每周升级通告-2022-07-12

宣布时间 2022-07-12

新增事件


事件名称:

HTTP_提权攻击_Atlassian-Jira_8.2.3远程代码执行[CVE-2019-11581]

宁静类型:

宁静漏洞

事件描述:

检测到源IP主机正在利用HTTP_Atlassian-Jira_远程代码执行漏洞[CVE-2019-11581]攻击目的IP主机的行为。AtlassianJira是澳大利亚Atlassian公司的一套缺陷跟踪管理系统。该系统主要用于对事情中种种问题、缺陷进行跟踪管理。AtlassianJiraServerJiraDataCenter存在服务端模板注入漏洞,乐成利用此漏洞的攻击者可在运行受影响版本的JiraServerJiraDataCenter系统上执行任意命令。目前PoC已放出,建议受影响的客户尽快升级或接纳临时缓解措施。第一种情况,Jira服务端已配置好SMTP服务器,且联系管理员表单功效已开启(默认配置不开启);第二种情况,Jira服务端已配置好SMTP服务器,且攻击者具有"JIRA管理员"的访问权限。在第一种情况下,联系管理员表单功效开启的情况下,攻击者可以未经任何认证,通过向/secure/ContactAdministrators."font-family:MS Mincho">提倡请求利用此漏洞。在第二种情况下,攻击者具有"JIRA管理员"的访问权限下可通过/secure/admin/SendBulkMail!default."font-family:MS Mincho">利用此漏洞。影响版本4.4.x5.x.x6.x.x7.0.x7.1.x7.2.x7.3.x7.4.x7.5.x7.6.x<7.6.147.7.x7.8.x7.9.x7.10.x7.11.x7.12.x7.13.x<7.13.58.0.x<8.0.38.1.x<8.1.28.2.x<8.2.3修复版本7.6.147.13.58.0.38.1.28.2.3攻击乐成,可远程执行任意代码。

更新时间:

20220712


事件名称:

HTTP_木马后门_PowershellEmpire_连接

宁静类型:

木马后门

事件描述:

检测到Empire的后门�?槭酝剂釉冻谭衿�。源IP所在的主机可能被植入了Empire的后门�?�。Empire是一款类似Metasploit的渗透测试框架,使用PowerShell脚本作为攻击载荷�?梢钥焖僭诤笃诓渴鹇┒蠢媚?�,内置�?橛屑碳锹肌�Mimikatz、绕过UAC、内网扫描等。其内置了基于PowerShell的后门�?�,功效类似于Meterpreter。远程控制被植入机器。

更新时间:

20220712

 


事件名称:

HTTP_提权攻击_浪潮ClusterEngineV4.0_sysShell_命令执行

宁静类型:

宁静漏洞

事件描述:

检测到源ip正在向目的ip上的浪潮ClusterEngineV4.0发送特殊的请求从而获取服务器权限。浪潮InspurClusterEngine是中国浪潮公司的一个应用软件。提供管理集群系统中软硬件提交的作业。

更新时间:

20220712


事件名称:

TCP_挖矿木马_BitCoinMiner_GetBlockTemplate协议_实验连接矿池_获取区块模板(BTC)

宁静类型:

蠕虫病毒

事件描述:

检测到木马试图连接矿池获取区块模板。源IP所在的主机可能被植入了BitCoinMiner木马。Getblocktemplate协议是新的疏散式的比特币挖矿协议,于2012年中旬在比特币社区开放自主研发,它取代了老的getwork挖矿协议。该事件表明矿工正在实验连接矿池并请求初始模板。挖矿法式会占用CPU资源,可能导致受害主机变慢。占用用户资源进行挖矿。

更新时间:

20220712


事件名称:

TCP_挖矿木马_BitCoinMiner_GetBlockTemplate协议_连接矿池乐成_返回区块模板(BTC)

宁静类型:

蠕虫病毒

事件描述:

检测到挖矿木马连接矿池乐成的行为。源IP所在的主机可能被植入了BitCoinMiner木马。GetBlockTemplate协议是新的疏散式的比特币挖矿协议,于2012年中旬在比特币社区开放自主研发,它取代了老的getwork挖矿协议。该事件表明矿工正在连接矿池乐成并返回区块模板。挖矿法式会占用CPU资源,可能导致受害主机变慢。占用用户资源进行挖矿。

