抖圈为赌而生

首页 > 技术支持 > 升级通告 > 每周升级通告

2020-03-31

宣布时间 2020-03-31

新增事件

事件名称：	TCP_木马后门_GodLua_连接
宁静类型：	木马后门
事件描述：	检测到后门GodLua试图连接远程服务器。源IP所在的主机可能被植入了GodLua。GodLua是一个跨平台的后门，主要针对Windows和Linux系统。GodLua是首款通过DoH协议获取C2域名解析的后门，通过Confluence漏洞利用(CVE-2019-3396)流传自身。
更新时间：	20200331

事件名称：	TCP_RealVNC_RFB协议远程认证绕过漏洞利用乐成[CVE-2006-2369]
宁静类型：	宁静漏洞
事件描述：	检测到您的网络中有一台主机正在试图使用TCP_RealVNC_RFB协议远程认证绕过漏洞连接对端设备，而且已经连接乐成。RealVNC VNC Server是一种远程终端控制软件。RealVNC VNC erver接纳的RFB（远程帧长度）协议允许客户端与服务端协商适当的认证要领，协议的实现上存在设计错误，远程攻击者可以绕过过认证无需密码实现对服务器的访问。
更新时间：	20200331

事件名称：	TCP_后门_Linux.DDoS.Gafgyt_连接1
宁静类型：	木马后门
事件描述：	检测到木马试图连接远程服务器。源IP所在的主机可能被植入了Gafgyt。Gafgyt是一个Linux僵尸网络，主要功效是对指定目标机器提倡DDoS攻击。
更新时间：	20200331

事件名称：	TCP_后门_CoreDDRAT_试图连接
宁静类型：	木马后门
事件描述：	检测到 CoreDDRAT 试图连接远程服务器。源IP所在的主机可能被植入了后门 CoreDDRAT 。CoreDDRAT是一个典型的远控后门，能够监视受害者当前窗口、窃取计算机敏感信息而且会凭据C2服务器下发的差异指令代号执行相应操作。它具备的功效主要有：文件上传/下载、cmd命令、文件执行等功效。
更新时间：	20200331

事件名称：	HTTP_类菜刀流量_响应
宁静类型：	木马后门
事件描述：	菜刀类流量如果没有大量的修改代码，其返回流量都市有一个配合的特征，本条规则将常见的配合特征提取出来进行防御性报警。
更新时间：	20200331

修改事件

事件名称：	TCP_后门_Gh0st_连接
宁静类型：	木马后门
事件描述：	该事件源IP所在的主机可能被植入了Gh0st远控法式，可以对远程主机进行任意操作。特洛伊木马（Trojan）是后门法式的一种。典型的木马法式为服务器/客户端结构，一般情况下入侵者通过利用某种漏洞取得主机的控制权后，设法在被攻击的主机上运行木马法式的服务器端，之后就可以从远程利用客户端法式通过对主机上的服务器端法式进行访问而完全控制该主机，在管理员毫无所知的情况下执行任意法式、访问任意文件等种种非法操作。因此木马法式是一种危害极大的恶意法式，如果发现主机上存在木马法式，则主机肯定已经遭到了入侵，需要尽快接纳措施。
更新时间：	20200331

事件名称：	TCP_后门_Gh0st_连接(扫描)
宁静类型：	木马后门
事件描述：	检测到源IP主机在对目的IP主机进行扫描。Gh0st远控是一个国内的远控法式，可以对远程主机进行任意操作。本事件报警不是真实攻击，仅仅意味着源IP主机在对目的IP主机进行扫描。源IP一般属于Shodan扫描主机，目的IP是客户主机。源IP主机模仿Gh0st样本向目的IP主机发送上线报文，如果收到期望的返回数据，即认为目的IP主机上运行着Gh0st控制端，是Gh0st的C&C服务。
更新时间：	20200331

事件名称：	TCP_后门_Linux.DDoS.Gafgyt_连接
宁静类型：	木马后门
事件描述：	检测到木马试图连接远程服务器。源IP所在的主机可能被植入了DDoS.Gafgyt。DDoS.Gafgyt是一个Linux僵尸网络，主要功效是对指定目标机器提倡DDoS攻击。
更新时间：	20200331

上一篇下一篇

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

Copyright ? 抖圈为赌而生版权所有京ICP备05032414号京公网安备11010802024551号