新增事件


事件名称:

HTTP_后门_APT组织_MuddyWater_远程服务器连接

事件级别:

高级事件

安全类型:

木马后门

事件描述:

检测到木马后门试图连接远程服务器。源IP所在的主机可能被植入了MuddyWater组织利用的后门。

MuddyWater是一个主要针对伊拉克和沙特阿拉伯的政府机构的APT组织,该APT组织背后的团队同样针对中东欧洲和美国等其他国家。其主要利用Powershell进行他们的恶意行为,在一系列行动中衍生出了他们的专有木马POWERSTATS。该组织的攻击目标主要集中在政府,通信与石油领域,该组织疑似来自于伊朗。该事件表明MuddyWater组织利用后门与远程服务器连接并接收命令执行。

更新时间:

20190522

默认动作:

丢弃

 

事件名称:

HTTP_木马_KPot.Stealer_连接

事件级别:

中级事件

安全类型:

木马后门

事件描述:

检测到木马试图连接远程服务器。源IP所在的主机可能被植入了KPot

KPot是一个窃密木马,可以窃取主流浏览器、SkypeSteamFTP等客户端保存的账号密码。

更新时间:

20190522

默认动作:

丢弃

 

事件名称:

HTTP_Jenkins_GitLab插件信息泄露漏洞[CVE-2019-10300]

事件级别:

中级事件

安全类型:

安全漏洞

事件描述:

检测到源IP正在利用GitLab插件信息泄露的漏洞进行攻击的行为。

更新时间:

20190522

默认动作:

丢弃

 

事件名称:

HTTP_Jenkins_ScriptSecurityPlugin远程代码执行漏洞[CVE-2019-1003005]

事件级别:

高级事件

安全类型:

安全漏洞

事件描述:

检测到源IP主机正在利用HTTP_Jenkins_ScriptSecurityPlugin远程代码执行漏洞攻击目的IP主机的行为

更新时间:

20190522

默认动作:

丢弃

 

事件名称:

TCP_SpringDataCommon_SPEL_远程代码执行漏洞[CVE-2018-1273]

事件级别:

中级事件

安全类型:

安全漏洞

事件描述:

检测到源IP主机正在利用TCP_SpringDataCommon_SPEL_远程代码执行漏洞攻击目的IP主机的行为

更新时间:

20190522

默认动作:

丢弃

 

事件名称:

HTTP_NUUO_NVRMini2远程命令执行漏洞[CVE-2018-14933]

事件级别:

中级事件

安全类型:

注入攻击

事件描述:

检测到源IP主机正在利用HTTP_NUUO_NVRMini2远程命令执行漏洞攻击目的IP主机的行为

更新时间:

20190522

默认动作:

丢弃

 

事件名称:

HTTP_NUUO_NVRMini2远程命令执行漏洞[CVE-2018-15716]

事件级别:

中级事件

安全类型:

注入攻击

事件描述:

检测到源IP主机正在利用HTTP_NUUO_NVRMini2远程命令执行漏洞攻击目的IP主机的行为

更新时间:

20190522

默认动作:

丢弃

 

事件名称:

TCP_SpringOAuth2_SPEL_远程代码执行漏洞[CVE-2018-1260]

事件级别:

中级事件

安全类型:

安全漏洞

事件描述:

检测到源IP主机正在利用TCP_SpringOAuth2_SPEL_远程代码执行漏洞攻击目的IP主机的行为

更新时间:

20190522

默认动作:

丢弃

 

事件名称:

HTTP_安全漏洞_Spring_Cloud_Config_Server路径穿越与任意文件读取漏洞[CVE-2019-3799]

事件级别:

中级事件

安全类型:

安全漏洞

事件描述:

检测到Spring Cloud Config Server路径穿越与任意文件读取漏洞。

Pivotal Software Spring Cloud Config是美国Pivotal Software公司的一套分布式系统的配置管理解决方案。该产品主要为分布式系统中的外部配置提供服务器和客户端支持。 Spring Cloud Config中存在目录遍历漏洞,该漏洞源于网络系统或产品未能正确地过滤资源或文件路径中的特殊元素。攻击者可利用该漏洞访问受限目录之外的敏感文件,造成敏感信息泄露。

更新时间:

20190522

默认动作:

丢弃

 

事件名称:

HTTP_安全漏洞_Ruby_on_Rails路径穿越与任意文件读取漏洞[CVE-2019-5418]

事件级别:

中级事件

安全类型:

安全漏洞

事件描述:

Ruby on Rails是一个 Web 应用程序框架,是一个相对较新的 Web 应用程序框架,构建在 Ruby 语言之上。

该漏洞是Action View中存在安全漏洞。由于网站使用了为指定参数的render file来渲染应用之外的视图,通过“../../../../”来达到路径穿越的目的,且通过“{{”来进行模板查询路径的闭合,使得所要访问的文件被当做外部模板来解析。攻击者可利用该漏洞泄露文件内容。

更新时间:

20190522

默认动作:

丢弃

 

事件名称:

HTTP_安全漏洞_Ruby_On_Rails路径穿越漏洞[CVE-2018-3760]

事件级别:

中级事件

安全类型:

安全漏洞

事件描述:

Sprockets是软件开发者Sam StephensonJoshua Peek共同研发的一个Ruby库,它主要用于检查JavaScript文件的相互依赖关系,以及优化网页中引入的JS文件,可避免加载不必要的JS文件,加快网页访问速度。

Sprockets 4.0.0.beta7及之前版本、3.7.1及之前版本和2.12.4及之前版本中存在信息泄露漏洞。攻击者可通过发送特制的请求利用该漏洞访问文件系统上的应用程序root目录之外的文件。

更新时间:

20190522

默认动作:

丢弃

 

事件名称:

HTTP_安全漏洞_ZTE_ZXV10_H108L_Router_远程命令执行漏洞

事件级别:

中级事件

安全类型:

安全漏洞

事件描述:

ZTE ZXV10 H108L Router是中国中兴通讯(ZTE)公司的一款无线路由器产品。使用WIND Hellas版本固件的ZXV10 H108L路由器中存在系统命令注入漏洞,远程攻击者可以使用root权限执行系统命令。

更新时间:

20190522

默认动作:

丢弃

 

事件名称:

TCP_微软远程桌面服务远程代码执行漏洞[CVE-2019-0708]

事件级别:

中级事件

安全类型:

缓冲溢出

事件描述:

检测到源IP主机正在利用TCP_RDP远程代码溢出漏洞攻击目的IP主机的行为

更新时间:

20190522

默认动作:

通过

 

修改事件