研究调研 – 第 26 页 – 绿盟科技技术博客

恶意样本分析手册——工具篇（上）

2017-04-24李东宏010Edit, Binwalk, ProcessMonitor, wireshark, 二进制文件编辑, 恶意样本分析, 恶意样本分析手册, 文件检测, 注册表, 绿盟科技, 绿盟科技安全能力中心, 行为监控

近几年来，随着互联网的普及，网络安全市场份额迅速增长，其开放性、应用市场的多元化等特点，都使得智能应用的开发领域极度繁荣。道高一尺魔高一丈，恶意软件也同样有了爆炸式的增长，直接威胁到个人隐私、支付安全等方面，无疑成为网络安全防护工作的重要目标。但海量恶意样本文件，给恶意软件研判分析工作带来了巨大的压力，如何进行恶意样本分析，如何提高效率，都成为实际的问题。

【安全报告】2017网络安全威胁4月月报

2017-04-24陈颐欢ddos攻击事件, DDoS攻击类型, 互联网安全漏洞, 安全会议, 安全报告, 绿盟科技博客, 绿盟科技漏洞库, 网络安全威胁月报, 高危漏洞, 高危漏洞发展趋势

绿盟科技网络安全威胁周报及月报系列，旨在简单而快速有效的传递安全威胁态势，呈现重点安全漏洞、安全事件、安全技术。

2016 DDoS Threat Trend

2017-04-21刘鹏Attack Count and Peak Traffic, Attack Type Analysis, DDoS Attack Trend in 2016, Distribution of DDoS Attacks, EnglishVersion, NSFOCUS, Overview of DDoS Trend in 2016

In this report, we present a multi-dimensional analysis of DDoS attack data and botnet data and summarize and analyze typical attack events in 2016, revealing threats of DDoS attacks and the overall threat trend in 2016.

【安全报告】2016年DDoS威胁报告

2017-04-21绿盟科技DDoS威胁报告, ddos报告, ddos防护, DDoS防护技术, 中国电信, 威胁报告, 安全报告, 绿盟科技

日前，绿盟科技联合中国电信云堤发布《2016年DDoS威胁报告》，报告总结及分析了2016全年DDoS攻击发展态势，并就DDoS防护生态环境给出了相关建议，其中攻击防护策略、方案及技术手段，可以帮助各组织及机构持续改善自己的防护技术及体系。

Jackson框架Java反序列化远程代码执行漏洞技术分析与防护方案

2017-04-19田泽夏Jackson框架Java反序列化漏洞, Jackson框架Java反序列化远程代码执行漏洞, Jackson框架Java反序列化远程代码执行漏洞技术分析, Java反序列化漏洞, Java反序列化远程代码执行漏洞, 漏洞分析, 绿盟科技

北京时间4月15日，Jackson框架被发现存在一个反序列化代码执行漏洞。该漏洞存在于Jackson框架下的enableDefaultTyping方法，通过该漏洞，攻击者可以远程在服务器主机上越权执行任意代码，从而取得该网站服务器的控制权。

Microsoft Office OLE2Link(CVE-2017-0199)漏洞利用技术分析与防护方案

2017-04-18李东宏CVE-2017-0199, CVE-2017-0199 漏洞, Microsoft Office OLE2Link(CVE-2017-0199)漏洞, Office OLE2Link 漏洞, 漏洞攻击事件, 漏洞利用技术分析与防护方案, 绿盟科技

2017年4月7日McAfee与FireEye的2名研究员爆出微软（Microsoft）Office Word的一个0-day漏洞（CVE-2017-0199）的相关细节。攻击者可以向受害人发送一个带有OLE2link对象附件的恶意邮件，诱骗用户打开。

phpcms v9.6注册功能远程getshell 0day漏洞分析

2017-04-17邓永凯getshell 0day漏洞, phpcms 0day, phpcms v9.6注册功能, phpcms v9.6注册功能远程getshell 0day漏洞, 远程getshell 0day漏洞, 远程getshell 0day漏洞分析

phpcms在国内应该使用很多，前几天被爆出来一个getshell的0day，这个漏洞无需登录即可远程直接getshell，所以影响很大。phpcms官方4月12日发布了9.6.1版本，对漏洞进行了补丁修复。

