进程异常行为-疑似黑客工具待处理
备注处理
该告警由如下引擎检测发现:
命令行:kiwi.exe "privilege::debug" "log Result.txt" "sekurlsa::logonPasswords" "token::elevate" "lsadump::sam" exit
进程路径:C:/Users/ea6010948/Music/passcan/Win64/kiwi.exe.exe
进程ID:312
父进程命令行:"C:\Windows\System32\cmd.exe" /C "C:\Users\ea6010948\Music\passcan\Win64\kiwi start.bat"
父进程文件路径:C:/Windows/System32/cmd.exe
父进程ID:13656
事件说明:云安全中心检测到主机上执行的某些命令与黑客入侵时常用的黑客工具很类似,请及时排查。

异常登录-后门账户登录待处理
备注处理
该告警由如下引擎检测发现:
登录时间:2020-04-29 05:11:49
登录来源IP:185.202.1.189
登录类型:RDP
登录账户:dbc8c0bf5
登录端口:3389
登录地:俄罗斯
操作详情:
logtime: 2020-04-29 04:41:13
pid: 19420
cmd: net user dbc8c0bf5 efc7bdcfeo /add
事件说明:云盾检测到您的ECS被黑客攻击后添加后门账户并且成功登录的行为,如果不是您的操作行为,请尽快删除此账号。

进程异常行为-可疑的进程路径待处理
备注处理
该告警由如下引擎检测发现:
命令行:"C:\Users\ea6010948\Music\Scan.exe"
进程路径:C:/Users/ea6010948/Music/Scan.exe
进程ID:1900
父进程命令行:C:\Windows\Explorer.EXE
父进程文件路径:C:/Windows/explorer.exe
父进程ID:5856
事件说明:云安全中心检测到该进程从一个不寻常的路径启动,常规软件通常不会在这种目录中,该进程有可能是病毒、木马、黑客入侵过程中放置的工具等。如果不是您自己执行的操作,请及时排查处理。

进程异常行为-Windows账户异常操作待处理
备注处理
该告警由如下引擎检测发现:
命令行:net localgroup Administrators 33f3c2c8b /add
进程ID:21308
父进程命令行:C:\Windows\system32\cmd.exe /c "d:/mysql/mysql server 5.5/lib/plugin//261c96e.cmd"
父进程ID:19772
事件说明:云安全中心检测到ECS上的命令在操作系统账户时的上下文可疑,很有可能与恶意软件或黑客入侵有关。请关注。

进程异常行为-可疑的进程路径待处理
备注处理
该告警由如下引擎检测发现:
命令行:"C:\Users\ea6010948\Music\Scan.exe"
进程路径:C:/Users/ea6010948/Music/Scan.exe
进程ID:1900
父进程命令行:C:\Windows\Explorer.EXE
父进程文件路径:C:/Windows/explorer.exe
父进程ID:5856
事件说明:云安全中心检测到该进程从一个不寻常的路径启动,常规软件通常不会在这种目录中,该进程有可能是病毒、木马、黑客入侵过程中放置的工具等。如果不是您自己执行的操作,请及时排查处理。

进程异常行为-异常的注册表操作待处理
备注处理
该告警由如下引擎检测发现:
命令行:REG ADD "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f
进程ID:6172
父进程命令行:C:\Windows\system32\cmd.exe /c "d:/mysql/mysql server 5.5/lib/plugin//261c96e.cmd"
父进程ID:19772
事件说明:云安全中心检测到主机上执行的某些命令操作Windows注册表的方式高度可疑,请及时排查。

恶意进程(云查杀)-Hashdump攻击异常事件待处理
备注处理
该告警由如下引擎检测发现:
父进程名称:cmd.exe
进程名称:kiwi.exe.exe
进程路径:C:/Users/ea6010948/Music/passcan/Win64/kiwi.exe.exe
进程id:312
命令行参数:kiwi.exe "privilege::debug" "log Result.txt" "sekurlsa::logonPasswords" "token::elevate" "lsadump::sam" exit
事件说明:云盾检测到wce、minikazi恶意软件运行,该工具可窃取系统帐号HASH导致您的帐号密码泄漏。请及时排查告警事件中的路径下的文件/脚本是否存在恶意样本,并及时清理。
解决方案:Jboss蠕虫病毒感染JBOSS主机后会自动扫描其他易受攻击的JBOSS主机,当发现该可疑进程时,很可能您的机器已经处于被入侵状态。

进程异常行为-Windows-3389-RDP配置被修改

进程异常行为-Windows-3389-RDP配置被修改待处理
备注处理
该告警由如下引擎检测发现:
父进程名称:cmd.exe
进程名称:reg.exe
进程id:6,172
命令行参数:REG ADD "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f
事件说明:检测到Windows系统的远程桌面服务;远程桌面端口;是否验证用户级别关键配置项被修改,该指令可能是恶意软件或者黑客入侵时执行的指令,但也有可能是正常系统运维软件进行的持久化操作。如果该指令不是您自己运行,请及时排查入侵原因。
解决方案:请及时排查注册表中和3389 RDP端口配置及是否开启RDP服务的相关的键值是否是您主动修改,如果不是,请及时处理。