告警类型 | 具体检测项 | 检测原理说明 |
持久化后门 | 可疑自启动项 | 检测模型发现您终端上的某些自启动项可疑,可能是恶意软件或者黑客在入侵后进行的持久化痕迹。 |
疑似后门 | 检测模型发现您的终端上存在WMI或Bitsadmin后门,可能是攻击者在入侵后用来维持对您终端的权限。 |
异常代码驻留内存 | 检测模型发现您的终端上某进程的内存空间中疑似存在恶意指令,该进程可能为攻击者在入侵后遗留的恶意软件,或者是向正常的进程注入了恶意的代码。 |
异常进程 | 检测模型发现您的终端当前运行中的程序中存在异常进程,可能是恶意程序或利用正常程序加载了恶意代码。 |
异常注册表项 | 检测模型发现您终端上的某个注册表配置项可疑,恶意软件常常会修改某些关键注册表配置来持久化运行或干扰正常的安全防护。 |
异常自启动项 | 检测模型发现您的终端上存在异常的自启动项,可能是恶意软件或攻击者通过添加启动项来达到持久化的目的。 |
CobaltStrike远控木马 | 检测模型发现您终端上某个进程内存空间内存在CobaltStrike远控木马的恶意代码,可能该进程即为恶意程序或正常程序被注入了恶意指令。 |
恶意脚本 | 恶意脚本代码执行 | 检测模型发现您的终端上正在执行恶意的Bash、PowerShell、Python等脚本代码。 |
发现恶意脚本文件 | 检测模型发现您的终端上存在恶意脚本文件,该文件极有可能是攻击者成功入侵终端后植入的,建议您根据恶意脚本的标签检查文件内容的合法性并进行处理。 |
恶意软件 | 恶意程序 | 检测模型发现您的终端上运行了恶意程序,恶意程序一般是具备多种恶意行为特征或者具备骚扰、破坏行为的第三方程序。 |
访问恶意IP | 检测模型发现您终端上的进程正在尝试访问一个可疑的恶意IP,这个IP可能是黑客的中控IP,矿池IP等具有高风险的IP,发起连接行为的进程可能是黑客植入的恶意文件。 |
感染型病毒 | 检测模型发现您的终端上运行了感染型病毒,该病毒是一类高级恶意程序,由病毒本体将恶意代码写入正常程序文件执行,因此往往有大量原本正常程序被感染后作为宿主被检出。 |
黑客工具 | 检测模型发现您的终端上存在黑客工具,黑客工具是攻击者在入侵过程中用于权限提升、窃取敏感数据的工具,或用于卸载安全软件的程序,或入侵后植入系统的后门程序。 |
后门程序 | 检测模型发现您的终端上运行了后门程序,后门程序是植入到系统中,用于给黑客对终端做持续入侵的持久化程序。 |
可疑程序 | 检测模型发现您的终端上运行了可疑程序,可疑程序一般是具有一定恶意代码特征或高可疑度行为特征的、暂未明确分类的程序,需要用户结合信息判断。 |
勒索病毒 | 检测模型发现您的终端上运行了勒索病毒,勒索病毒是一类恶性程序,会对终端上所有关键数据文件进行加密锁定以勒索赎金。 |
漏洞利用程序 | 检测模型发现您的终端上运行了漏洞利用程序,该程序用于攻击或尝试攻击操作系统、应用程序的已知漏洞,以实现提权、逃逸、任意代码执行等目的。 |
木马程序 | 检测模型发现您的终端上存在木马程序,木马程序是专门用于侵入用户终端的程序,一般通过伪装植入系统后会下载、释放另外的恶意程序。 |
蠕虫病毒 | 检测模型发现您的终端上运行了蠕虫病毒,蠕虫病毒是一类用于从已攻陷终端,向其它终端做攻击横向移动的程序,往往包括漏洞利用、密码爆破等行为。 |
挖矿程序 | 检测模型发现您的终端上运行了挖矿程序,挖矿程序是一类侵占终端计算资源,进行虚拟货币挖掘的程序,终端往往可见CPU占用飙高,以及其它相关的恶意程序。 |
自变异木马 | 检测模型发现您的终端上运行了自变异,自变异木马是具备自变异功能的木马程序,它会改变自身hash或者将自身大量复制到不同的路径下,并在后台运行,以躲避清理。 |
DDoS木马 | 检测模型发现您的终端上运行了DDoS木马,DDoS木马是用于从被攻陷终端上接收指令,对黑客指定目标发起DDoS攻击的恶意程序。 |
Hashdump攻击异常事件 | 检测模型发现您的终端上有wce、mimikatz恶意软件运行,该工具可窃取系统账号HASH,导致您的账号密码泄露。 |
