2020-06-30

宣布时间 2020-06-30

新增事务


事务名称:

HTTP_注入攻击_Apache_SkyWalking_GraphQL接口_SQL注入误差[CVE-2020-9483]

清静类型:

注入攻击

事务形貌:

检测到源IP主机正在试图通过Apache_SkyWalking GraphQL接口的SQL注入误差攻击目的IP主机的行为。。。。

Apache SkyWalking是一款应用性能监控(APM)工具,,,对微效劳、云原生和容器化应用提供自动化、高性能的监控计划。。。。其官方网站显示,,,大宗的海内互联网、银行、民航等领域的公司在使用此工具。。。。远程攻击者可以通过Apache SkyWalking默认开放的未授权GraphQL接口结构恶意请求包举行注入,,,乐成使用此误差可造成敏感数据走漏。。。。

更新时间:

20200630














事务名称:

TCP_清静误差_ApacheSolr_远程代码执行误差[CVE-2019-12409]

清静类型:

清静误差

事务形貌:

检测到源IP主机正在使用Apache_Solr_远程代码执行误差攻击目的IP主机的行为,,,通过Mlet加载一个远端恶意MBeans,,,来实现恣意代码的执行。。。。SolrApache的顶级开源项目,,,该项目是使用Java开发的基于lucene的全文本搜索效劳器。。。。由于默认设置文件solr.in.sh中的ENABLE_REMOTE_JMX_OPTS设置不当,,,会启用JMX监视并将其袒露在RMI_PORT上(默认值= 18983)。。。。攻击者无需举行任何身份验证,,,就能够会见JMX,,,并且可以上传恶意代码在Solr效劳器上执行。。。。

更新时间:

20200630












事务名称:

DNS_后门_CobaltStrike_DnsBeacon_毗连

清静类型:

木马后门

事务形貌:

检测到Cobalt Strikedns beacon试图毗连远程效劳器。。。。源IP所在的主机可能被植入了dns beacon。。。。

Cobalt Strike是著名的渗透测试工具,,,它有一个dns beacon后门,,,支持通过dns协议传输数据。。。。

更新时间:

20200630










事务名称:

TCP_清静误差_Microsoft_SMBv1_远程代码执行误差[CVE-2020-1301]

清静类型:

缓冲溢出

事务形貌:

检测到源IP主机可能正在对目的主机举行CVE-2020-1301误差使用的行为。。。。

更新时间:

20200630







事务名称:

TCP_后门_Gh0st.B3165_毗连

清静类型:

木马后门

事务形貌:

检测到后门试图毗连远程效劳器。。。。源IP所在的主机可能被植入了Gh0st.B3165。。。。

Gh0st.B3165是使用一个凭证Gh0st远控的源码修改而来的后门。。。。运行后可完全控制被植入机械。。。。

更新时间:

20200630










修改事务


事务名称:

HTTP_类菜刀流量_响应

清静类型:

木马后门

事务形貌:

中国菜刀是中国黑客圈内使用很是普遍的一款Webshell治理工具。。。。中国菜刀用途十分普遍,支持多种语言,小巧适用,,,具有文件治理(有足够的权限时间可以治理整个磁盘/文件系统),,,数据库治理,,,虚拟终端等功效。。。。关于这类治理工具,,,若是没有大宗的修改效劳端剧本代码,,,其返回流量都会有一些常见的特征,,,本条规则将常见的配合特征提取出来举行防御性报警。。。。由于此事务为较为宽泛的通用特征,,,可能保存误报,,,请参考特征性子判断字段举行判断。。。。

更新时间:

20200630












事务名称:

TCP_通用_Java反序列化_ysoserial恶意数据使用

清静类型:

清静误差

事务形貌:

检测到源IP主机正在通过TCP发送ysoserial天生的恶意JAVA反序列化数据对目的主机举行攻击。。。。

若会见的应用保存误差JAVA反序列化误差,,,攻击者可以发送全心结构的Java序列化工具,,,远程执行恣意代码或下令。。。。

更新时间:

20200630