田泽夏 – 第 2 页 – 绿盟科技技术博客

Weblogic WLS组件漏洞技术分析与防护方案

2017-12-22田泽夏Weblogic, Weblogic WLS组件漏洞, Weblogic WLS组件漏洞技术分析与防护方案, 绿盟科技

近日，绿盟科技应急响应团队也陆续接到来自金融、运营商及互联网等多个行业的客户的安全事件的反馈，发现Weblogic主机被攻击者植入恶意程序，经分析，攻击者利用Weblogic WLS 组件漏洞(CVE-2017-10271)，构造payload下载并执行虚拟币挖矿程序，对Weblogic中间件主机进行攻击。

【防护方案】GoAhead httpd/2.5 to 3.5 LD_PRELOAD 远程代码执行漏洞（CVE-2017-17562）

2017-12-19田泽夏CVE-2017-1762, goahead, Server漏洞, Web Server

GoAhead Web Server 在3.6.5之前的所有版本中存在一个远程代码执行漏洞（CVE-2017-17562）。该漏洞源于使用不受信任的HTTP请求参数初始化CGI脚本环境，并且会影响所有启用了动态链接可执行文件（CGI脚本）支持的用户。

【样本分析】IcedID银行木马样本技术分析与防护方案

2017-11-20田泽夏icedid, icedid 木马, 木马分析, 样本分析, 金融木马, 银行木马

近日，IBM X-Force研究小组发现了一种全新的银行木马IcedID。该木马最早于2017年9月在互联网上传播，目标主要为美国金融行业的相关系统。据X-Force研究，该木马包含一个恶意代码的模块，拥有如宙斯木马（Zeus Trojan）等现今银行木马的大部分功能。

目前看来，该木马主要的目标为美国的银行，支付卡提供商，手机服务提供商，邮件和电商网站等系统，还包括2所英国的主流银行。

【预警通告】Circle with Disney 家长管理与网络过滤产品多个安全漏洞

2017-11-01田泽夏0-day远程代码执行漏洞, Circle with Disney产品, 命令注入漏洞, 拒绝服务漏洞, 网络过滤产品漏洞

当地时间2017年10月31日，Talos发布了一系列关于Circle with Disney产品的漏洞通告，涵盖包括远程代码执行，命令注入，拒绝服务等在内的22个不同的漏洞,且部分漏洞CVSS 3.0评分达到高危的9.9以及10分。使用该产品的用户应及时升级来防护。

【预警通告】Cesanta Mongoose多个漏洞

2017-11-01田泽夏Cesanta Mongoose的漏洞通告, Mongoose, mongoose漏洞

当地时间2017年10月31日，Talos团队发布了多个关于Cesanta Mongoose的漏洞通告，涵盖代码执行，拒绝服务等共8个漏洞，其中包括多个CVSS 3.0评分为9.8分的高危漏洞。

【预警通告】HP智能管理中心（iMC）PLAT产品多个远程代码执行漏洞

2017-11-01田泽夏HP, HPE智能管理中心漏洞, 漏洞, 远程代码执行漏洞

近日，HP官方发布安全通告，在HPE智能管理中心（iMC）PLAT中发现了潜在的安全漏洞。这些漏洞可以远程利用，以允许代码执行

【预警通告】Tinysvcmdns多标签DNS堆溢出漏洞

2017-11-01田泽夏dns数据包, dns漏洞, Tinysvcmdns, 堆溢出漏洞

当地时间2017年10月31日，Talos发布了一条关于Tinysvcmdns的漏洞。该堆溢出漏洞源于Tinysvcmdns的库版本2016-07-18中。通过一个特制的数据包，该库可以让攻击者使用自己控制的数据来覆盖堆上的任意数据。

【预警通告】Apache Tomcat 远程代码执行漏洞（CVE-2017-12615）(带解决方案）

2017-09-20田泽夏Apache Tomcat, Apache Tomcat 漏洞, Apache Tomcat 远程代码执行漏洞, Apache 漏洞, CVE-2017-12615, tomcat 最新漏洞, Tomcat 远程代码执行漏洞, 远程代码执行漏洞

