研究调研 – 第 24 页 – 绿盟科技技术博客

Blackmoon银行木马新样本技术分析与防护方案

2017-05-17田泽夏Blackmoon, Blackmoon银行木马, NTI, 木马传播, 样本技术分析, 绿盟科技, 绿盟科技威胁情报中心, 绿盟科技木马专杀解决方案, 网络银行攻击

在2016年报道的盗取超过15万韩国用户银行信息的Blackmoon银行木马于2017年又被发现采用了全新的框架模式来对网络银行进行攻击，通过三个分开但又彼此联系的步骤来部署该木马，并进行后续的攻击。这与在2016年的以adware和exploit kits为传播方式的框架完全不同。

【安全报告】WannaCry勒索软件溯源分析报告

2017-05-16田泽夏WannaCry, WannaCry 溯源分析, WannaCry勒索溯源, WannaCry勒索软件, WannaCry勒索软件溯源分析, 勒索软件分析, 变种版本分析, 绿盟科技

从5月12日开始，WannaCry勒索软件在世界范围内迅速传播，造成了极大的影响，安全行业的各个公司都对此次事件开展了分析和防护工作，绿盟科技的技术人员也在第一时间对样本进行分析并出具了详细的分析报告。

【安全报告】WannaCry变种样本初步分析报告

2017-05-15李丹2 变种样本与源样本分析对比, WannaCry变种样本, WannaCry变种样本分析报告, WannaCry样本, 安全报告, 绿盟科技

5月14日，卡巴斯基的研究人员宣称他们发现了WannaCry的变种样本，此变种没有包含域名开关，同时修改了样本执行过程中的某个跳转，取消了开关域名的退出机制，无论开关域名是否可以访问，都会执行后续恶意操作。我们对此次的变种事件高度关注，以最快速度拿到样本并进行了分析。

【安全报告】WannaCry勒索事件处置手册

2017-05-14曹嘉“WannaCry”勒索事件处置手册, WannaCry勒索事件, Windows主机感染, windows服务器, 企业安全管理, 勒索事件, 安全报告, 绿盟科技, 风险检测

“WannaCry”勒索事件自爆发以来，造成了大量Windows主机感染，本文档用于指导企业安全管理人员可以在第一时间对可能发生的病毒爆发进行充分准备，引导企业通过正确的流程和手段进行危害抑制和损失控制。

【安全报告】wannacry勒索病毒绿盟威胁情报中心NTI公开分析报告

2017-05-14赵阳4.2 绿盟科技木马专杀解决方案, ETERNALBLUE SMB 漏洞, WanaCry蠕虫样本, WanaCry蠕虫样本分析报告, 勒索软件样本, 安全报告, 攻击定位, 文件结构, 绿盟科技, 绿盟科技检测服务

样本利用了ETERNALBLUE SMB 漏洞进行勒索软件的传播和感染，其中样本开始就连接了域名http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com测试网络连通性，如果能联通，则直接退出，如果不能联通，则继续后续行为。使用此种方式，可以在攻击者想要停止攻击时，即采用将未注册的域名进行注册的方式，停止此样本的进一步扩散。

【安全报告】WanaCrypt勒索蠕虫报告

2017-05-13李杰RSAS, TAC安全威胁分析系统, WanaCrypt勒索蠕虫报告, 利用漏洞进行渗透, 勒索软件, 安全报告, 绿盟科技

近日，勒索软件再次席卷全球，该勒索软件是一个名称为WannaCry的新家族，TAC安全威胁分析系统第一时间给出了深度权威分析。

【安全报告】Hajime样本技术分析报告

2017-05-08田泽夏Hajime, Hajime 扫描, Hajime样本分析, Hajime样本技术分析报告, iptables设置网络, Linux Shell, Mirai, 安全报告, 攻击定位

随着科技的迅速发展，物联网设备的数量也随着增多。当这些先进的设备给人们提供方便的同时，也伴随着一些安全隐患。这给不法分子带来了庞大的市场，都想从中获得巨大的利益。就在大家所熟知的Mirai一统江湖的时候，一个名叫Hajime的新面孔粉墨登场并占领大量市场。

【安全报告】IBM USB恶意样本文件技术分析报告

2017-05-08田泽夏IBM Storwize for Lenovo, IBM USB恶意样本, IBM USB恶意样本分析, IBM USB恶意样本文件技术分析, 安全报告, 恶意文件, 检测方法, 绿盟科技

IBM安全团队近日发布了一条安全通告，表示IBM Storwize for Lenovo初始化USB驱动器包含恶意软件，包含由IBM Storwize for Lenovo V3500，V3700和V5000 Gen 1存储系统随附的初始化工具的一些USB闪存驱动器包含一个已被恶意代码感染的文件，有可能被用来启动初始化工具。

解读国内物联网资产的暴露情况分析

2017-05-07张星DDoS攻击, 国内物联网, 国内物联网资产的暴露情况分析, 物联网资产暴露, 网络瘫痪, 视频监控设备

2016年9月20日，著名的安全新闻工作者Brian Krebs的网站KrebsOnSecurity.com受到大规模的DDoS攻击，其攻击峰值达到665Gbps，Brian Krebs推测此次攻击由Mirai僵尸网络发动。2016年9月20日，Mirai僵尸网络针对法国网站主机OVH的攻击突破DDoS攻击记录，其攻击量达到1.1Tpbs，最大达到1.5Tpbs。2016年10月21日，美国域名服务商Dyn遭受大规模DDoS攻击，其中重要的攻击源确认来自于Mirai僵尸网络，美国东海岸地区遭受大面积网络瘫痪。2016年11月28日，德国电信遭遇断网时间，攻击源来自Mirai僵尸网络的新变种。而Mirai僵尸网络的广泛传播，则是因为暴露在互联网的物联网设备存在安全问题，如弱口令等。

Category Archives: 研究调研