升級包下載：Data.2021.04.12.004996_PKG.zip

本次共新增39條安全事件（對于上個月升級包)：

P2P Edonkey搜索請求(search by name)
掃描行為異常端口445流量可能掃描或感染
Windows更新P2P活動
TROJAN Formbook0.3登錄
木馬模板書數(shù)控檢查(GET)
木馬模板書數(shù)控檢查(POST)
特洛伊盜版者簽入
觀察到WEB_SERVER JexBoss公共URI結(jié)構(gòu)(INBOUND)
PE EXE或DLL Windows文件下載HTTP
RDP連接確認
Winxpperformance.com惡意代碼用戶代理
在DNS端口操作碼6或7上設(shè)置非DNS或不兼容的DNS流量
Apache Struts memberAccess和opensymphony入站OGNL注入遠程代碼執(zhí)行嘗試
疑似Apache Struts OGNL表達式注入 (CVE-2017-5638)(Content-Disposition) M1
網(wǎng)絡(luò)應(yīng)用程序OGNL表達式注入（CVE-2017-9791）
Apache Struts java.lang inbound OGNL injection remote code execution attempt
Apache Struts成員訪問入站OGNL注入遠程代碼執(zhí)行嘗試
HTTP客戶端主體包含pword=明文口令
Unsupported/Fake Internet Explorer Version MSIE 5.
WEB_SERVER JexBoss用戶代理被觀察(INBOUND)
WEB_SERVER可能的SQL注入(exec)
傳入基本身份驗證Base64 HTTP密碼檢測未加密
可能的Struts S2-053-CVE-2017-12611攻擊嘗試M1
探究Apache Struts URI中可能的允許靜態(tài)訪問的OGNL
探索到Apache Struts gethriter和opensymphony入站OGNL注入遠程代碼執(zhí)行攻擊
來自客戶端的SSLv3出站連接容易受到獅子狗攻擊
疑似Apache Struts OGNL表達式注入（CVE-2017-5638）M2
疑似在Apache Struts中利用OGNL漏洞注入
Apache Struts RCE CVE-2018-11776 POC M2
Apache Struts ognl入站ognl注入遠程代碼執(zhí)行嘗試
CHAT Jabber/Google Talk Incoming Message
DNS Query for TOR Hidden Domain .onion Accessible Via TOR
DNS 查詢到.to的TLD域名
HTTP客戶端包含明文口令
Hex Obfuscation of String.fromCharCode % Encoding
Hex Obfuscation of document.write % Encoding
MALWARE PUP/Win32.Snojan Checkin
MALWARE Win32/Adware.Qjwmonkey.H Variant CnC Activity M2
Magento XMLRPC漏洞利用攻擊

本次共移除27條安全事件：
Oracle JSF2路徑遍歷嘗試
SQL服務(wù)名緩沖區(qū)溢出攻擊嘗試
SQL用戶名緩沖區(qū)溢出攻擊嘗試
TLS HeartBleed非加密請求方法
TeamViewer?；钚畔?
URI中出現(xiàn)/bin/bash(命令執(zhí)行嘗試）
WEB_SERVER Suspicious Chmod Usage in URI (Inbound)
pwn.jsp WEBSHELL攻擊
使用public作為SNMP查詢社區(qū)串
十六進制混淆編碼(substr)
十六進制混淆編碼(非escape字符）
十六進制混淆編碼（String.fromCharCode）
十六進制混淆編碼（charCodeAt）
十六進制混淆編碼（document.write）
發(fā)現(xiàn)槽洞木馬Cookie
口令文件訪問
可疑的SSH掃描
異常心跳請求
掃描外部SSH端口
掃描端口139
有害的宏文件
有害的宏文件（AlphaNumL）
木馬Win32/Siggen.Dropper回連
疑似Apache Struts OGNL動態(tài)活動
疑似永恒之藍漏洞（MS17-010）堆噴射
疑似的木馬僵尸網(wǎng)絡(luò)Ponmocup（偽造的MSIE7用戶代理）
登錄僵尸網(wǎng)絡(luò)Nitol.B

白名單中共出現(xiàn)3條事件：
Winxpperformance.com惡意代碼用戶代理
動態(tài)算法生成域名
可能遭受POODLE攻擊（SSLv3存在漏洞）