进程异常行为 | 创建异常Windows计划任务 | 检测模型发现您的终端上创建了异常的Windows计划任务,可能是恶意软件或攻击者在入侵过程中为维持权限而进行的行为。 |
调用风险工具 | 检测模型发现您的终端异常调用了风险工具,风险工具被攻击者用于代理、隧道、扫描工具等进一步入侵终端的场景。 |
调用wmic启动可疑进程 | 检测模型发现您终端尝试使用wmic创建并执行程序,攻击者在入侵您终端后,会通过创建wmic任务的方式来维持权限。 |
访问恶意下载源 | 检测模型发现您的终端正在尝试访问一个可疑的恶意下载源,可能是黑客通过弱口令或命令执行漏洞,从远程终端下载恶意文件,危害终端安全。 |
高危应用执行异常指令 | 检测模型发现您终端中的高危应用(如:Web服务、数据库服务、脚本、定时任务、自启动项等)执行了可疑命令,该服务可能已被攻击者攻破并通过其执行恶意命令。 |
高危应用植入可疑文件 | 检测模型发现您终端上的敏感服务(如Web应用等)创建了可疑的可执行文件或脚本,可能是攻击者通过漏洞攻击服务后向系统投递病毒或木马的行为。 |
可疑的脚本操作 | 检测模型发现您的终端上执行的某些与脚本相关的命令高度可疑,很有可能与恶意软件、黑客入侵有关。 |
可疑的进程路径 | 检测模型发现您终端上某个进程从一个不寻常的路径启动,常规软件通常不会在这种目录中,该进程有可能是病毒、木马、黑客入侵过程中放置的工具。 |
可疑的进程文件名 | 检测模型发现您终端上某个进程的文件名具有迷惑性后缀或是有模仿系统文件名的嫌疑,这有可能是病毒、木马、黑客入侵过程中放置的工具。 |
可疑端口监听异常进程 | 检测模型发现您的终端出现异常的端口监听事件,攻击者在入侵终端后,常常会借助nc等软件建立监听端口,以此建立隐蔽通信通道实现信息窃取等目的。 |
可疑命令 | 检测模型发现您的终端执行了可疑的信息收集命令,或启动的进程调用关系存在异常,可能与木马病毒或黑客入侵有关。 |
可疑文件落盘执行 | 检测模型发现您的终端上的某文件以一种可疑的方式被写入并执行,可能是攻击者从外部下载的恶意工具并执行。 |
可疑注册表配置项修改 | 检测模型发现您终端上有进程尝试修改注册表配置,可能是攻击者在获取终端权限后写入后门代码或修改敏感配置。 |
可疑CMD命令序列 | 检测模型发现您终端上某进程执行了一系列可疑的命令,这些命令与攻击者入侵后通常会执行的命令序列非常相似,建议排查这些命令的父进程,可能为远控木马、存在漏洞的Web服务,或者是合法进程被注入了恶意代码。 |
可疑procdump进程镜像转储 | 检测模型发现您的终端上正在进行procdump进程镜像转储,该行为可能导致敏感数据泄露。 |
利用bitsadmin启动可疑进程 | 检测模型发现您的终端尝试利用bitsadmin启动可疑进程,可能是攻击者利用该功能进行植入恶意程序以及执行恶意命令。 |
利用Windows系统文件加载恶意代码 | 检测模型发现您的终端执行的命令极有可能是攻击者在利用Windows系统文件加载恶意代码,以此绕过安全软件的检测。 |
启动项异常修改 | 检测模型发现您终端上有进程正在尝试修改系统的自启动项,可能是木马病毒或攻击者通过这种方式来维持对您终端的权限。 |
使用attrib.exe修改文件的只读隐藏属性 | 检测模型发现您终端上有进程正在尝试使用attrib.exe修改文件的只读隐藏属性。 |
通过注册表添加自启动程序 | 检测模型发现您的终端上有程序向注册表中添加自启动项,常见于流氓软件,含有后门的推广软件以及入侵持久化行为,也被正常软件用于开机自启动,请确认该进程路径是否为可信程序。 |
通过FTP从远程终端下载可疑文件到磁盘 | 检测模型发现您终端上有进程正在尝试通过FTP从远程终端下载可疑文件。 |
通过RDP远程登录拷贝可疑文件到本地磁盘 | 检测模型发现有攻击者尝试通过RDP远程登录向您的终端拷贝可疑文件,可能是因为您的终端RDP登录密码被黑客窃取或被成功破解。 |
系统备份异常删除 | 检测模型发现您终端上有进程尝试删除系统备份文件,可能为勒索病毒为达到勒索的目的,通过删除系统的备份来阻止恢复文件。 |
系统日志异常删除 | 检测模型发现您的终端上有进程在删除系统日志,恶意软件或攻击者通常会通过清除系统日志来达到躲避检测的目的。 |
