研究调研 – 第 23 页 – 绿盟科技技术博客

Apache Struts2 远程代码执行漏洞（S2-048）技术分析与防护方案

2017-07-08李东宏Apache Struts2 远程代码执行漏洞, 漏洞, 漏洞技术分析与防护方案, 绿盟科技

2017年7月7日，Apache Struts发布最新的安全公告，Apache Struts 2.3.x的strus1插件存在远程代码执行的高危漏洞，漏洞编号为CVE-2017-9791（S2-048）。攻击者可以构造恶意的字段值通过Struts2的Struts1的插件，远程执行代码。

Petya — Technologically Challenging and Imaginative Ransomware

2017-07-05刘鹏EnglishVersion, MBR调试, NSFOCUS解决方案, Sample Information, 技术, 磁盘MBR

The malware uses the following icons to disguise its EXE files as PDF and RAR executables. The attacker then sends malicious code to the target via email, tricking the victim into executing it. In this way, an attack is successfully launched via social engineering.

【安全报告】网络安全威胁月报 201706

2017-06-29陈颐欢ddos攻击事件, 安全会议, 绿盟科技博客, 绿盟科技漏洞库, 高危漏洞

绿盟科技网络安全威胁周报及月报系列，旨在简单而快速有效的传递安全威胁态势，呈现重点安全漏洞、安全事件、安全技术。获取最新的威胁月报，请访问绿盟科技博客 https://blog.nsfocus.net/

Petya变种样本技术分析

2017-06-28田泽夏Petya变种, Petya变种样本技术分析, petya病毒, 传播与感染, 勒索软件, 绿盟科技

2017年6月27日晚，多个企业遭遇勒索软件，导致业务中断。此次事件最初在乌克兰发现，后来逐步扩大，包括巴西、德国、俄罗斯、美国等多个国家。此次事件影响范围极广，造成的影响极大，绿盟科技对此次事件进行了高度关注，并在第一时间获取样本进行分析。

恶意样本分析手册——反调试篇（下）

2017-06-28李东宏CheckRemoteDebuggerPresent, IsDebuggerPresent, 使用TLS回调, 反调试技术总结, 枚举进程, 硬件断点, 禁用窗口, 软件断点

使用Windows API函数检测调试器是否存在是最简单的反调试技术。Windows操作系统中提供了一些这样的API，应用程序可以通过调用这些API来探测自己是否正在被调试。这些API有些是专门用来探测调试器的存在的。而另外一些API是处于其他目的而设计的，但也可以被改造用来探测调试器的存在。

恶意样本分析手册——反调试篇（上）

2017-06-27李东宏异常的分类, 显示函数调用栈, 源代码, 获取源文件, 调试事件调试循环, 调试器原理, 调试符号

DeBugger（调试器）是自从计算机诞生伊始就始终伴随着程序员的一个挚友，起初的调试器都是基于硬件直接实现的。

Win32 Industroyer技术分析与防护方法

2017-06-24李东宏Dragos公司, Win32 Industroyer技术分析, Win32/Industroyer, 乌克兰断电恶意软件, 攻击目标, 检测与防护方案, 绿盟科技, 网络规则

2017年6月8日，安全公司ESET发现了针对工控系统的恶意软件Win32/Industroyer，并提前向Dragos公司做了通过，Dragos通过对ESET分析结果进行验证后，6月12日公布了Win32/Industroyer的hash信息以及分析报告。

APT前传

2017-06-11刘弘利APT前传, Emacs 漏洞, The Cuckoo’s Egg, 杜鹃, 设置蜜罐, 黑客, 黑客画像

夏日林间，阳光从树叶的缝隙里洒下来，微风吹拂着树叶，影子在地上摇曳。鸟儿们在树梢上唱歌，有独唱，有对唱；啄木鸟在敲打树木，幼鸟们在喳喳喊着妈妈。

恶意样本分析手册——文件封装篇

2017-06-05李东宏加壳器, 加密壳, 压缩壳, 固件格式, 封装工具, 恶意样本分析, 恶意样本分析手册, 文件封装, 资源段

加壳器属于一种封装工具，它可以对反病毒软件，复杂的恶意代码分析过程隐藏恶意代码的存在，另外，能缩小恶意代码可执行文件的大小，因此它们在恶意代码编写者中很受欢迎。大部分加壳器都是免费且易于使用的。基础静态分析技术对加壳后的程序毫无办法，要想进行静态分析，必须先将加壳的恶意代码脱壳，这就给恶意样本分析增加了很大的难度。

CVE-2017-7494 Samba 远程代码执行漏洞分析

2017-05-26刘艺琨CVE-2017-7494, Linux, Samba 漏洞, Samba 远程代码执行漏洞, Samba 远程代码执行漏洞分析, 解决方案

5月24 日，Samba官方发布消息，Samba服务器软件存在远程执行代码漏洞。攻击者可以利用客户端将指定库文件上传到具有可写权限的共享目录，会导致服务器加载并执行指定的库文件。

EternalRocks(永恒之石)技术分析与防护方案

2017-05-25田泽夏EternalRocks, EternalRocks(永恒之石)技术分析与防护方案, EternalRocks蠕虫病毒, UpdateInstaller.exe, 检测与防护方案, 永恒之石, 永恒之石EternalRocks, 绿盟科技, 网络蠕虫

继“永恒之蓝”勒索病毒后，近日，我们发现了最新病毒“永恒之石”（EternalRocks）。该病毒属于网络蠕虫，具有自我复制的功能，并利用MS17-010漏洞进行传播。与WannaCry不同，“永恒之石”利用更多近期泄露的NSA黑客工具，其中包括多种漏洞攻击工具。

永恒之石EternalRocks蠕虫病毒处置手册

2017-05-24姚伟EternalRocks蠕虫病毒, NSA武器库, 本地检查, 永恒之石EternalRocks, 永恒之石EternalRocks蠕虫病毒处置手册, 病毒组成及流程, 绿盟入侵防御系统NIPS, 绿盟极光远程安全评估系统RSAS, 绿盟科技, 蠕虫病毒处置手册

近期，安全研究人员发现了一款新的恶意软件。这款恶意软件与 WannaCry勒索软件一样，通过利用Windows SMB文件共享协议中的漏洞自行传播，但是与后者不同的是，它使用了近期泄露的美国国家安全局（NSA）的多种黑客工具，而Wannacry仅使用了2种！

绿盟科技的安全专家在对其进行分析之后发现，EternalRocks具有病毒的特征，而且能够进行自我传播，其危害性需要引起各单位的重视，本文即是对该蠕虫病毒给出了企业内的应急处置方案。

23