Shamoon2恶意样本技术分析与检测防护方案

2016年11月,网上一系列与2012年Shamoon攻击活动类似的破坏性攻击行为被发现,随后便有文章表示一种新型的Disttrack 恶意样本被发现用于一种全新的攻击活动。该攻击活动的目标包括在特定时间清空一个沙特阿拉伯的机构的系统,此机构与早在2012年出现的Shamoon的攻击目标一致。 阅读全文 “Shamoon2恶意样本技术分析与检测防护方案” »

恶意样本分析手册——理论篇

在计算机系统中,我们是以字节为单位的,每个地址单元都对应着一个字节,一个字节为 8bit。但是在C语言中除了8bit的char之外,还有16bit的short型,32bit的long型(要看具体的编译器),另外,对于位数大于 8位的处理器,例如16位或者32位的处理器,由于寄存器宽度大于一个字节,那么必然存在着一个如何将多个字节安排的问题。 阅读全文 “恶意样本分析手册——理论篇” »

Microsoft Windows Server 2003 R2 IIS 6.0远程代码执行技术分析与防护方案

3月27日,Zhiniang Peng 和Chen Wu发布了关于IIS 6.0 WebDAV远程代码执行的漏洞信息(CVE-2017-7269,CNNVD-201703-1151)。该漏洞源于Microsoft Windows Server 2003 R2的IIS 6.0 中WebDAV 服务下ScStoragePathFromUrl函数存在缓冲区溢出漏洞。如果一个PROPFIND请求中包含以”If: <http://”开头的超长头部,将触发一个缓冲区溢出漏洞,攻击者可以利用此漏洞远程执行任意代码,此利用方法和2016年7-8月份爆出的方法一致。

阅读全文 “Microsoft Windows Server 2003 R2 IIS 6.0远程代码执行技术分析与防护方案” »

【预警通告】Microsoft Windows Server 2003 R2 IIS 6.0远程代码执行漏洞

3月27日,Zhiniang Peng 和Chen Wu发布了关于IIS 6.0 WebDAV远程代码执行的漏洞信息(CVE-2017-7269,CNNVD-201703-1151)。该漏洞源于Microsoft Windows Server 2003 R2的IIS 6.0 中WebDAV 服务下ScStoragePathFromUrl函数存在缓冲区溢出漏洞。如果一个PROPFIND请求中包含以”If: <http://”开头的超长头部,将触发一个缓冲区溢出漏洞,攻击者可以利用此漏洞远程执行任意代码,此利用方法和2016年7-8月份暴露的方法一致。
阅读全文 “【预警通告】Microsoft Windows Server 2003 R2 IIS 6.0远程代码执行漏洞” »