疑似黑客工具 | 检测模型发现您终端上执行的某些命令与常用的黑客工具非常类似,可能是由攻击者在入侵过程中执行的命令。 |
疑似Windows提权操作 | 检测模型发现您的终端上执行的某些命令非常可疑,极有可能是攻击者在利用系统或应用漏洞获取更高的系统权限。 |
异常的注册表操作 | 检测模型发现您的终端上执行的某些命令操作Windows注册表的方式高度可疑,可能存在恶意软件或攻击者入侵后修改相关的配置项。 |
异常调用数据库导出工具 | 检测模型通过对您终端上进程的历史行为进行分析,发现可疑调用数据库导出工具行为,可能是攻击者在攻击成功后进行数据窃取的行为。 |
异常调用系统工具 | 检测模型发现您终端上有进程正以一种可疑方式的调用系统工具,木马病毒或黑客常常会通过这种方式绕过常规的安全软件来下载恶意文件、加载恶意代码、执行加解密操作等其他恶意操作。 |
异常修改系统安全配置 | 检测模型发现您的终端上有进程正在修改系统安全配置,可能为恶意软件或攻击者通过修改防火墙、杀毒软件配置来躲避检测。 |
执行恶意命令 | 检测模型发现您的终端上执行的进程命令高度可疑,很有可能与木马、病毒、黑客行为有关。 |
CobaltStrike远控恶意行为 | 检测模型发现您的终端中存在CobaltStrike控制端,并正在执行恶意操作命令。 |
FTP应用执行异常指令 | 检测模型发现您的FTP应用执行了异常命令,可能是攻击者通过FTP应用的弱口令,借助FTP执行BAT批处理脚本功能,执行异常命令。 |
Java应用执行异常指令 | 检测模型发现您的终端上的Java进程启动了下载恶意程序、添加后门等高危行为,很可能是因为您使用了存在漏洞的Web框架或者中间件所导致。 |
Lsass.exe系统安全授权程序执行异常进程 | 检测模型发现您的终端上的lsass.exe进程启动了异常命令,lsass.exe进程是系统的一个安全授权服务进程,负责为登录用户进行身份鉴权和Token令牌生成。许多系统漏洞常常针对该服务进行缓冲区溢出攻击,使得攻击者获取目标进程的完全控制权。 |
MySQL执行异常指令 | 检测模型发现您的MySQL服务执行了可疑的命令,可能是由于MySQL服务存在弱口令,或Web服务被SQL注入导致。 |
Postgresql应用执行异常指令 | 检测模型发现到您的Postgres服务执行了可疑的命令,可能是由于Postgres服务存在弱口令,或Web服务被SQL注入导致。 |
Python应用执行异常指令 | 检测模型发现您终端上的Python应用执行异常命令,可能是由于您终端上通过Python搭建的Web应用存在RCE漏洞并被成功利用。 |
regsvr32.exe执行异常指令 | 检测模型发现您的终端上存在regsvr32.exe执行异常指令,可能是攻击者为了躲避系统杀软查杀,将恶意代码包装在Windows、OCX、COM文件中,并通过regsvr32来加载到内存中运行。 |
rundll32.exe执行异常指令 | 检测模型发现您的终端上存在rundll32.exe执行异常指令,可能是攻击者为了躲避系统杀软查杀,将恶意代码包装在Windows DLL文件中,并通过rundll32.exe来加载到内存中运行。 |
Sqlserver写可疑文件到磁盘中 | 检测模型发现您终端上SQL Server应用正在尝试写入可疑文件到磁盘中,可能是因为攻击者破解了SQL Server的登录密码并执行了恶意的SQL。 |
Sqlserver应用执行异常指令 | 检测模型发现您的SQL Server服务执行了可疑的命令,可能是由于SQL Server服务存在弱口令,被攻击者借助SQL Server自身的命令执行组件执行了恶意命令。 |
Tomcat执行异常指令 | 检测模型发现您的Tomcat容器执行了异常命令,可能是攻击者通过Tomcat容器中Java应用存在的RCE漏洞或WebShell执行了恶意命令。 |
Windows Defender配置修改 | 检测模型发现您的终端正在通过修改注册表的方式关闭Windows Defender安全软件的部分功能,可能是攻击者在入侵终端后使用此方法来躲避检测与防御。 |
