李东宏 – 第 3 页 – 绿盟科技技术博客

Win32 Industroyer技术分析与防护方法

2017-06-24李东宏Dragos公司, Win32 Industroyer技术分析, Win32/Industroyer, 乌克兰断电恶意软件, 攻击目标, 检测与防护方案, 绿盟科技, 网络规则

2017年6月8日，安全公司ESET发现了针对工控系统的恶意软件Win32/Industroyer，并提前向Dragos公司做了通过，Dragos通过对ESET分析结果进行验证后，6月12日公布了Win32/Industroyer的hash信息以及分析报告。

恶意样本分析手册——文件封装篇

2017-06-05李东宏加壳器, 加密壳, 压缩壳, 固件格式, 封装工具, 恶意样本分析, 恶意样本分析手册, 文件封装, 资源段

加壳器属于一种封装工具，它可以对反病毒软件，复杂的恶意代码分析过程隐藏恶意代码的存在，另外，能缩小恶意代码可执行文件的大小，因此它们在恶意代码编写者中很受欢迎。大部分加壳器都是免费且易于使用的。基础静态分析技术对加壳后的程序毫无办法，要想进行静态分析，必须先将加壳的恶意代码脱壳，这就给恶意样本分析增加了很大的难度。

恶意样本分析手册——工具篇（下）

2017-04-25李东宏

近几年来，随着互联网的普及，网络安全市场份额迅速增长，其开放性、应用市场的多元化等特点，都使得智能应用的开发领域极度繁荣。道高一尺魔高一丈，恶意软件也同样有了爆炸式的增长，直接威胁到个人隐私、支付安全等方面，无疑成为网络安全防护工作的重要目标。但海量恶意样本文件，给恶意软件研判分析工作带来了巨大的压力，如何进行恶意样本分析，如何提高效率，都成为实际的问题。

恶意样本分析手册——工具篇（上）

2017-04-24李东宏010Edit, Binwalk, ProcessMonitor, wireshark, 二进制文件编辑, 恶意样本分析, 恶意样本分析手册, 文件检测, 注册表, 绿盟科技, 绿盟科技安全能力中心, 行为监控

Microsoft Office OLE2Link(CVE-2017-0199)漏洞利用技术分析与防护方案

2017-04-18李东宏CVE-2017-0199, CVE-2017-0199 漏洞, Microsoft Office OLE2Link(CVE-2017-0199)漏洞, Office OLE2Link 漏洞, 漏洞攻击事件, 漏洞利用技术分析与防护方案, 绿盟科技

2017年4月7日McAfee与FireEye的2名研究员爆出微软（Microsoft）Office Word的一个0-day漏洞（CVE-2017-0199）的相关细节。攻击者可以向受害人发送一个带有OLE2link对象附件的恶意邮件，诱骗用户打开。

恶意样本分析手册——理论篇

2017-03-28李东宏Windows内核加载器, 中断异常处理, 函数调用约定, 大小端模式, 恶意样本分析, 文件格式, 样本分析手册, 流程控制语句的识别, 调试器的原理, 进制转换, 逻辑运算1 Comment

在计算机系统中，我们是以字节为单位的，每个地址单元都对应着一个字节，一个字节为 8bit。但是在C语言中除了8bit的char之外，还有16bit的short型，32bit的long型（要看具体的编译器），另外，对于位数大于 8位的处理器，例如16位或者32位的处理器，由于寄存器宽度大于一个字节，那么必然存在着一个如何将多个字节安排的问题。

Mirai源码分析报告

2016-10-13李东宏busybox工具 linux, DDoS攻击, DDoS攻击方法, KrebOnSecurity安全站点, Mirai源码, Mirai源码分析, 僵尸网络, 物联网僵尸网络病毒 Mirai

物联网僵尸网络病毒“Mirai”在上月参与发起了针对KrebOnSecurity安全站点的大规模分布式DDoS攻击，新一类僵尸网络从各种容易被感染的物联网设备中发起，流量巨大防不胜防。“Mirai”可以高效扫描物联网系统设备，感染采用出厂密码设置或弱密码加密的脆弱物联网设备，被病毒感染后，设备成为僵尸网络机器人后在黑客命令下发动高强度僵尸网络攻击。本文针对Mirai源码进行详细分析。

Operation Ghoul Attacks Technical Analysis and Solution

2016-09-07李东宏EnglishVersion, Executive Summary, Operation Ghoul Attacks Technical, Operation Ghoul Attacks Technical Analysis and Solution, Sample Analysis

On June 8 and June 27, 2016, Kaspersky Lab discovered a new wave of targeted attacks in multiple regions around the world. The attacker sent spear phishing emails to entice victims to execute malware in these emails for the purpose of obtaining key business data from the target network.

泰GSB银行ATM劫案样本分析报告

2016-09-01李东宏ATM恶意样本, 泰GSB银行, 泰GSB银行ATM劫案, 泰GSB银行ATM劫案样本分析报告, 绿盟科技, 银行劫案, 银行ATM劫案, 银行劫案

8月23日出现一个疑似是新出现的ATM恶意软件样本，使用了一些与通常样本不同的技术。巧合的是此样本在曼谷邮报新闻《泰国银行ATM机被攻击，一千两百万泰铢被盗》发布出来前的几分钟，被来自于泰国的IP上传到VirusTotal（一个提供免费的可疑文件分析服务的网站）。绿盟科技安全专家团队对此恶意软件样本进行了分析，发现此样本针对ATM发起攻击，并利用了很多罕见的技术来获取目标ATM设备的物理访问权，进一步协助攻击者提取ATM中的现金。

Zabbix SQL Injection Vulnerability Technical Analysis and Solution

2016-08-31李东宏EnglishVersion, NSFOCUS, Zabbix, Zabbix SQL, Zabbix SQL Injection Vulnerability

On August 12, 2016, 1n3 disclosed by email an SQL injection vulnerability in jsrpc.php in Zabbix, which can be exploited via the “insert” statement while jsrpc.php is processing the profileIdx2 parameter. This vulnerability is of the same type as the officially announced vulnerability, which is caused by latest.php processing the toggle_ids parameter. The only difference between the two is the location.