升级包下载:Data_005_2023.06.09.012240.zip
【增加规则库详情】
一、优化以下安全事件名称
Win32/Viking.GN ICMP请求响应
恶意软件pdfspeedup保活
恶意软件pdfspeedup初始CnC登录
外部IP域名查找
用户代理中检测到Ares加载器
发现可疑SSL证书木马
游戏多游戏作弊应用相关活动
Apache混淆log4j RCE尝试漏洞(CVE-2021-44228)
WEB_SERVER IIS 8.3带通配符的文件名(可能的文件/目录暴力)
DNS查询是否匹配Cerber域格式
ReverseRAT活动(POST)
木马Win32 /Delf.NBX CnC响应
恶意软件Win32/FlyStudio活动
木马Qbotl负载请求
Http客户端正文中明文包含upin=
可疑木马用户代理(Mozilla/3.0(兼容))
Brontok User-Agent检测到木马A3浏览器)
木马Win32/Sality.AM GET请求
恶意软件观察到DNS查询到PUP域(omnatuor .com)
HTTP P2P种子下载
AndroidOS.Bookoloid地理位置/设备信息导出
IPFS文件请求
TerraMaster TOS信息泄露漏洞(CVE-2022-24990)
Sophos防火墙认证绕过漏洞(CVE-2022-1040)
发现木马WannaCry域名
Tilde的URL存在潜在的aspx泄露漏洞
检测到恶意用户代理
利用FatPipe无限制文件上传
利用VMWare服务器端模板注入RCE
木马网络支持RAT数控活动
漏洞:Zabbix v5.4.0 - 5.4.8 SSO/SALM Auth Bypass
可能是Zeus GameOver/FluBot相关的DGA NXDOMAIN响应
Trojan.Android.Apptrack.flinok CnC信标
Interactsh 控制面板
ManageEngine ADAudit Plus XXE注入 (CVE-2022-28219)
TOTOLINK Realtek SDK RCE (CVE-2019-19824) RCE攻击
VMware vCenter SSRF攻击
Brute Ratel仿冒用户代理
检测到Uclient用户代理
Apache APISIX管理API认证绕过
可能的vRealize操作管理器API SSRF尝试
请求恶意.dat文件
可能的Zimbra自动发现Servlet XXE
可能的ELEFANTE/ElephantBeetle WebShell访问
RiskTool.AndroidOS.Resharer.l CnC信标
可疑的木马用户代理
可能的VMware Workspace ONE Access RCE通过服务器端模板注入攻击(CVE-2022-22954)
利用GoCD认证绕过URI路径
发现Burp Collaborator 证书
发现Burp Collaborator 域名
Oracle Weblogic服务器反序列化RCE T3 (CVE-2015-4852)
可能的SAP ICM MPI去同步扫描活动 (CVE-2022-22536) M1
Sunlogin向日葵简化1.0.1.43315目录遍历尝试 (CVE-2022-48323)
可能的VMWare NSX管理器远程代码执行利用尝试 (CVE-2021-39144)
ortiOS认证绕过(CVE-2022-40684)
F5 BIG-IP iControl REST认证绕过 (CVE-2022-1388)
Fuel CMS 1.4.1 远程代码注入
利用Kramer VIAware远程代码执行
ManageEngine AdSelfService Plus - .jsp WebShell上传
TIBCO的JasperReports目录遍历尝试
dottcms任意文件上传企图
Android/Obfus.IQ CnC信标
riskware . android . geexin . fivxh上报设备信息
NetWire / Ozone / Darktrack Alien RAT - Client保活
木马W32.Dreambot签入
EXPLOIT Atlassian Bitbucket CVE-2022-36804 Exploit Attempt
D-Link webpg远程代码执行尝试入站(CVE 2021-46441, 2021-46442)
MetInfo 7.0 SQL注入(CVE-2019-16997)
MetInfo 7.0 SQL注入(CVE-2019-17418)
可能的Redis RCE尝试-动态导入liblua(CVE-2022-0543)
Redis RCE尝试漏洞(CVE-2022-0543)
SolarView Compact命令注入入站漏洞(CVE-2022-29303)
恶意软件OSX ADWARE/AD注入器
Android Baoshu 位置/设备信息导出
POLICY DNS查询“DynDNS Domain *”.redirectme.net
客户端正文中明文包含pwd=in cleartext
FTPSync 配置信息泄露扫描
TROJAN Banker.Delf用户代理
木马Win32 / Pincav.B签入
Wacatac.B !ml CnC登录
数据库本地文件包含入站漏洞(CVE-2021-41277)
思科SD-WAN vManage软件目录遍历漏洞(CVE-2020-26073)
Citrix Application Delivery Controller任意代码执行尝试扫描器尝试漏洞(CVE-2019-19781)
NodeJS系统信息库命令注入尝试漏洞(CVE-2021-21315)
可能的Cisco AnyConnect VPN未经身份验证的RCE
利用SEOWON INTECH SLC-130 RCE入站
利用VMware vCenter非法读取文件
发现恶意软件Gabpath.com广告工具栏相关用户代理
恶意软件Win32/ jakylhyde C2活动M2
移动恶意软件Android.Agent.HY 登录
MOBILE_MALWARE Android / TrojanDropper.Agent.BL 签入
木马Win32.Fednu.bw/Skintrim Downloader 签入
木马Win32 /代理.xxxyeb连通性检查
USER_AGENTS Microsoft Office存在发现用户代理
二、更新了离线威胁情报
【影响范围】
1、支持在发布的任何版本上升级
2、升级完成后,设备不会重启。偶现升级后无法返回登录页面。请于升级十分钟后刷新登录页面
3、升级包升级完成后,版本号保持不变,策略库版本更新为Data.2023.06.09.012240