分析及防护：Win10 执行流保护绕过问题

2015-08-07绿盟科技Black Hat, CFG, Win10, Windows 10, 执行流保护

分析及防护：Win10 执行流保护绕过问题

Black Hat USA 2015正在进行，在微软安全响应中心公布的最新贡献榜单中，绿盟科技安全研究员张云海位列第6位，绿盟科技安全团队（NSFST）位列28位，绿盟科技安全团队（NSFST）常年致力于发现并解决计算机以及网络系统中存在的各种安全缺陷。这篇《Windows 10执行流保护绕过问题及修复》是团队在此次大会上分享的主要内容

空指针漏洞防护技术提高篇

2015-08-05绿盟科技0day, null pointer, Windows 8, 二进制, 安全机制, 漏洞, 空指针, 零页内存

空指针漏洞防护技术提高篇

在《空指针漏洞防护技术-初级篇》中我们介绍了空指针及空指针漏洞的概念，在这次高级篇中介绍空指针利用及相应的防护机制。

空指针漏洞防护技术-初级篇

2015-08-05绿盟科技BIND, CVE, null pointer, Windows 8, 二进制, 内存泄露, 漏洞防护, 空指针, 逆向

空指针漏洞防护技术

安全历史上由于空指针所带来的漏洞及攻击数不胜数，但由于其对利用者的编程能力有要求，对分析及防护者来说有更高的要求，所以国内对空指针漏洞及相关技术的讨论不是很多。今天这篇《空指针漏洞防护技术》，由绿盟科技威胁响应安全专家坐堂讲解，大家可以从中了解空指针漏洞的基础知识，并结合Windows 8的内存防护机制实例，动手实践空指针漏洞的防护技术。

Dedecms远程写文件漏洞分析

2015-07-15tang3

0x00 漏洞概述

2015年6月17日seclists网站上公布了Dedecms的一个远程getshell漏洞细节，造成这个漏洞的原因也有些让人玩味。官方已在2015年6月18日发布了修复版本，下载链接：http://www.dedecms.com/products/dedecms/downloads/

本篇文章将分析这个漏洞的成因，并给出触发利用方法。

Hacking Team Flash 0Day 分析分享

2015-07-14绿盟科技hacking team, hacking team flash 0day

Content

漏洞：Flash 0Day
- 为什么是Flash 0Dday
- 漏洞触发
- 受影响系统
攻击：漏洞利用
- 触发原理
- 动态调试
- 提权验证
- 利用形式
防护：思路及建议
- 思路
- 建议
教学：Flash漏洞分析
- Flash背景知识
- Flash文件格式
- Flash常用工具介绍
- AS脚本
- Flash ActiveX控件介绍
威胁情报
关于绿盟科技

Hacking Team数据泄露防护方案

2015-07-10绿盟科技0day, hacking team, hacking team flash 0day, hacking team rcs, ht, rcs, TAC

Content

攻击：谁在攻击？
- Hacking Team及Gamma Group
泄露数据
影响程度
防护思路
- Detect
- Deny
解决方案
- 应对0Day
- 方案优势
威胁情报
关于绿盟科技

简要分析Hacking Team 远程控制系统

2015-07-09绿盟科技hacking team, hacking team flash 0day, hacking team rcs, ht, rcs

Content

简要分析 Hacking Team远程控制系统
泄露：Hacking Team
- Hacking Team
分析：远程控制系统
- Hacking Team RCS系统架构
- Hacking Team RCS基本功能
- Hacking Team RCS入侵手段
威胁情报
关于绿盟科技

深度分析及防护——加密木马攻击，海莲花？

2015-06-15绿盟科技apt报告, 海莲花, 海莲花特种木马

内容导读

随着匿名者攻击事件的跟踪分析走向深入，5月28日，又一系列针对中国的攻击行为浮出水面。这个被大家称为“海莲花”组织所实施的攻击，其攻击特性是怎样的，到底是单纯的木马，还是APT？随之而来的攻防思路会发生怎样的转变？用户又该如何应对？

本报告从此次攻击事件中截获的典型木马样本入手，分析其攻击行为，对比木马及APT的特性，为用户思考下一步的应对方案，给出了转变思路的攻防模型，提出未来攻防战中胜负判断标准及发展方向，并推荐了应对此次攻击的解决方案及实施步骤。

PHP远程DoS漏洞深入分析 及防护方案

2015-05-20绿盟科技

执行摘要

5月14日，国内爆出php远程DoS漏洞，官方编号69364。利用该漏洞构造poc发起链接，很容易导致目标主机cpu的占用率100%，涉及PHP多个版本。绿盟科技威胁响应中心随即启动应急机制，应急响应工作随即启动。

15日夜，启动漏洞分析工作，同步将分析结果发送产品团队；
16日，发布产品规则升级通告，绿盟科技RSAS产品升级相继就绪，客户通过在线及离线升级的方法，即可获得漏洞的检测能力；同时，在线漏洞检测引擎就绪；
17日，漏洞深入分析进行中。绿盟科技NIPS产品升级就绪，客户通过在线及离线升级的方法，即可获得漏洞的防护能力；
18日，我们回顾此次PHP漏洞的信息要点，从PHP漏洞防护的角度进行总结，为大家制定防御方案提供补充信息。

如果您需要了解更多信息，请联系：
绿盟科技威胁响应中心微博：http://weibo.com/threatresponse
绿盟科技微博：http://weibo.com/nsfocus
绿盟科技微信号：搜索公众号绿盟科技

“FREAK SSL Attack”科普版(CVE-2015-0204)

2015-04-22sczCVE-2015-0204, freak ssl attack, openssl, 加密算法

FREAK是”Factoring RSA-EXPORT Key Attack”的缩写。

参看:

http://blog.cryptographyengineering.com/2015/03/attack-of-week-freak-or-factoring-nsa.html

这是个一群密码学家如何黑了NSA的故事，也是关于加密体系后门的故事。

一群来自INRIA、Microsoft Research和IMDEA的密码学家发现OpenSSL客户端(比如 Android系统)、Apple SSL/TLS客户端(比如Safari)存在某些漏洞，允许MITM攻击者将受攻击的SSL/TLS会话所用的RSA算法更改成出口级RSA算法，后者意味着可以在可接受的时间范围内对算法所用的模数进行素因子分解，从而最终解密SSL/TLS会话。

ElasticSearch 远程代码执行漏洞分析（CVE-2015-1427）&高级利用方法

2015-04-22tang3

0x00 漏洞概述

要结合上一篇文章一起来看我第一次知道CVE-2015-1427这个漏洞是在2月13日（春节放假前一天），但是当时想着过年，而且觉得应该是Groovy自身的问题，就也没太在意。知道前两天兰少（lupin）问我有没有看这个漏洞，说他找到了绕过了沙盒的方法，才跑去看。

我跟lupin玩这个洞的思路不太一样，而且漏洞原理在他的文章里已经说的很清楚了，我这篇文章主要侧重这个漏洞利用的各种玩法。

剖析安卓木马Androrat（一）

2015-04-22tang3安卓手机木马, 安卓木马, 安卓远控木马

0x00 前言

之前有一个想法，想通过学习Android木马的编写来了解Android程序的编写，刚好看到了Bincker给的一个《安卓木马编写教程》。刚照着教程写完了一个入门程序，就无意间在WooYun上发现了Androrat的这个木马，看上去功能挺强大的，就决定来看一看它都是怎么实现各种功能的。

这篇文章对于我整个分析过程的重新整理，一方面为了给自己做个记录，另一方面给想要涉及Android领域的同学先抛一块砖垫脚。