伏影实验室 – 第 7 页 – 绿盟科技技术博客

Splinter新APT攻击工具透析

2019-10-28伏影实验室APT, NSFOCUS, Splinter, 工具, 技术博客, 攻击, 绿盟

近期，绿盟科技伏影实验室威胁追踪系统监测到一个新APT攻击事件。此次事件起源于我们截获的一封邮件所含附件，该邮件命名为“指示细节”，内附文档《指示细节.doc》，该文档使用CVE-2018-0802漏洞进行攻击。

海莲花（APT32）组织 DenesRAT木马与相关攻击链分析

2019-10-08伏影实验室

作为顶级APT组织之一，海莲花在近年的攻击活动中使用了多种木马工具，其典型包括CSbeacon、RemyRAT、Denis等。在19年上半年的海莲花组织攻击事件中，我们发现一种多功能、强反检测、强反分析的木马成为了主要攻击载荷。由于该木马被部分国外安全厂商识别为Denes，我们将这个名称与其功能特征RAT（remote administration tool）相结合，称该木马为DenesRAT。本报告将展示对该木马的分析结果与相关攻击链的攻击过程。

海莲花（APT32）组织 wwlib-side-loading攻击链分析

2019-09-24伏影实验室APT32, OceanLotus, wwlib-side-loading, 伏影实验室, 威胁情报中心, 技术博客, 攻击, 攻击链, 海莲花, 绿盟科技

2018年以后，海莲花组织开始使用一种新的攻击手法，并且在之后的时间里持续增加攻击诱饵的投放数量，同时不断改进攻击链条的细节。统计发现，这条我们称之为wwlib side-loading的攻击链至今已发展出多个版本，可以作为海莲花组织近年主要攻击链来看待。

从剖析攻击面出发——2019上半年海莲花组织主要攻击事件总结

2019-09-17伏影实验室2015绿盟科技工控安保框架白皮书, APT-C-00, APT32, Cobalt Kitty, NSFOCUS, NTI, OceanLotus, SeaLotus, 伏影实验室, 威胁情报中心, 攻击链, 海莲花, 绿盟科技

本文的内容将聚焦于近期海莲花攻击链的构成和特性，对各攻击链样本的详细分析请关注稍后发布的攻击链载荷分析文章。

GoBrut破解型僵尸网络悄然再度来袭

2019-09-11伏影实验室GoBrut, Go语言, NSFOCUS, Web安全, 伏影实验室, 僵尸网络, 技术博客, 绿盟科技

Go语言因为跨平台且易上手，越来越受到攻击者的青睐。2019年年初^[1]，一个由Go语言编写的新型恶意软件家族问世，称为GoBrut（又名StealthWorker），目的是检测目标站点的服务并对其进行爆破。GoBrut行为低调但野心勃勃，每次均攻击众多Web服务器。

【漏洞分析】SA-CORE-2019-008 Drupal访问绕过漏洞（CVE-2019-6342）

2019-07-19伏影实验室CVE-2019-6342, drupal, 安全, 技术分析, 漏洞, 访问绕过

此次漏洞出现在设计过程的一个疏忽，在默认没有分配权限的情况下用户可以绕过权限检查进行发布/删除/修改文章操作，但由于该漏洞仅影响Drupal 8.7.4版本，并且需要开启Workspaces模块，这又是一个实验功能，默认不启用，因此漏洞影响减弱了不少，用户可以升级Drupal版本或者关闭Workspaces模块以消除漏洞影响。

【技术分析】Atlassian Jira未授权模板注入漏洞（CVE-2019-11581）

2019-07-17伏影实验室Atlassian Jira, CVE-2019-11581, 远程代码执行

危害等级高，攻击者利用此漏洞，可实现远程代码执行，PoC已公开。

Computrace黑白一线间，组合威胁渐现江湖

2019-06-05伏影实验室

近日，《关于Absolute公司防盗追踪软件安全风险的提示》的文章在互联网上广为流传，引起了大众对该软件的讨论，其中文章所指就是由Absolute公司开发的防盗追踪软件LoJack for Laptops也称作Computrace，该软件包括远程锁定，删除文件以及在地图上找到被盗笔记本电脑的功能。其实早在2009年开始Computrace的安全问题就已经暴露在大众的视野之中，现在让我们来回顾一下整个事件。

LoJack/CompuTrace事件追踪分析

2019-06-01伏影实验室

一. LoJack软件介绍

Absolute Software是计算机、笔记本电脑、平板电脑和智能手机持久端点安全和管理的行业标准。该公司是设备安全和管理跟踪领域的领导者，已有20年的历史。