9月19日晚，Apache Tomcat官方发布了一条安全公告，该公告指出Windows上的Apache Tomcat如果开启PUT方法支持则可能存在远程代码执行漏洞，漏洞编号为CVE-2017-12615。攻击者可以在使用该漏洞上传JSP文件,从而导致远程代码执行。

【预警通告】Apache Struts2（S2-053）远程代码执行漏洞威胁预警通告

2017-09-07田泽夏Apache Struts 2, Apache Struts2 漏洞, Apache Struts2（S2-053）远程代码执行漏洞, Apache Struts2（S2-053）漏洞, CVE-2017-12611, CVE-2017-12611分析, CVE-2017-12611漏洞分析, S2-053, Struts2 插件远程代码执行技术分析, 绿盟威胁预警, 绿盟漏洞, 绿盟漏洞分析, 绿盟科技, 远程代码分析, 远程代码执行漏洞

2017年9月7日，Apache Struts发布最新的安全公告，Apache Struts 2 存在一个远程代码执行漏洞，漏洞编号为CVE-2017-12611（S2-053）。该漏洞源于在处理Freemarker标签时，如使程序员使用了不恰当的编码表达会导致远程代码执行。

相关链接如下：https://cwiki.apache.org/confluence/display/WW/S2-053

Joao恶意样本技术分析与防护方案

2017-08-25田泽夏Aeria Games, Aeria游戏病毒, joao, joao恶意软件, 恶意样本, 恶意样本分析, 游戏病毒, 绿盟 tac, 黑客Aeria游戏

昨日，ESET的安全研究员发现了一个针对游戏玩家的恶意软件。这个名为“Joao”的恶意软件被发现潜伏在第三方的Aeria游戏下载安装包中。该恶意软件会在游戏启动后自行在后台运行并且发送受害者机器的信息给攻击者，包括操作系统，用户名以及该用户的权限信息，与此同时玩家仍然可以正常进行游戏。该恶意软件会继续在受感染用户的机器上安装其他恶意软件。

相关链接：

http://www.hackread.com/dangerous-new-malware-joao-hits-gamers-worldwide/

乌克兰国家银行攻击样本技术分析与检测防护方案

2017-08-25田泽夏CVE-2015-2545, Microsoft Office Word 0-day, Office Word 0-day 漏洞, office word 漏洞, Office Word漏洞分析, office漏洞, Office远程代码执行漏洞, 乌克兰国家银行, 恶意样本行为, 恶意样本分析, 恶意样本技术分析与防护方案, 绿盟恶意样本, 绿盟恶意软件防护, 绿盟科技漏洞

2017年8月17日，乌克兰国家银行发布一则预警告知国内各金融机构警惕潜在的网络攻击事件。该攻击会通过Microsoft Word的邮件附件来利用CVE-2015-2545来远程执行代码。随后相关网络安全机构也发现了该攻击的记录并怀疑此攻击与一系列的针对东欧的攻击有关。

相关链接：

https://www.reuters.com/article/us-cyber-ukraine-banking-idUSKCN1AY0Y4

NetSarang软件中nssock2.dll模块被植入恶意代码技术分析与防护方案

2017-08-14田泽夏NetSarang nssock2.dll模块分析方案, NetSarang软件中nssock2.dll模块, nssock2.dll 恶意代码, nssock2.dll模块被植入恶意代码, Virustotal, 恶意代码技术分析与防护方案, 技术防护方案, 绿盟科技

NetSarang是一家提供安全连接解决方案的公司，该公司的产品主要包括Xmanager, Xmanager 3D, Xshell, Xftp 和Xlpd。最近，官方在2017年7月18日发布的软件被发现有恶意后门代码，该恶意的后门代码存在于有合法签名的nssock2.dll模块中。从后门代码的分析来看，该代码是由于攻击者入侵的开发者的主机或者编译系统并向源码中插入后门导致的。该后门代码可导致用户远程登录的信息泄露，甚至可能远程执行代码。

2