研究调研 – 第 26 页 – 绿盟科技技术博客

Dridex Banking Malware Sample Technical Analysis and Solution

2017-03-23刘鹏Dridex, Dridex Banking Malware, EnglishVersion, IBM's X-Force, Sample Introduction, Sample Technical Analysis and Solution

IBM’s X-Force security team recently discovered an updated version of Dridex, called Dridex v4. Dridex is one of the most popular banking trojans. It was first spotted in 2014 when it was viewed as the successor of GameOver ZeuS (GoZ) because it uses GoZ-related techniques. An important improvement in Dridex v4 is that it evades detection antivirus software by introducing the AtomBoming technique for malicious code injection.

Apache Struts2 Remote Code Execution Vulnerability (S2-045) Technical Analysis and Solution

2017-03-09杨爱玲Apache Struts2, EnglishVersion, NSFOCUS Threat Intelligence, S2-045, Struts Vulnerability, Struts2 Remote Code Execution Vulnerability

Apache Struts2 is prone to a remote code execution vulnerability (CNNVD-201703-152) in the Jakarta Multipart parser plug-in. When uploading a file with this plug-in, an attacker could change the value of the Content-Type header field of an HTTP request to trigger this vulnerability, causing remote code execution.

Struts 2再爆高危漏洞绿盟科技解决方案，看得见防得住

2017-03-08王猛CVE-2017-5638, NF RSAS, NTI威胁中心, Struts 2 高危漏洞, 绿盟NF防火墙, 绿盟远程安全评估系统, 远程代码执行漏洞

Apache Struts2的Jakarta Multipart parser插件存在远程代码执行漏洞，漏洞编号为CVE-2017-5638。攻击者可以在使用该插件上传文件时，修改HTTP请求头中的Content-Type值来触发该漏洞，导致远程执行代码。

2017网络安全威胁2月月报

2017-03-06陈颐欢ddos攻击事件, 互联网安全漏洞, 安全会议, 漏洞库, 绿盟科技博客, 绿盟科技漏洞库, 高危漏洞

绿盟科技网络安全威胁周报及月报系列，旨在简单而快速有效的传递安全威胁态势，呈现重点安全漏洞、安全事件、安全技术。

“Shifu” Banking Trojan Technical Analysis and Solution

2017-02-24刘鹏Attack Location, Conclusion, CVE-2016-0167, EnglishVersion, NSFOCUS, Propagation and Infection, Shifu Banking

The banking trojan “Shifu” was discovered by the IBM counter fraud platform in April, 2015. Built based on the Shiz source code, this trojan employs techniques adopted by multiple notorious trojans such as Zeus, Gozi, and Dridex.

Hadoop Hit by Ransom Attack

2017-02-24蒋红梅EnglishVersion, Hadoop Hit by Ransom Attack, Protection Measures, Ransom Attack Pattern, What Is Hadoop

Recently, some hacker organizations have turned their eyes to ransom attacks targeting certain products. As of last week, hacker organizations had taken control of and wiped data from at least 34,000 MongoDB databases, asking for a ransom to return the stolen files.

ElasticSearch 遭遇勒索攻击

2017-02-02苏少博ElasticSearch, ElasticSearch 安全风险, ElasticSearch 部署, ElasticSearch部署情况, 勒索攻击, 服务器勒索攻击, 绿盟科技

春节前，有超过34000多台存在安全风险的MongoDB数据库遭到了勒索攻击，数据库数据被攻击者擦除并索要赎金，在收到赎金后攻击者才会返还服务器中的数据；紧接着，2017年1月18日，在短短几个小时内又有数百台ElasticSearch服务器受到了勒索攻击，服务器中的数据被擦除，并被索要赎金。

金融行业安全月刊201701期

2017-02-02绿盟科技信息科技治理, 信息科技风险管理, 商业银行信息科技风险管理指引, 绿盟科技, 绿盟科技金融事业部, 金融行业安全月刊

绿盟科技发布金融行业安全月刊201701期，该月刊为绿盟科技金融事业部主办的面向金融行业客户的信息安全类刊物。安全月刊分政策解读、行业研究、漏洞聚焦以及产品动态4个栏目，主要介绍最新安全动态、国家及行业政策（要求）落地指导、前沿技术以及安全解决方案等内容。

“师傅”网银木马技术分析与防护方案

2017-02-01苏少博CVE-2016-0167, Windows提权漏洞, Zeus Gozi Dridex, 师傅网银木马, 窃取用户登录网银业务的凭证, 系统级权限, 绿盟科技, 绿盟科技木马专杀解决方案, 绿盟科技检测服务, 网银木马, 网银木马技术分析

“师傅”网银木马在2015年4月被IBM反欺诈平台发现，它是基于Shiz源代码进行构建的，并且借鉴了包括Zeus、Gozi和Dridex等在内的多个著名木马的相关技术。该木马曾主要以日本境内14家银行为攻击目标，随后2015年9月22日开始，“师傅”木马开始在英国出现，并且至少攻击了十余家银行。2017年1月6日，researchcenter.paloaltonetworks.com网站刊文称，“师傅”木马的作者在2016年对其进行了改进，早期的“师傅”通过利用CVE-2015-0003来获得被入侵主机的系统权限，现在改为使用编号CVE-2016-0167的Windows提权漏洞来达到同样目的。

Category Archives: 研究调研