8827太阳集团

首页 > 技术支持 > 升级布告 > 每周升级布告

2020-04-07

颁布功夫 2020-04-07

新增事务

事务名称：	TCP_NSA_EternalBlue_(永恒之蓝)_SMB缝隙扫描[MS17-010]_扫描有缝隙
安全类型：	安全缝隙
事务描述：	检测到源IP对主张主机进行MS17-010缝隙扫描的行为. Microsoft Windows是微软颁布的极度盛行的操作系统。。。。。若是攻击者向 Microsoft 服务器发送经精心机关的畸形要求包，，，，，，，，能够获取指标服务器的系统权限，，，，，，，，并且齐全节造指标系统。。。。。
更新功夫：	20200407

事务名称：	HTTP_后门_FakeSanforUD_衔接
安全类型：	木马后门
事务描述：	检测到木马试图衔接远程服务器。。。。。源IP地点的主机可能被植入了Rarog。。。。。深折服VPN客户端存在缝隙，，，，，，，，在升级时会下载执行名为SangforUD.exe的更新法式。。。。。但VPN客户端仅对SangforUD.exe做了单一的版本对比，，，，，，，，没有做任何的安全查抄。。。。。APT组织Darkhotel攻破了VPN服务器，，，，，，，，篡改升级配置文件并把SangforUD.exe代替为恶意的后门FakeSanforUD。。。。。 FakeSanforUD是一个后门，，，，，，，，通过下载执行shellcode，，，，，，，，最终下载主题的后门恶意组件thinmon.dll。。。。。主题后门组件thinmon.dll会解密云端下发的另表一个加密文件Sangfor_tmp_1.dat，，，，，，，，以加载、线程启动、注入过程3种方式中的一衷祠动dat文件，，，，，，，，最终由dat文件实现与服务器交互执行恶意操作。。。。。
更新功夫：	20200407

事务名称：	TCP_Metasploit_匿名管路扫描
安全类型：	安全扫描
事务描述：	检测到源IP主机在利用对主张主机使用Metasploit通过SMB和谈获取推算机信息的行为。。。。。
更新功夫：	20200407

事务名称：	TCP_SMB_NMAP扫描
安全类型：	安全扫描
事务描述：	检测到源IP主机在利用对主张主机使用NMAP通过SMB和谈获取推算机信息的行为。。。。。
更新功夫：	20200407

事务名称：	TCP_NSA_EternalBlue_(永恒之蓝)_SMB缝隙扫描[MS17-010]_扫描无缝隙
安全类型：	安全缝隙
事务描述：	检测到源IP对主张主机进行MS17-010缝隙扫描的行为. Microsoft Windows是微软颁布的极度盛行的操作系统。。。。。若是攻击者向 Microsoft 服务器发送经精心机关的畸形要求包，，，，，，，，能够获取指标服务器的系统权限，，，，，，，，并且齐全节造指标系统。。。。。
更新功夫：	20200407

事务名称：	TCP_NSA_EternalBlue_(永恒之蓝)_DoublePulsar后门_扫描或植入后门_疑似执行或卸载
安全类型：	木马后门
事务描述：	检测到通过MS17-010的缝隙植入DoublePulsar后门的行为。。。。。 Microsoft Windows是美国微软（Microsoft）公司颁布的一系列操作系统。。。。。SMBv1 server是其中的一个服务器和谈组件。。。。。DoublePulsar是一个后门法式，，，，，，，，用于在已习染的系统上注入和运行恶意代码。。。。。 Microsoft Windows中的SMBv1服务器存在远程代码执行缝隙。。。。。远程攻击者可借助特造的数据包利用该缝隙植入或扫描DoublePulsar后门。。。。。
更新功夫：	20200407

事务名称：	TCP_NSA_EternalBlue_(永恒之蓝)_DoublePulsar后门_扫描或植入后门_疑似ping
安全类型：	木马后门
事务描述：	检测到通过MS17-010的缝隙植入DoublePulsar后门的行为。。。。。 Microsoft Windows是美国微软（Microsoft）公司颁布的一系列操作系统。。。。。SMBv1 server是其中的一个服务器和谈组件。。。。。DoublePulsar是一个后门法式，，，，，，，，用于在已习染的系统上注入和运行恶意代码。。。。。 Microsoft Windows中的SMBv1服务器存在远程代码执行缝隙。。。。。远程攻击者可借助特造的数据包利用该缝隙植入DoublePulsar后门。。。。。
更新功夫：	20200407

事务名称：	TCP_DrayTek_预身份验证号令注入缝隙[CVE-2020-8515]
安全类型：	注入攻击
事务描述：	检测到攻击者利用DrayTek预身份验证处的两处号令注入缝隙进行攻击的行为。。。。。DrayTek是一家在中国出产防火墙，，，，，，，，VPN设备，，，，，，，，路由器，，，，，，，，WLAN设备等的造作商。。。。。该缝隙源于/cgi-bin/mainfunction.cgi法式未正确过滤keyPath字段和rtick字段其中的特殊字符，，，，，，，，攻击者可利用该缝隙不经过身份验证以root权限执行代码。。。。。
更新功夫：	20200407

事务名称：	HTTP_ZyXEL_预身份验证号令注入缝隙[CVE-2020-9054]
安全类型：	注入攻击
事务描述：	检测到源IP主机正试图通过ZyXEL设备中的预身份验证的号令注入缝隙进行攻击的行为。。。。。攻击者攻击成功后可远程执行肆意代码。。。。。
更新功夫：	20200407

批改事务

事务名称：	TCP_NSA_EternalBlue_(永恒之蓝)_SMB缝隙写入shellcode[MS17-010]
安全类型：	安全缝隙
事务描述：	检测到源IP对主张主机利用MS17-010缝隙写入shellcode的行为. Microsoft Windows是微软颁布的极度盛行的操作系统。。。。。若是攻击者向 Microsoft 服务器发送经精心机关的畸形要求包，，，，，，，，能够获取指标服务器的系统权限，，，，，，，，并且齐全节造指标系统。。。。。
更新功夫：	20200407

事务名称：	TCP_安全缝隙_Microsoft_SMBv3_远程代码执行缝隙[CVE-2020-0796]
安全类型：	安全缝隙
事务描述：	检测到源IP主机可能在对主张主机进行CVE-2020-0796缝隙利用的行为。。。。。
更新功夫：	20200407

事务名称：	UDP_僵尸网络_Mozi.P2PBotnet_衔接
安全类型：	木马后门
事务描述：	检测到僵尸网络Mozi试图和Peer通讯。。。。。由于是基于P2P和谈，，，，，，，，源IP和主张IP地点的主机可能都被植入了僵尸网络Mozi。。。。。 Mozi是一个基于P2P和谈的僵尸网络，，，，，，，，重要支持的职能为：DDoS攻击、网络Bot信息、执行指定URL的payload、从指定的URL更新样本、执行系统或自界说号令。。。。。
更新功夫：	20200407

事务名称：	TCP_Tomcat/Coldfusion_AJP13_肆意文件读取[CVE-2020-1938/CVE-2020-3761/CVE-2020-3794]
安全类型：	安全缝隙
事务描述：	检测到源IP主机在利用Tomcat/Coldfusion_AJP13肆意文件读取缝隙对主张主机进行攻击的行为。。。。。
更新功夫：	20200407

上一篇下一篇

7*24幼时服务热线

400-624-3900

官方微信

官方微博

司法申明

Copyright ? 8827太阳集团版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】【sitemap】