绿盟科技技术博客

绿盟科技互联网安全威胁周报NSFOCUS-18-39

2018-10-09绿盟科技CVE-2018-17615, NSFOCUS-2018-39, 互联网安全威胁态势, 任意代码执行安全漏洞, 漏洞库统计, 绿盟科技互联网安全威胁周报

绿盟科技发布了本周安全通告，周报编号NSFOCUS-18-39，绿盟科技漏洞库本周新增76条，其中高危20条。本次周报建议大家关注Foxit Reader for Windows 任意代码执行安全漏洞等，在Foxit Reader 9.2.0.9297及之前版本中Mouse Exit对象的处理过程存在释放后重用漏洞，该漏洞源于程序在对对象执行操作前，没有检测该对象是否存在。远程攻击者可借助恶意的文件或页面，利用该漏洞在当前进程的上下文中执行任意代码。目前厂商已经发布了升级补丁，请用户及时到厂商主页下载补丁修复这个安全问题。

【预警通告】Apache Struts 双重评估远程代码执行漏洞

2018-10-09绿盟科技Apache Struts, 双重评估远程代码执行漏洞, 远程代码执行漏洞, 远程代码执行漏洞修复

当地时间10月3日，来自LGTM的安全研究人员发布博客公布了多个 Apache Struts双重评估远程代码执行漏洞。该研究人员利用以下步骤定位到漏洞，首先通过QL查询能导致双重评估的代码模式来发现可能存在的漏洞，其次利用污点跟踪寻找OGNL的入口点方法，最后经过进一步分析来确定漏洞，详细过程见参考链接。

NuggetPhantom分析报告

2018-10-08威胁情报与网络安全实验室EternalBlue漏洞, NuggetPhantom掘金幽灵, 天翼校园客户端被植入挖矿程序事件, 恶意软件, 绿盟威胁情报中心

近期，绿盟威胁情报中心（NTI）在一次应急响应中，发现一起使用模块化恶意工具集“NuggetPhantom（掘金幽灵）”的安全事件。据我们观测，本次安全事件背后的组织最早出现于2016年底，其曾在2016年底的“天翼校园客户端蓝屏事件”以及2017年底的“天翼校园客户端挖矿程序事件”中有所行动。攻击者获知用户计算机存在EternalBlue漏洞后，利用该漏洞向用户计算机发送Eternal_Blue_Payload载荷，该载荷及其所释放的各模块皆通过访问下载服务器来获取加密后的各用途模块文件，并在内存中动态解密这些模块代码，执行模块对应的恶意功能。

Xbash 恶意软件技术分析与防护方案

2018-10-01绿盟科技Xbash恶意软件, xbash恶意软件防护与分析方案, 弱口令爆破, 端口扫描/攻击, 绿盟科技入侵检测系统(IDS)

本月，来自Palo Alto Networks威胁情报小组Unit42团队的安全研究人员发现了一种新的恶意软件，被称为Xbash，主要针对Linux和Microsoft Windows服务器。恶意代码结合了不同恶意软件的功能，如勒索软件，挖矿软件，僵尸网络和蠕虫。在被感染的Linux系统中发现了僵尸网络和勒索软件功能，而在被感染的Windows服务器中则发现了挖矿行为。

【预警通告】Xbash 恶意软件

2018-09-30绿盟科技Hadoop, Xbash恶意软件, 僵尸网络, 勒索软件, 比特币钱包地址

本月，Palo Alto Networks的安全研究人员发现了一种新的恶意软件，被称为Xbash，主要针对Linux和Microsoft Windows服务器。恶意代码结合了不同恶意软件的功能，如勒索软件，挖矿软件，僵尸网络和蠕虫。在被感染的Linux系统中发现了僵尸网络和勒索软件功能，而在被感染的Windows服务器中则发现了挖矿行为。

威胁建模还有多少用武之地

2018-09-30赵波企业安全能力, 威胁建模, 威胁建模应用场景, 威胁建模方法分析, 安全威胁, 安全性开发生命周期SDL

威胁建模是一个不断循环的动态模型，随着时间的推移不断更改，以适应发现的新型威胁与攻击。还要能够适应应用程序为适应业务变更而不断完善与更改的自然发展过程。从整个企业安全能力视图来看，威胁建模工作可以在业务系统需求管理和安全设计阶段发挥作用。考虑到方法论本身具有较强的复用性，在别的阶段和领域都会有用武之地。威胁建模的动态性体现在安全需求和安全设计的不断迭代过程中。

【威胁通告】Cisco 多个安全漏洞

2018-09-30绿盟科技cisco产品漏洞, CVE-2018-0467, CVE-2018-0469, CVE-2018-0470, CVE-2018-0472, CVE-2018-0476, CVE-2018-0485, DoS, 思科漏洞

近日，Cisco官方发布了半年一次的Cisco IOS和IOS XE软件的安全建议报告，其中公布了Cisco IOS软件和Cisco IOS XE软件中的13个漏洞。还有一份报告中描述了Cisco ASA软件中存在的漏洞。所有13个漏洞的安全影响评级（SIR）均为High。其中四个漏洞影响Cisco IOS软件和Cisco IOS XE软件,一个漏洞影响Cisco IOS软件，七个漏洞影响Cisco IOS XE软件,一个漏洞影响Cisco IOS XE软件和Cisco ASA软件。思科已确认所有漏洞均不会影响Cisco NX-OS软件。

新一代数据中心网络安全产品的旁路部署方式探讨

2018-09-28陈炜忻基于分流器加权负载均衡, 基于分流器多业务复用, 基于分流器的解决方案, 基于流镜像的解决方案, 安全产品, 新一代数据中心, 旁路部署方式

新一代数据中心开始大量应用云计算技术，采用了计算、存储及网络资源松耦合模式，虚拟化各种IT设备及系统、模块化与自动化程度较高。正因为新一代数据中心的优势和特点，使其吸引并整合了更多的资源，同时伴随着国内运营商光进铜退的网络演进方向，公众用户接入网带宽也以10-50倍标准提升，这些都造成了新一代数据中心网络出口带宽大幅度增长，对安全产品的部署提出了新的挑战。

属性图数据库JanusGraph初探

2018-09-28薛见新Gremlin, JanusGraph, Janusgraph图数据库, Tinkerpop, 属性图数据库

图数据库所提供的关联分析能力是金融反欺诈、威胁情报、黑产打击和案件溯源等业务所需要的核心能力。图数据库的需求非常多，例如金融安全业务希望使用图数据库进行金融反欺诈关联分析、威胁情报业务希望通过图数据库进行黑产研究和情报分析、还有社交关系分析、知识图谱等需求场景。