Microsoft Windows Server 2003 R2 IIS 6.0 Remote Code Execution Technical Analysis and Solution

2017-04-02刘鹏EnglishVersion, Microsoft Windows Server 2003 R2 IIS 6.0, Remote Code Execution, Technical Analysis and Solution, Unaffected Versions, Vulnerability Analysis, Vulnerability Distribution Released by NSFOCUS Threat Intelligence (NTI)

On March 37, Zhiniang Peng and Chen Wu disclosed the Internet Information Services (IIS) 6.0 WebDAV remote code execution vulnerability, which has been assigned CVE-2017-7269 and CNNVD-201703-1151. This vulnerability, which could cause buffer overflows, is associated with the ScStoragePathFromUrl function in the WebDAV service in IIS 6.0 in Microsoft Windows Server 2003 R2.

Shamoon2恶意样本技术分析与检测防护方案

2017-03-31田泽夏Disttrack 恶意样本, Shamoon2 样本, Shamoon2恶意样本, Shamoon2恶意样本技术分析, Shamoon攻击, 恶意样本技术分析, 绿盟科技

2016年11月，网上一系列与2012年Shamoon攻击活动类似的破坏性攻击行为被发现，随后便有文章表示一种新型的Disttrack 恶意样本被发现用于一种全新的攻击活动。该攻击活动的目标包括在特定时间清空一个沙特阿拉伯的机构的系统，此机构与早在2012年出现的Shamoon的攻击目标一致。

恶意样本分析手册——理论篇

2017-03-28李东宏Windows内核加载器, 中断异常处理, 函数调用约定, 大小端模式, 恶意样本分析, 文件格式, 样本分析手册, 流程控制语句的识别, 调试器的原理, 进制转换, 逻辑运算1 Comment

在计算机系统中，我们是以字节为单位的，每个地址单元都对应着一个字节，一个字节为 8bit。但是在C语言中除了8bit的char之外，还有16bit的short型，32bit的long型（要看具体的编译器），另外，对于位数大于 8位的处理器，例如16位或者32位的处理器，由于寄存器宽度大于一个字节，那么必然存在着一个如何将多个字节安排的问题。

Microsoft Windows Server 2003 R2 IIS 6.0远程代码执行技术分析与防护方案

2017-03-28田泽夏IIS 6.0远程代码执行漏洞, Microsoft Windows Server 2003 R2 IIS 6.0 漏洞, Microsoft Windows Server 2003 R2 IIS 6.0远程代码执行, Microsoft Windows Server 2003 漏洞, R2 IIS 6.0远程代码执行漏洞, Windows Server 2003 漏洞

3月27日，Zhiniang Peng 和Chen Wu发布了关于IIS 6.0 WebDAV远程代码执行的漏洞信息（CVE-2017-7269，CNNVD-201703-1151）。该漏洞源于Microsoft Windows Server 2003 R2的IIS 6.0 中WebDAV 服务下ScStoragePathFromUrl函数存在缓冲区溢出漏洞。如果一个PROPFIND请求中包含以”If: <http://”开头的超长头部，将触发一个缓冲区溢出漏洞，攻击者可以利用此漏洞远程执行任意代码，此利用方法和2016年7-8月份爆出的方法一致。

2017网络安全威胁3月月报

2017-03-24陈颐欢DDoS攻击, ddos攻击事件, 安全会议, 绿盟科技博客, 绿盟科技漏洞库, 网络安全威胁月报, 高危漏洞

绿盟科技网络安全威胁周报及月报系列，旨在简单而快速有效的传递安全威胁态势，呈现重点安全漏洞、安全事件、安全技术。