绿盟科技技术博客

海莲花（APT32）组织 wwlib-side-loading攻击链分析

2018年以后，海莲花组织开始使用一种新的攻击手法，并且在之后的时间里持续增加攻击诱饵的投放数量，同时不断改进攻击链条的细节。统计发现，这条我们称之为wwlib side-loading的攻击链至今已发展出多个版本，可以作为海莲花组织近年主要攻击链来看待。

当地时间 9月 23 日，微软官方发布了“互联网浏览器累积安全更新”，修复了Internet Explorer中的一个远程代码执行漏洞（CVE-2019-1367）。漏洞存在于IE 脚本引擎处理内存中对象的方式中。该漏洞可以破坏内存，使攻击者可以在当前用户的上下文中执行任意代码。

ws2ifsl.sys (Winsock) 处理内存中对象的方式存在特权提升漏洞。成功利用此漏洞的攻击者可能会利用提升的特权执行代码。为了利用此漏洞，在本地经过身份验证的攻击者可能会运行经特殊设计的应用程序。

危害等级高，攻击者利用此漏洞，可造成任意文件读取。

危害等级高， phpstudy2016年发布的5.4版本被恶意植入后门，可获取所在服务器信息。

危害等级高，攻击者利用此漏洞，可进行跨站请求伪造攻击。

近日，泛微协同OA管理平台(e-cology)被披露在系统自带的BeanShell组件中存在未授权访问的漏洞，攻击者调用BeanShell组件接口可直接在目标服务器上执行任意命令。

危害等级高，攻击者利用此漏洞，可造成远程代码执行。

本文的内容将聚焦于近期海莲花攻击链的构成和特性，对各攻击链样本的详细分析请关注稍后发布的攻击链载荷分析文章。

在人工智能实践中，数据是载体和基础，智能是追求的目标，而机器学习则是从数据通往智能的技术桥梁。因此，在人工智能领域，机器学习才是核心，是现代人工智能的本质。

在微软刚发布的9月安全更新中，包含Excel的一个远程代码执行漏洞（CVE-2019-1297）。

当Excel无法正确处理内存中的对象时存在此漏洞。成功利用该漏洞的攻击者可以在当前用户的上下文中执行任意代码。如果当前用户使用管理员权限登录，则攻击者可以完全控制受影响的系统，能够安装程序，查看、更改或删除数据，或创建具有完整用户权限的新帐户。

Go语言因为跨平台且易上手，越来越受到攻击者的青睐。2019年年初^[1]，一个由Go语言编写的新型恶意软件家族问世，称为GoBrut（又名StealthWorker），目的是检测目标站点的服务并对其进行爆破。GoBrut行为低调但野心勃勃，每次均攻击众多Web服务器。