Windows-3389-RDP配置被修改 | 检测模型发现您终端的RDP配置正在被修改,可能是攻击者在入侵终端后,为维持权限进行的操作。 |
Windows创建计划任务 | 检测模型发现到您的终端正在创建Windows计划任务,可能是由于攻击者入侵您的终端,为维持权限而植入后门。 |
Windows创建可疑Service服务启动项 | 检测模型发现您的终端上游进程正在尝试创建可疑的Service服务启动项,该终端可能已经被植入恶意程序,恶意程序在运行过程中会通过创建服务的方式来维持权限。 |
Windows登录凭证窃取 | 检测模型发现您的终端上某些程序修改了注册表的WDigest项,该行为常见于黑客通过修改UseLogonCredential值使系统能够明文存储登录凭证,便于攻击者后续从内存中窃取登录凭证。 |
Windows调用mshta执行html内嵌脚本指令 | 检测模型发现您终端上有进程在尝试调用mshta执行HTML内嵌脚本指令,黑客可通过这种方式向终端植入恶意程序。 |
Windows可疑端口转发 | 检测模型发现您的终端上执行的命令可能是在转发内网的敏感端口,攻击者在内网横向移动时常常采用这种方式。 |
Windows系统防火墙配置修改 | 检测模型发现有进程正在尝试修改您终端上的Windows系统防火墙配置,请注意。 |
Windows新增自启动项 | 检测模型发现您的终端存在异常的增加自启动项的行为,可能是攻击者在入侵终端后,为维持权限,将恶意程序添加到启动项中 |
Windows账户异常操作 | 检测模型发现您终端上的命令在操作系统账户时的上下文可疑,可能是恶意软件或者攻击者在进行用户账户的操作。 |
异常登录 | 后门账户登录 | 检测模型发现您的终端之前被攻击者植入了后门账户,且该后门账户刚刚被成功登录,如果不是您的操作行为,请尽快删除此账号。 |
弱口令账户登录 | 检测模型发现您的终端存在弱口令的账户被成功登录,这可能是攻击者或者您自己的登录行为,弱口令是攻击者最常利用的入侵手段,建议您立即加强口令的强度,防止黑客入侵。 |
疑似对外发起登录扫描活动 | 检测模型发现您的终端频繁对外发起爆破扫描SSH、RDP、SMB等协议的行为,可能是您的终端已被攻击者入侵并被用于跳板来攻击其他机器。 |
异常账户登录 | 检测模型发现您终端上的管理员组用户,从不常见的位置登录了终端。如果不是您的操作行为,请尽快删除此账号。 |
异常网络连接 | 端口转发 | 检测模型发现您终端上有进程正在尝试建立端口转发隧道,可能是攻击者在入侵终端后,将该终端作为跳板进而攻击内网的其他终端。 |
访问恶意域名 | 检测模型从DNS流量中发现您的终端请求解析过这个风险系数高的域名,这个域名可能是远控、僵尸网络组织、矿池地址等恶意域名,这意味着您的终端可能被黑客利用。 |
可疑Meterpreter反弹Shell连接 | 检测模型发现您的终端上存在可疑进程,正在尝试利用黑客工具Meterpreter将命令控制通道反弹至攻击者的终端。 |
矿池通信行为 | 检测模型发现您的终端存在与矿池IP通信的流量,您的终端可能已被攻击者入侵用于挖矿。 |
内网扫描 | 检测模型发现您的终端有进程在短时间内对多个内网IP的指定端口发起了疑似扫描行为,可能是攻击者在入侵后,尝试进行横向移动的行为。 |
疑似敏感端口扫描行为 | 检测模型发现您终端上的某个进程在短时间内对敏感端口发起过多的网络请求,疑似存在端口扫描行为。 |
异常网络流量 | 检测模型通过分析您终端的流量,发现存在异常的网络流量通信,可能是成功的漏洞利用、恶意软件通信、敏感信息泄露、可疑的代理隧道等,请根据告警详情信息做进一步判断处理。 |
主动连接恶意下载源 | 检测模型通过HTTP流量发现您的终端正在尝试访问一个可疑的恶意下载源,可能是黑客通过弱口令或命令执行漏洞,从远程终端下载恶意文件,危害终端安全。 |
Windows异常网络连接 | 检测模型发现您终端上某个进程的网络连接行为异常,很有可能与病毒、木马或黑客行为有关。 |
异常账号 | 使用可疑账号登录系统 | 检测模型发现当前有用户尝试使用默认禁用、系统内置账号或疑似黑客账号登录系统,可能是黑客的入侵行为。 |
