研究调研 – 第 22 页 – 绿盟科技技术博客

【安全报告】网络安全威胁月报 201708

2017-08-28陈颐欢Chargen Flood, CVE-2017-1000116, CVE-2017-1000117, CVE-2017-10950, CVE-2017-3016, CVE-2017-3643, CVE-2017-7026, CVE-2017-7675, CVE-2017-7801, CVE-2017-7806, CVE-2017-8591, CVE-2017-8635, CVE-2017-9661, CVE-2017-9800, CVE-2017-9961, DDoS, DDoS DuTe, ddos攻击事件, DerbyCon, foxit pdf 漏洞, NTP Flood, nullcon, SSDP Flood, Talos, Talos DDoS, 威胁态势, 安全会议, 漏洞库, 绿盟 DDoS, 绿盟安全威胁, 绿盟科技博客, 绿盟科技漏洞库, 网络安全威胁, 网络安全威胁月报, 高危漏洞

绿盟科技网络安全威胁周报及月报系列，旨在简单而快速有效的传递安全威胁态势，呈现重点安全漏洞、安全事件、安全技术。获取最新的威胁月报，请访问绿盟科技博客 https://blog.nsfocus.net/

Joao恶意样本技术分析与防护方案

2017-08-25田泽夏Aeria Games, Aeria游戏病毒, joao, joao恶意软件, 恶意样本, 恶意样本分析, 游戏病毒, 绿盟 tac, 黑客Aeria游戏

昨日，ESET的安全研究员发现了一个针对游戏玩家的恶意软件。这个名为“Joao”的恶意软件被发现潜伏在第三方的Aeria游戏下载安装包中。该恶意软件会在游戏启动后自行在后台运行并且发送受害者机器的信息给攻击者，包括操作系统，用户名以及该用户的权限信息，与此同时玩家仍然可以正常进行游戏。该恶意软件会继续在受感染用户的机器上安装其他恶意软件。

乌克兰国家银行攻击样本技术分析与检测防护方案

2017-08-25田泽夏CVE-2015-2545, Microsoft Office Word 0-day, Office Word 0-day 漏洞, office word 漏洞, Office Word漏洞分析, office漏洞, Office远程代码执行漏洞, 乌克兰国家银行, 恶意样本行为, 恶意样本分析, 恶意样本技术分析与防护方案, 绿盟恶意样本, 绿盟恶意软件防护, 绿盟科技漏洞

2017年8月17日，乌克兰国家银行发布一则预警告知国内各金融机构警惕潜在的网络攻击事件。该攻击会通过Microsoft Word的邮件附件来利用CVE-2015-2545来远程执行代码。随后相关网络安全机构也发现了该攻击的记录并怀疑此攻击与一系列的针对东欧的攻击有关。

【安全报告|下载】绿盟科技发布金融行业安全月刊-201708

2017-08-23绿盟科技信息安全防护银行, 商业银行数据安全, 绿盟安全, 绿盟安全月刊, 绿盟金融安全月刊, 绿盟金融月刊, 绿盟金融行业, 金融安全, 金融安全绿盟, 银行信息安全, 银行网络安全, 银行网络安全风险评估

绿盟科技发布2017年8月金融行业安全月刊啦！

懂行的你速速下载吧！

针对朝鲜的远程攻击木马Konni——技术分析与防护

2017-08-17李东宏远程攻击木马

在今年7月份，针对朝鲜的网络攻击的远程访问木马Konni被发现，此次的网络攻击行为被怀疑和韩国有关。该木马主要通过钓鱼邮件的方式进行传播，开始先通过一个.scr文件执行Powershell脚本，并根据系统信息下载对应版本的恶意软件。绿盟科技在获得该木马样本之后第一时间进行了分析。通过技术手段发现，该木马主要用于窃取数据和远程执行命令。

恶意样本分析手册-虚拟机检测篇（上）

2017-08-14李东宏Hypervisor, 半虚拟化, 绿盟科技, 虚拟化技术, 虚拟机

每台虚拟机的组成要素：虚拟机的os,应用程序需要的各种包，应用程序。而每一台虚拟机都是在Hypervisor的基础上建立起来的。下面来看一下什么是Hypervisor。

NetSarang软件中nssock2.dll模块被植入恶意代码技术分析与防护方案

2017-08-14田泽夏NetSarang nssock2.dll模块分析方案, NetSarang软件中nssock2.dll模块, nssock2.dll 恶意代码, nssock2.dll模块被植入恶意代码, Virustotal, 恶意代码技术分析与防护方案, 技术防护方案, 绿盟科技

NetSarang是一家提供安全连接解决方案的公司，该公司的产品主要包括Xmanager, Xmanager 3D, Xshell, Xftp 和Xlpd。最近，官方在2017年7月18日发布的软件被发现有恶意后门代码，该恶意的后门代码存在于有合法签名的nssock2.dll模块中。从后门代码的分析来看，该代码是由于攻击者入侵的开发者的主机或者编译系统并向源码中插入后门导致的。该后门代码可导致用户远程登录的信息泄露，甚至可能远程执行代码。

CVE-2017-9765漏洞分析

2017-08-08李东宏CVE-2017-9765漏洞分析, Devil’s Ivy, gSOAP整型溢出漏洞, SENRIO, 漏洞修复, 绿盟科技

2017.7.18日，SENRIO在官方博客公布了gSOAP整型溢出漏洞(CVE-2017-9765)细节，并将该漏洞命名为Devil’s Ivy。根据genivia官方说明，当向服务器发送超过2Gb的XML数据时，将导致整型下溢，最终导致缓冲区溢出，可执行任意代码。该漏洞最初在Axis M3004摄像头中发现，但其影响范围远不止Axis摄像头，任何使用了gSOAP的应用均受影响。

绿盟科技发布《2017上半年DDoS与Web应用攻击态势报告》

2017-08-07绿盟科技2017 DDoS报告, 2017 ddos攻击, 2017 Web应用攻击报告, 2017 安全报告, 2017上半年DDoS与Web应用攻击态势报告, CVE-2017-5638, DDoS, ddos报告, web攻击, Web攻击报告, 绿盟 DDoS, 绿盟 Web应用, 绿盟科技, 绿盟科技DDoS, 绿盟科技DDoS报告6 Comments

DDoS攻击和Web应用攻击是当今互联网面临的较为突出的两大安全威胁。

从攻击实施的难易程度来看，Web应用层攻击对攻击者的Web相关知识和技能要求更高，但正因为DDoS攻击技术门槛低，也使得DDoS攻击越发猖獗。从对攻击目标的威胁严重程度来看，DDoS攻击一般是在攻击持续期间对目标网络或系统资源的可用性造成严重影响，具有攻击影响面大、直接损失严重等特点，如：可造成网络大面积瘫痪、各类服务不可用；而Web应用层攻击对目标可造成持久的资源可用性、可控性，数据的机密性、完整性的破坏，其影响具有持久性、隐密性等特点。从很多案例我们看到，很多时候DDoS攻击被黑客用作实施Web应用攻击的烟雾弹，也即先发起DDoS攻击吸引安全团队精力，同时暗地里进行Web应用层攻击，最终达到篡改、窃取敏感信息、获取系统控制权限等目的。

Category Archives: 研究调研