更新时间:

20220712


事件名称:

TCP_提权攻击_Spring_Cloud_Function_SpEL_表达式注入_代码执行

宁静类型:

宁静漏洞

事件描述:

SpringCloudFunction是来自PivotalSpring团队的新项目,它致力于促进函数作为主要的开发单元。该项目提供了一个通用的模型,用于在种种平台上部署基于函数的软件,包罗像AmazonAWSLambda这样的FaaS(函数即服务,functionasaservice)平台。由于SpringCloudFunction未对HTTP请求头部数据进行有效的验证,攻击者可利用该漏洞在未授权的情况下,结构恶意数据进行远程代码执行漏洞攻击,最终获取服务器最高权限。

更新时间:

20220712


事件名称:

TCP_挖矿木马_BitCoinMiner_GetBlockTemplate协议_实验连接矿池_请求更改模板(BTC)

宁静类型:

蠕虫病毒

事件描述:

检测到木马试图连接远程矿池服务器请求更改为新模板。源IP所在的主机可能被植入了BitCoinMiner木马。Getblocktemplate协议是新的疏散式的比特币挖矿协议,于2012年中旬在比特币社区开放自主研发,它取代了老的getwork挖矿协议。该事件表明矿工正在实验连接矿池并请求初始模板。挖矿法式会占用CPU资源,可能导致受害主机变慢。占用用户资源进行挖矿。

更新时间:

20220712


事件名称:

TCP_挖矿木马_BitCoinMiner_GetBlockTemplate协议_挖矿乐成_提交区块(BTC)

宁静类型:

蠕虫病毒

事件描述:

检测到矿工找到切合要求难度的事情时,向矿池服务器提交shares。源IP所在的主机可能被植入了BitCoinMiner木马。Getblocktemplate协议是新的疏散式的比特币挖矿协议,于2012年中旬在比特币社区开放自主研发,它取代了老的getwork挖矿协议。挖矿法式会占用CPU资源,可能导致受害主机变慢。占用用户资源进行挖矿。

更新时间:

20220712


事件名称:

TCP_僵尸网络_Fbot_连接

宁静类型:

木马后门

事件描述:

检测到Fbot试图连接C&C服务器。源IP主机可能被植入了僵尸网络Fbot。Fbot是僵尸网络Mirai的一个重要变种,一直很活跃。主要功效是对指定目标提倡DDoS攻击,通过种种漏洞流传自身。

更新时间:

20220712


事件名称:

TCP_挖矿木马_CortexMiner_实验连接矿池(CTXC)

宁静类型:

蠕虫病毒

事件描述:

检测到木马试图连接远程服务器。源IP所在的主机可能被植入了CortexMiner挖矿木马。CortexMiner是一款挖矿恶意法式,挖矿法式会占用CPU资源,可能导致受害主机变慢。CTXC币英文全称cortex,CTXC的目标是打造一个真正去中心化人工智能自治系统,在区块链上提供最先进的机器学习模型,用户可以使用cortex区块链上的智能合约来推断该模型。cortex的目标之一还包罗实现一个机器学习平台,允许用户在平台上宣布任务,提交aidapps。

更新时间:

20220712


事件名称:

TCP_挖矿木马_CortexMiner_获取挖矿任务(CTXC)

宁静类型:

蠕虫病毒

事件描述:

检测到挖矿木马获取挖矿任务的行为。源IP所在的主机可能被植入了CortexMiner挖矿木马。CortexMiner是一款挖矿恶意法式,挖矿法式会占用CPU资源,可能导致受害主机变慢。CTXC币英文全称cortex,CTXC的目标是打造一个真正去中心化人工智能自治系统,在区块链上提供最先进的机器学习模型,用户可以使用cortex区块链上的智能合约来推断该模型。cortex的目标之一还包罗实现一个机器学习平台,允许用户在平台上宣布任务,提交aidapps。

更新时间:

20220712


事件名称:

TCP_挖矿木马_CortexMiner_挖矿乐成(CTXC)

宁静类型:

蠕虫病毒

事件描述:

检测到挖矿木马挖矿乐成的行为,即矿机向矿池提交挖矿结果。源IP所在的主机可能被植入了CortexMiner挖矿木马。CortexMiner是一款挖矿恶意法式,挖矿法式会占用CPU资源,可能导致受害主机变慢。CTXC币英文全称cortex,CTXC的目标是打造一个真正去中心化人工智能自治系统,在区块链上提供最先进的机器学习模型,用户可以使用cortex区块链上的智能合约来推断该模型。cortex的目标之一还包罗实现一个机器学习平台,允许用户在平台上宣布任务,提交aidapps。

更新时间:

20220712


事件名称:

TCP_挖矿木马_CortexMiner_连接矿池乐成(CTXC)

宁静类型:

蠕虫病毒

事件描述:

检测到挖矿木马连接矿池乐成的行为。源IP所在的主机可能被植入了CortexMiner挖矿木马。CortexMiner是一款挖矿恶意法式,挖矿法式会占用CPU资源,可能导致受害主机变慢。CTXC币英文全称cortex,CTXC的目标是打造一个真正去中心化人工智能自治系统,在区块链上提供最先进的机器学习模型,用户可以使用cortex区块链上的智能合约来推断该模型。cortex的目标之一还包罗实现一个机器学习平台,允许用户在平台上宣布任务,提交aidapps。

更新时间:

20220712


事件名称:

TCP_挖矿木马_CPUMiner_挖矿控制命令通信_矿机支持Mining.set_extranonce要领(BTC/LTC)

宁静类型:

蠕虫病毒

事件描述:

检测到矿机向矿池表明支持Mining.set_extranonce要领。源IP所在的主机可能被植入了CPUMiner挖矿木马。CPUMiner是一款挖矿恶意法式,挖矿法式会占用CPU资源,可能导致受害主机变慢。

更新时间:

20220712


事件名称:

TCP_挖矿木马_CPUMiner_挖矿控制命令通信_矿池更新Extranonce(BTC/LTC)

宁静类型:

蠕虫病毒

事件描述:

检测到矿池通过mining.set_extranonce要领更新矿机的Extranonce。源IP所在的主机可能被植入了CPUMiner挖矿木马。CPUMiner是一款挖矿恶意法式,挖矿法式会占用CPU资源,可能导致受害主机变慢。

更新时间:

20220712


事件名称:

TCP_提权攻击_Click1_Java反序列化利用链_代码执行

宁静类型:

宁静漏洞

事件描述:

检测到源IP主机正在利用Click1Java反序列化利用链对目的主机进行攻击的行为。若访问的应用存在漏洞JAVA反序列化漏洞且使用了click-nodeps:2.3.0,攻击者可以发送精心结构的Java序列化工具,远程执行任意代码或命令。远程执行任意代码,获取系统控制权。

更新时间:

20220712


事件名称:

HTTP_提权攻击_Spring_Boot_jolokia_logback_远程代码执行

宁静类型:

宁静漏洞

事件描述:

检测到源ip正在利用Actuator/jolokia接口调用ch.qos.logback.classic.jmx.JMXConfigurator类的reloadByURL要领设置外部日志配置url地址。SpringBootActuator是一款可以资助你监控系统数据的框架,其可以监控很多很多的系统数据,它有对应用系统的自省和监控的集乐成能,可以检察应用配置的详细信息。Jolokia允许通过HTTP访问所有已注册的MBean,同时可以使用URL列出所有可用的MBeans操作。

更新时间:

20220712


事件名称:

HTTP_提权攻击_Spring_Boot_Actuator_mysqljdbc_远程代码执行

宁静类型:

宁静漏洞

事件描述:

检测到源ip正在利用Actuator/env接口设置属性将spring.datasource.url设置为外部恶意mysqljdbcurl地址。SpringBootActuator是一款可以资助你监控系统数据的框架,其可以监控很多很多的系统数据,它有对应用系统的自省和监控的集乐成能,可以检察应用配置的详细信息。

更新时间:

20220712


事件名称:

HTTP_提权攻击_H3C_IMC_命令注入

宁静类型:

宁静漏洞

事件描述:

检测到源IP正在利用H3C的漏洞进行恶意命令注入。H3CIMCIntlligentManagementCenter)智能管理中心是H3C推出的下一代业务只能管理产物。它融合了当前多个产物,以统一风格提供与网络相关的种种管理、控制、监控等功效;同时以开放的组件化的架构原型,向平台及其承载业务提供漫衍式、分级式交互管理特性;并未业务软件的下一代产物提供最可靠的、可扩展、高性能的业务平台。

更新时间:

20220712


事件名称:

TCP_其它可疑行为_ScriptEngineManager加载JS代码行为

宁静类型:

可疑行为

事件描述:

JAVA中,javax.script.ScriptEngineManager可用来执行js代码,攻击者可利用此类执行恶意js代码,从而控制目的IP设备权限

更新时间:

20220712


事件名称:

TCP_僵尸网络_Boat_连接

宁静类型:

其他事件

事件描述:

Boat是一个融合了开源僵尸网络DDoS攻击源代码的新僵尸网络家族,但和C2的通信协议及交互逻辑是全新,完全差异于之前主流的僵尸网络。目前,Boatx86x64armmips平台版本,主要功效包罗信息搜集、DDoS攻击、弱口令扫描、自删除等。

更新时间:

20220712


事件名称:

TCP_其它可疑行为_写入jar文件

宁静类型:

可疑行为

事件描述:

JAVA中,java.io.FileOutputStream可以用来文件写入,攻击者可利用该类写入恶意jar包,配合其它漏洞及手法从而获取目的IP设备权限。

更新时间:

20220712


事件名称:

HTTP_提权攻击_Microsoft_Exchange_Server_未授权访问[CVE-2020-0692][CNNVD-202002-555]

宁静类型:

宁静漏洞

事件描述:

MicrosoftExchangeServer是个消息与协作系统。MicrosoftExchangeServer中存在特权提升漏洞。乐成利用此漏洞的攻击者可以获得与ExchangeServer的其他任何用户相同的权限。这可能允许攻击者执行诸如访问其他用户邮箱之类的活动。

更新时间:

20220712


事件名称:

HTTP_文件操作攻击_中科网威_NPFW防火墙_CommandsPolling.php_文件读取

宁静类型:

宁静漏洞

事件描述:

中科网威NPFW防火墙存在任意文件读取漏洞,由于代码过滤不足,可读取服务器任意文件。

更新时间:

20220712


事件名称:

HTTP_提权攻击_D-Link_DIR-645_service.cgi_远程命令执行

宁静类型:

宁静漏洞

事件描述:

D-LinkDIR-645固件版本小于即是1.03版本存在一个远程命令执行漏洞,该漏洞形成的原因是由于service.cgi在处置HTTP请求中的数据不妥,形成命令拼接,导致可执行任意命令。

更新时间:

20220712


事件名称:

TCP_信息泄露_ASUSWRT_RT-AC53会话泄露_攻击实验[CVE-2017-6549][CNNVD-201703-321]

宁静类型:

CGI攻击

事件描述:

检测到源ip正在向Cookie中发送cgi_logout,来窃取ASUSWRT_RT-AC53设备中的任何活动的管理会话。

更新时间:

20220712


事件名称:

HTTP_提权攻击_金山V8终端宁静系统_pdf_maker.php_命令执行

宁静类型:

宁静漏洞

事件描述:

金山V8终端宁静系统pdfmaker.php存在命令执行漏洞,由于没有过滤危险字符,导致结构特殊字符即可进行命令拼接执行任意命令。

更新时间:

20220712


事件名称:

HTTP_宁静漏洞_BSPHP_未授权访问

宁静类型:

CGI攻击

事件描述:

BSPHP存在未授权访问漏洞,攻击者可未授权访问相关接口,获取用户名和登陆ip等敏感信息。

更新时间:

20220712


事件名称:

HTTP_提权攻击_Nodejs_Squirrelly组件_代码执行[CVE-2021-32819]

宁静类型:

