Weblogic WLS组件漏洞技术分析与防护方案

近日,绿盟科技应急响应团队也陆续接到来自金融、运营商及互联网等多个行业的客户的安全事件的反馈,发现Weblogic主机被攻击者植入恶意程序,经分析,攻击者利用Weblogic WLS 组件漏洞(CVE-2017-10271),构造payload下载并执行虚拟币挖矿程序,对Weblogic中间件主机进行攻击。

【样本分析】IcedID银行木马样本技术分析与防护方案

近日,IBM X-Force研究小组发现了一种全新的银行木马IcedID。该木马最早于2017年9月在互联网上传播,目标主要为美国金融行业的相关系统。据X-Force研究,该木马包含一个恶意代码的模块,拥有如宙斯木马(Zeus Trojan)等现今银行木马的大部分功能。

目前看来,该木马主要的目标为美国的银行,支付卡提供商,手机服务提供商,邮件和电商网站等系统,还包括2所英国的主流银行。

【预警通告】Circle with Disney 家长管理与网络过滤产品多个安全漏洞

当地时间2017年10月31日,Talos发布了一系列关于Circle with Disney产品的漏洞通告,涵盖包括远程代码执行,命令注入,拒绝服务等在内的22个不同的漏洞,且部分漏洞CVSS 3.0评分达到高危的9.9以及10分。使用该产品的用户应及时升级来防护。

【预警通告】Apache Tomcat 远程代码执行漏洞(CVE-2017-12615)(带解决方案)

9月19日晚,Apache Tomcat官方发布了一条安全公告,该公告指出Windows上的Apache Tomcat如果开启PUT方法支持则可能存在远程代码执行漏洞,漏洞编号为CVE-2017-12615。攻击者可以在使用该漏洞上传JSP文件,从而导致远程代码执行。

【预警通告】Apache Struts2(S2-053) 远程代码执行漏洞 威胁预警通告

2017年9月7日,Apache Struts发布最新的安全公告,Apache Struts 2 存在一个远程代码执行漏洞,漏洞编号为CVE-2017-12611(S2-053)。该漏洞源于在处理Freemarker标签时,如使程序员使用了不恰当的编码表达会导致远程代码执行。

相关链接如下:https://cwiki.apache.org/confluence/display/WW/S2-053

Joao恶意样本技术分析与防护方案

昨日,ESET的安全研究员发现了一个针对游戏玩家的恶意软件。这个名为“Joao”的恶意软件被发现潜伏在第三方的Aeria游戏下载安装包中。该恶意软件会在游戏启动后自行在后台运行并且发送受害者机器的信息给攻击者,包括操作系统,用户名以及该用户的权限信息,与此同时玩家仍然可以正常进行游戏。该恶意软件会继续在受感染用户的机器上安装其他恶意软件。

相关链接:

http://www.hackread.com/dangerous-new-malware-joao-hits-gamers-worldwide/

乌克兰国家银行攻击样本技术分析与检测防护方案

2017年8月17日,乌克兰国家银行发布一则预警告知国内各金融机构警惕潜在的网络攻击事件。该攻击会通过Microsoft Word的邮件附件来利用CVE-2015-2545来远程执行代码。随后相关网络安全机构也发现了该攻击的记录并怀疑此攻击与一系列的针对东欧的攻击有关。

相关链接:

https://www.reuters.com/article/us-cyber-ukraine-banking-idUSKCN1AY0Y4

NetSarang软件中nssock2.dll模块被植入恶意代码技术分析与防护方案

NetSarang是一家提供安全连接解决方案的公司,该公司的产品主要包括Xmanager, Xmanager 3D, Xshell, Xftp 和Xlpd。最近,官方在2017年7月18日发布的软件被发现有恶意后门代码,该恶意的后门代码存在于有合法签名的nssock2.dll模块中。从后门代码的分析来看,该代码是由于攻击者入侵的开发者的主机或者编译系统并向源码中插入后门导致的。该后门代码可导致用户远程登录的信息泄露,甚至可能远程执行代码。