

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系抖圈为赌而生

技术支持

2018-07-13

关于抖圈为赌而生

解决方案

宁静研究

联系抖圈为赌而生

7*24小时服务热线