宁静漏洞

事件描述:

该漏洞位于SquirrellyExpress模板引擎组件中,Squirrelly通过Express渲染API将纯模板数据与引擎配置选项混合。漏洞形成原因在于攻击者设置defaultFilter的参数值笼罩原生配置属性的值。攻击者可以在defaultFilter值中注入恶意内容,从而执行恶意代码。

更新时间:

20220712


事件名称:

HTTP_提权攻击_佑友防火墙后台index.php_命令执行

宁静类型:

宁静漏洞

事件描述:

佑友防火墙后台维护工具存在命令执行漏洞,由于没有过滤危险字符,导致远程攻击者可以执行任意命令。

更新时间:

20220712


事件名称:

TCP_提权攻击_Myfaces2_Java反序列化利用链_代码执行

宁静类型:

宁静漏洞

事件描述:

检测到源IP主机正在利用Myfaces2Java反序列化利用链对目的主机进行攻击的行为。攻击者可以发送精心结构的Java序列化工具,远程执行任意代码或命令。远程执行任意代码,获取系统控制权。

更新时间:

20220712


事件名称:

TCP_提权攻击_JBossInterceptors1_Java反序列化利用链_代码执行

宁静类型:

宁静漏洞

事件描述:

检测到源IP主机正在利用JBossInterceptors1Java反序列化利用链对目的主机进行攻击的行为。若访问的应用存在漏洞JAVA反序列化漏洞且使用了javassist:3.12.1.GA,jboss-interceptor-core:2.0.0.Final,cdi-api:1.0-SP1,javax.interceptor-api:3.1,jboss-interceptor-spi:2.0.0.Final,slf4j-api:1.7.21,攻击者可以发送精心结构的Java序列化工具,远程执行任意代码或命令。远程执行任意代码,获取系统控制权。

更新时间:

20220712


事件名称:

HTTP_提权攻击_Pi-hole_命令执行[CVE-2020-8816][CNNVD-202003-1972]

宁静类型:

宁静漏洞

事件描述:

Pi-hole是一个用于内容过滤的DNS服务器,v4.3.2及其之前的版本存在命令执行漏洞,在攻击者登录后可以执行任意命令。

更新时间:

20220712


事件名称:

HTTP_提权攻击_js-yaml_远程代码执行[CVE-2013-4660]

宁静类型:

宁静漏洞

事件描述:

js-yamlYAML1.2JavaScript解析器和串联器。Node.jsjs-yaml�?�2.0.5之前版本在解析输入时,没有考虑不宁静的!!js/function旗标,可使远程攻击者通过特制的字符串触发eval操作,执行任意代码。

更新时间:

20220712


事件名称:

TCP_提权攻击_PostgreSQL-JDBC-Driver_远程代码执行[CVE-2022-21724]

宁静类型:

宁静漏洞

事件描述:

PostgreSQL-JDBC-Driver9.4.1208-42.3.2版本会实例化jdbcurl中指定的类,当攻击者控制jdbcurl或属性时能够造成远程代码执行

更新时间:

20220712


事件名称:

TCP_提权攻击_CommonsBeanutils1/2/183NOCC_Java反序列化利用链_代码执行

宁静类型:

宁静漏洞

事件描述:

检测到源IP主机正在利用CommonsBeanutils1183NOCCJava反序列化利用链对目的主机进行攻击的行为。若访问的应用存在漏洞JAVA反序列化漏洞且使用了commons-beanutils:1.8.3,攻击者可以发送精心结构的Java序列化工具,远程执行任意代码或命令,获取系统控制权。

更新时间:

20220712


事件名称:

TCP_提权攻击_CommonsBeanutils3/3183_Java反序列化利用链_代码执行

宁静类型:

宁静漏洞

事件描述:

检测到源IP主机正在利用CommonsBeanutils3Java反序列化利用链对目的主机进行攻击的行为。若访问的应用存在漏洞JAVA反序列化漏洞且使用了commons-beanutils:1.9.2,commons-collections:3.1,攻击者可以发送精心结构的Java序列化工具,远程执行任意代码或命令。远程执行任意代码,获取系统控制权。

更新时间:

