鉴黑担保网

首页 > 手艺支持 > 升级通告 > 每周升级通告

2020-04-07

宣布时间 2020-04-07

新增事务

事务名称：	TCP_NSA_EternalBlue_(永恒之蓝)_SMB误差扫描[MS17-010]_扫描有误差
清静类型：	清静误差
事务形貌：	检测到源IP对目的主机举行MS17-010误差扫描的行为. Microsoft Windows是微软宣布的很是盛行的操作系统。。。若是攻击者向 Microsoft 效劳器发送经全心结构的畸形请求包，，，，可以获取目的效劳器的系统权限，，，，并且完全控制目的系统。。。
更新时间：	20200407

事务名称：	HTTP_后门_FakeSanforUD_毗连
清静类型：	木马后门
事务形貌：	检测到木马试图毗连远程效劳器。。。源IP所在的主机可能被植入了Rarog。。。深信服VPN客户端保存误差，，，，在升级时会下载执行名为SangforUD.exe的更新程序。。。但VPN客户端仅对SangforUD.exe做了简朴的版本比照，，，，没有做任何的清静检查。。。APT组织Darkhotel攻破了VPN效劳器，，，，改动升级设置文件并把SangforUD.exe替换为恶意的后门FakeSanforUD。。。 FakeSanforUD是一个后门，，，，通过下载执行shellcode，，，，最终下载焦点的后门恶意组件thinmon.dll。。。焦点后门组件thinmon.dll会解密云端下发的另外一个加密文件Sangfor_tmp_1.dat，，，，以加载、线程启动、注入历程3种方法中的一种启动dat文件，，，，最终由dat文件实现与效劳器交互执行恶意操作。。。
更新时间：	20200407

事务名称：	TCP_Metasploit_匿名管道扫描
清静类型：	清静扫描
事务形貌：	检测到源IP主机正在使用对目的主机使用Metasploit通过SMB协议获取盘算机信息的行为。。。
更新时间：	20200407

事务名称：	TCP_SMB_NMAP扫描
清静类型：	清静扫描
事务形貌：	检测到源IP主机正在使用对目的主机使用NMAP通过SMB协议获取盘算机信息的行为。。。
更新时间：	20200407

事务名称：	TCP_NSA_EternalBlue_(永恒之蓝)_SMB误差扫描[MS17-010]_扫描无误差
清静类型：	清静误差
事务形貌：	检测到源IP对目的主机举行MS17-010误差扫描的行为. Microsoft Windows是微软宣布的很是盛行的操作系统。。。若是攻击者向 Microsoft 效劳器发送经全心结构的畸形请求包，，，，可以获取目的效劳器的系统权限，，，，并且完全控制目的系统。。。
更新时间：	20200407

事务名称：	TCP_NSA_EternalBlue_(永恒之蓝)_DoublePulsar后门_扫描或植入后门_疑似执行或卸载
清静类型：	木马后门
事务形貌：	检测到通过MS17-010的误差植入DoublePulsar后门的行为。。。 Microsoft Windows是美国微软（Microsoft）公司宣布的一系列操作系统。。。SMBv1 server是其中的一个效劳器协议组件。。。DoublePulsar是一个后门程序，，，，用于在已熏染的系统上注入和运行恶意代码。。。 Microsoft Windows中的SMBv1效劳器保存远程代码执行误差。。。远程攻击者可借助特制的数据包使用该误差植入或扫描DoublePulsar后门。。。
更新时间：	20200407

事务名称：	TCP_NSA_EternalBlue_(永恒之蓝)_DoublePulsar后门_扫描或植入后门_疑似ping
清静类型：	木马后门
事务形貌：	检测到通过MS17-010的误差植入DoublePulsar后门的行为。。。 Microsoft Windows是美国微软（Microsoft）公司宣布的一系列操作系统。。。SMBv1 server是其中的一个效劳器协议组件。。。DoublePulsar是一个后门程序，，，，用于在已熏染的系统上注入和运行恶意代码。。。 Microsoft Windows中的SMBv1效劳器保存远程代码执行误差。。。远程攻击者可借助特制的数据包使用该误差植入DoublePulsar后门。。。
更新时间：	20200407

事务名称：	TCP_DrayTek_预身份验证下令注入误差[CVE-2020-8515]
清静类型：	注入攻击
事务形貌：	检测到攻击者使用DrayTek预身份验证处的两处下令注入误差举行攻击的行为。。。DrayTek是一家在中国生产防火墙，，，，VPN装备，，，，路由器，，，，WLAN装备等的制造商。。。该误差源于/cgi-bin/mainfunction.cgi程序未准确过滤keyPath字段和rtick字段其中的特殊字符，，，，攻击者可使用该误差不经由身份验证以root权限执行代码。。。
更新时间：	20200407

事务名称：	HTTP_ZyXEL_预身份验证下令注入误差[CVE-2020-9054]
清静类型：	注入攻击
事务形貌：	检测到源IP主机正试图通过ZyXEL装备中的预身份验证的下令注入误差举行攻击的行为。。。攻击者攻击乐成后可远程执行恣意代码。。。
更新时间：	20200407

修改事务

事务名称：	TCP_NSA_EternalBlue_(永恒之蓝)_SMB误差写入shellcode[MS17-010]
清静类型：	清静误差
事务形貌：	检测到源IP对目的主机使用MS17-010误差写入shellcode的行为. Microsoft Windows是微软宣布的很是盛行的操作系统。。。若是攻击者向 Microsoft 效劳器发送经全心结构的畸形请求包，，，，可以获取目的效劳器的系统权限，，，，并且完全控制目的系统。。。
更新时间：	20200407

事务名称：	TCP_清静误差_Microsoft_SMBv3_远程代码执行误差[CVE-2020-0796]
清静类型：	清静误差
事务形貌：	检测到源IP主机可能正在对目的主机举行CVE-2020-0796误差使用的行为。。。
更新时间：	20200407

事务名称：	UDP_僵尸网络_Mozi.P2PBotnet_毗连
清静类型：	木马后门
事务形貌：	检测到僵尸网络Mozi试图和Peer通讯。。。由于是基于P2P协议，，，，源IP和目的IP所在的主机可能都被植入了僵尸网络Mozi。。。 Mozi是一个基于P2P协议的僵尸网络，，，，主要支持的功效为：DDoS攻击、网络Bot信息、执行指定URL的payload、从指定的URL更新样本、执行系统或自界说下令。。。
更新时间：	20200407

事务名称：	TCP_Tomcat/Coldfusion_AJP13_恣意文件读取[CVE-2020-1938/CVE-2020-3761/CVE-2020-3794]
清静类型：	清静误差
事务形貌：	检测到源IP主机正在使用Tomcat/Coldfusion_AJP13恣意文件读取误差对目的主机举行攻击的行为。。。
更新时间：	20200407

上一篇下一篇

7*24小时效劳热线

400-624-3900

官方微信

官方微博

执法声明

Copyright ? 鉴黑担保网版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】【sitemap】