研究调研 – 第 26 页 – 绿盟科技技术博客

绿盟科技发布《2017上半年网络安全观察报告》

2017-07-28绿盟科技2017 ddos攻击, 2017 勒索软件攻击, 2017 安全报告, 2017上半年网络安全观察报告, 2017年上半年网站安全报告, 2017漏洞报告, NTI绿盟威胁情报中心, 勒索软件, 勒索软件时间轴, 威胁情报, 绿盟威胁情报, 绿盟威胁情报中心, 网站安全报告

日前，绿盟科技发布《2017上半年网络安全观察报告》，报告从攻击源、安全漏洞、DDOS、网站安全、勒索事件、威胁热点等多角度描述网络安全现状和发展趋势，帮助机构和企业了解网络安全动态、以便采取相应防御措施。

电子银行安全与用户体验

2017-07-25李桐电子银行, 电子银行安全, 电子银行安全评估, 电子银行用户体验

在“电子银行”的范畴中，电子银行是一个更广泛的银行服务的一部分。移动商务的广泛的使用催生了各种应用软件的发展，为用户提供易于访问的信息，为用户增加各种体验经历，用的产品和良好的用户体验越来越重要。

Apache Struts2 远程代码执行漏洞（S2-048）技术分析与防护方案

2017-07-08李东宏Apache Struts2 远程代码执行漏洞, 漏洞, 漏洞技术分析与防护方案, 绿盟科技

2017年7月7日，Apache Struts发布最新的安全公告，Apache Struts 2.3.x的strus1插件存在远程代码执行的高危漏洞，漏洞编号为CVE-2017-9791（S2-048）。攻击者可以构造恶意的字段值通过Struts2的Struts1的插件，远程执行代码。

Petya — Technologically Challenging and Imaginative Ransomware

2017-07-05刘鹏EnglishVersion, MBR调试, NSFOCUS解决方案, Sample Information, 技术, 磁盘MBR

The malware uses the following icons to disguise its EXE files as PDF and RAR executables. The attacker then sends malicious code to the target via email, tricking the victim into executing it. In this way, an attack is successfully launched via social engineering.

【安全报告】网络安全威胁月报 201706

2017-06-29陈颐欢ddos攻击事件, 安全会议, 绿盟科技博客, 绿盟科技漏洞库, 高危漏洞

绿盟科技网络安全威胁周报及月报系列，旨在简单而快速有效的传递安全威胁态势，呈现重点安全漏洞、安全事件、安全技术。获取最新的威胁月报，请访问绿盟科技博客 https://blog.nsfocus.net/

Petya变种样本技术分析

2017-06-28田泽夏Petya变种, Petya变种样本技术分析, petya病毒, 传播与感染, 勒索软件, 绿盟科技

2017年6月27日晚，多个企业遭遇勒索软件，导致业务中断。此次事件最初在乌克兰发现，后来逐步扩大，包括巴西、德国、俄罗斯、美国等多个国家。此次事件影响范围极广，造成的影响极大，绿盟科技对此次事件进行了高度关注，并在第一时间获取样本进行分析。

恶意样本分析手册——反调试篇（下）

2017-06-28李东宏CheckRemoteDebuggerPresent, IsDebuggerPresent, 使用TLS回调, 反调试技术总结, 枚举进程, 硬件断点, 禁用窗口, 软件断点

使用Windows API函数检测调试器是否存在是最简单的反调试技术。Windows操作系统中提供了一些这样的API，应用程序可以通过调用这些API来探测自己是否正在被调试。这些API有些是专门用来探测调试器的存在的。而另外一些API是处于其他目的而设计的，但也可以被改造用来探测调试器的存在。

恶意样本分析手册——反调试篇（上）

2017-06-27李东宏异常的分类, 显示函数调用栈, 源代码, 获取源文件, 调试事件调试循环, 调试器原理, 调试符号

DeBugger（调试器）是自从计算机诞生伊始就始终伴随着程序员的一个挚友，起初的调试器都是基于硬件直接实现的。

Win32 Industroyer技术分析与防护方法

2017-06-24李东宏Dragos公司, Win32 Industroyer技术分析, Win32/Industroyer, 乌克兰断电恶意软件, 攻击目标, 检测与防护方案, 绿盟科技, 网络规则

2017年6月8日，安全公司ESET发现了针对工控系统的恶意软件Win32/Industroyer，并提前向Dragos公司做了通过，Dragos通过对ESET分析结果进行验证后，6月12日公布了Win32/Industroyer的hash信息以及分析报告。

APT前传

2017-06-11刘弘利APT前传, Emacs 漏洞, The Cuckoo’s Egg, 杜鹃, 设置蜜罐, 黑客, 黑客画像

夏日林间，阳光从树叶的缝隙里洒下来，微风吹拂着树叶，影子在地上摇曳。鸟儿们在树梢上唱歌，有独唱，有对唱；啄木鸟在敲打树木，幼鸟们在喳喳喊着妈妈。

恶意样本分析手册——文件封装篇

2017-06-05李东宏加壳器, 加密壳, 压缩壳, 固件格式, 封装工具, 恶意样本分析, 恶意样本分析手册, 文件封装, 资源段

加壳器属于一种封装工具，它可以对反病毒软件，复杂的恶意代码分析过程隐藏恶意代码的存在，另外，能缩小恶意代码可执行文件的大小，因此它们在恶意代码编写者中很受欢迎。大部分加壳器都是免费且易于使用的。基础静态分析技术对加壳后的程序毫无办法，要想进行静态分析，必须先将加壳的恶意代码脱壳，这就给恶意样本分析增加了很大的难度。

CVE-2017-7494 Samba 远程代码执行漏洞分析

2017-05-26刘艺琨CVE-2017-7494, Linux, Samba 漏洞, Samba 远程代码执行漏洞, Samba 远程代码执行漏洞分析, 解决方案

5月24 日，Samba官方发布消息，Samba服务器软件存在远程执行代码漏洞。攻击者可以利用客户端将指定库文件上传到具有可写权限的共享目录，会导致服务器加载并执行指定的库文件。