20220712


事件名称:

TCP_提权攻击_JRMPClient_Obj_Java反序列化利用链_代码执行

宁静类型:

宁静漏洞

事件描述:

检测到源IP主机正在利用JRMPClient_ObjJava反序列化利用链对目的主机进行攻击的行为。攻击者可以发送精心结构的Java序列化工具,远程执行任意代码或命令。远程执行任意代码,获取系统控制权。

更新时间:

20220712


事件名称:

TCP_提权攻击_Redis_命令执行[CNVD-2019-21763]

宁静类型:

宁静漏洞

事件描述:

Redis被爆出Redis4.x/5.x版本存在主从同步命令执行漏洞,攻击者通过结构特定的请求实现漏洞利用,乐成利用漏洞可在目标服务器上实现Getshell。

更新时间:

20220712


事件名称:

HTTP_木马后门_MSIL.Raudotek_连接

宁静类型:

木马后门

事件描述:

检测到下载者木马Raudotek试图连接远程服务器,源IP所在的主机可能被植入了Raudotek。Raudotek是基于CSharp的下载者木马,主要功效是下载其它恶意软件。

更新时间:

20220712


事件名称:

HTTP_提权攻击_PlaySMS_远程代码执行[CVE-2020-8644][CNNVD-202002-145]

宁静类型:

宁静漏洞

事件描述:

PlaySms是一个灵活的基于Web的短信平台,1.4.3前的版本存在模板注入漏洞,攻击者能够在未登录时执行任意代码

更新时间:

20220712


事件名称:

HTTP_注入攻击_Zoho_ManageEngine_ADAudit_Plus_XXE注入[CVE-2022-28219][CNNVD-202204-2014]

宁静类型:

注入攻击

事件描述:

检测到源ip正在向目的ip上的Zoho_ManageEngine_ADAudit_Plus进行XML外部实体(XXE)注入,进而执行代码。ZohoManageEngineAdauditPlus是美国ZohoCorporation公司的用于简化审计、证明合规性和检测威胁。

更新时间:

20220712


事件名称:

UDP_提权攻击_Nginx_DNS_Resolver_代码执行[CVE-2021-23017]

宁静类型:

宁静漏洞

事件描述:

检测到源ip正在通过目的主机上的Nginx_DNS_Resolver漏洞,伪造来自DNS服务器的UDP数据包,结构DNS响应造成1-byte内存笼罩,从而导致拒绝服务或任意代码执行。Nginx是一个高性能的HTTP和反向署理web服务器,同时也提供了IMAP/POP3/SMTP服务,由于其具有许多优越的特性,导致在全球范围内被广泛使用。

更新时间:

20220712


事件名称:

HTTP_设置缺陷_深信服_SSLVPN_changetelnum.csp_任意账户绑定手机号修改

宁静类型:

宁静漏洞

事件描述:

深信服SSLVPNchangetelnum.csp存在逻辑越权漏洞,攻击者登录乐成后可修改任意用户绑定的手机号码。

更新时间:

20220712


事件名称:

HTTP_提权攻击_Citrix_任意代码执行[CVE-2020-8194][CNNVD-202007-364]

宁静类型:

宁静漏洞

事件描述:

CitrixADCCitrixNetScalerGateway存在一个代码注入漏洞。未经身份验证的远程攻击者可以利用它来创建恶意文件,如果该恶意文件由管理网络上的受害者执行,则可以允许攻击者在该用户的上下文中执行任意代码。

更新时间:

20220712


事件名称:

HTTP_提权攻击_Zabbix_5.0.17_items.php_远程代码执行

宁静类型:

宁静漏洞

事件描述:

Zabbix是一个开源软件工具,用于监控网络、服务器、虚拟机和云服务等IT基础设施,其5.0.17版本存在远程代码执行漏洞,攻击者可利用该漏洞获取目的IP设备权限。

更新时间:

20220712


事件名称:

HTTP_文件操作攻击_GilaCMS_文件包罗[CVE-2019-16679][CNNVD-201909-1026]

宁静类型:

宁静漏洞

事件描述:

GilaCMS0.1-1.10.9版本存在文件包罗漏洞,攻击者在登陆后可以利用该漏洞读取任意文件或包罗上传的webshell文件。

更新时间:

20220712

 

修改事件

 

事件名称:

HTTP_木马后门_PoshC2_连接C2服务器_乐成

宁静类型:

木马后门

事件描述:

检测到由黑客工具PoshC2生成的后门Implant试图连接远程服务器,IP所在的主机可能被植入了PoshC2.Implant。PoshC2.Implant执行后攻击者可利用PoshC2完全控制受害机器,并进行横向移动。PoshC2是一个使用Python3编写的后渗透署理C2框架,遵循�?榛袷�,用户可以添加自己的�?楣ぞ�,从而保证灵活的可扩展性。PoshC2拥有多种编译语言的有效载荷,如:PowershellC#C++Python等,同时提供相关载荷的源代码、种种可执行文件、Dll和原始Shell代码,这些使PoshC2能够应用于广泛的操作系统设备上,包罗Windows*nixOSX

更新时间:

20220712


事件名称:

HTTP_木马后门_PoshC2_连接C2服务器2_乐成

宁静类型:

木马后门

事件描述:

检测到由黑客工具PoshC2生成的后门Implant试图连接远程服务器,IP所在的主机可能被植入了PoshC2.Implant。PoshC2.Implant执行后攻击者可利用PoshC2完全控制受害机器,并进行横向移动。PoshC2是一个使用Python3编写的后渗透署理C2框架,遵循�?榛袷�,用户可以添加自己的�?楣ぞ�,从而保证灵活的可扩展性。PoshC2拥有多种编译语言的有效载荷,如:PowershellC#C++Python等,同时提供相关载荷的源代码、种种可执行文件、Dll和原始Shell代码,这些使PoshC2能够应用于广泛的操作系统设备上,包罗Windows*nixOSX

更新时间:

20220712


事件名称:

HTTP_木马后门_PoshC2_连接C2服务器3_乐成

宁静类型:

木马后门

事件描述:

检测到由黑客工具PoshC2生成的后门Implant试图连接远程服务器,IP所在的主机可能被植入了PoshC2.Implant。PoshC2.Implant执行后攻击者可利用PoshC2完全控制受害机器,并进行横向移动。PoshC2是一个使用Python3编写的后渗透署理C2框架,遵循�?榛袷�,用户可以添加自己的�?楣ぞ�,从而保证灵活的可扩展性。PoshC2拥有多种编译语言的有效载荷,如:PowershellC#C++Python等,同时提供相关载荷的源代码、种种可执行文件、Dll和原始Shell代码,这些使PoshC2能够应用于广泛的操作系统设备上,包罗Windows*nixOSX

更新时间:

20220712

 

事件名称:

TCP_提权攻击_Spring-Data-REST-PATCH请求_远程代码执行[CVE-2017-8046][CNNVD-201704-1106]

宁静类型:

宁静漏洞

事件描述:

该漏洞为攻击者通过SpringDataRest支持的PATCH要领,结构恶意的Json格式数据发送到服务端,导致服务端在解析数据时会执行任意Java代码、解析SpEL表达式,从而实现远程任意代码执行。

更新时间:

20220712


事件名称:

HTTP_提权攻击_XStream_代码执行[CVE-2021-21351][CNNVD-202103-1234]

宁静类型:

宁静漏洞

事件描述:

XStream是一个Java库,用于将工具序列化为XML并再次返回。解组时处置的流包罗类型信息以重新创建以前编写的工具。XStream因此基于这些类型信息创建新实例。攻击者可以利用处置过的输入流并替换或注入工具,从而执行从远程服务器加载的任意代码。

更新时间:

20220712


事件名称:

TCP_木马后门_PoisonIvy_shellcode_连接

宁静类型:

木马后门

事件描述:

检测源IP主机正在下载PoisonIvyshellcode载荷。源IP所在的主机可能被植入了PoisonIvy。PoisonIvy是一个非常流行的远程控制工具,允许攻击者完全控制被植入机器。PoisonIvy可以生成shellcode载荷,即把所有恶意代码放在shellcode里。

更新时间:

20220712