绿盟科技技术博客

WannaCry勒索病毒肆虐，打补丁又需要时间，怎么办？

2017-05-14李菲NSFOCUS BVS, RSAS v6, WannaCry勒索病毒, 绿盟BVS v6, 绿盟安全配置核查系统, 绿盟科技

众所周知，业务系统维护是一件复杂活，打补丁、装软件都需要很小心，很有可能会出现各种未知状况，往往验证多次后再小心进行，而面对本次WannaCry勒索病毒的肆虐传播，时间不等人！因此，绿盟科技推出了“配置核查与一键加固结合”的方案，在绿盟安全配置核查系统（简称NSFOCUS BVS）上，除了帮助企业检查所管辖IT系统是否有被传播病毒的配置缺陷（潜在风险）外，还能提供一键加固方案，为打补丁争取到宝贵的时间窗口。

开启DNS Client Service日志

2017-05-14scz64-bits Win7, Administrator权限, DNS, DNS Client Service, svchost

假设当前OS是64-bits Win7。至少从2002.11.21开始，有些文章提到DNS Client Service自带一种日志。

“永恒之蓝”勒索软件来势汹汹绿盟科技叫你如何做好应急防护

2017-05-14庞南互联网基础安全, 勒索软件, 合规及安全管理, 应急防护, 绿盟科技, 网络及终端安全

北京时间2017年5月12日20时左后，全球爆发大规模勒索软件感染事件，99个国家近万台电脑收到该勒索软件攻击。英国、美国、俄罗斯、德国、土耳其、意大利、中国、菲律宾等国家均已中招，且攻击仍在蔓延。

wannaCry(想哭)蠕虫病毒查杀及善后应急方案

2017-05-14李利红NSFOCUS, wannaCry蠕虫病毒查杀及善后应急方案, 数据恢复, 样本查杀, 样本测试, 绿盟科技, 虚拟机调试, 蠕虫病毒查杀

拿到wannaCry蠕虫病毒，其原理的分析，这里再不重复，可以参考freebuf发的逆向分析报告http://www.freebuf.com/articles/system/134578.html这里就不再重复测试。

绿盟科技终端安全检查方案降低wannacry勒索危害

2017-05-14王猛wannacry勒索, 事前防范, 勒索软件, 绿盟NF防火墙, 绿盟威胁分析系统（TAC）协同联动, 绿盟科技, 绿盟科技终端安全检查方案, 绿盟远程远程安全评估系统（RSAS）

北京时间5月12日晚间，全球爆发了一系列勒索软件（Wannacry）的感染事件。国内大量企业遭到感染，多个高校的教育网受到感染，导致系统瘫痪。中招的终端会自动扫描开放445端口的windows终端，利用漏洞（该漏洞微软在2017年3月14日发布了Windows SMB服务器安全更新KB4012598。

【安全报告】wannacry勒索病毒绿盟威胁情报中心NTI公开分析报告

2017-05-14赵阳4.2 绿盟科技木马专杀解决方案, ETERNALBLUE SMB 漏洞, WanaCry蠕虫样本, WanaCry蠕虫样本分析报告, 勒索软件样本, 安全报告, 攻击定位, 文件结构, 绿盟科技, 绿盟科技检测服务

样本利用了ETERNALBLUE SMB 漏洞进行勒索软件的传播和感染，其中样本开始就连接了域名http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com测试网络连通性，如果能联通，则直接退出，如果不能联通，则继续后续行为。使用此种方式，可以在攻击者想要停止攻击时，即采用将未注册的域名进行注册的方式，停止此样本的进一步扩散。

【安全报告】WanaCrypt勒索蠕虫报告

2017-05-13李杰RSAS, TAC安全威胁分析系统, WanaCrypt勒索蠕虫报告, 利用漏洞进行渗透, 勒索软件, 安全报告, 绿盟科技

近日，勒索软件再次席卷全球，该勒索软件是一个名称为WannaCry的新家族，TAC安全威胁分析系统第一时间给出了深度权威分析。

【预警通告】全球爆发勒索软件“Wannacry”

2017-05-13绿盟科技MS17-010, 临时防护方案, 勒索软件 Wannacry, 勒索软件加密, 方程式组织, 绿盟科技

北京时间5月12日晚间，全球爆发了一系列勒索软件（Wannacry）的感染事件。国内大量企业遭到感染，多个高校的教育网受到感染，导致系统瘫痪。同时据英国广播电视台BBC报道，全球同一时间也爆发了多起勒索软件感染的事件，英国多家医院被感染，该勒索软件会加密被感染系统上的资料和数据，要求支付相应的赎金才会解密和恢复。包括俄罗斯，意大利，大部分欧洲国家，以及国内多所高校均被感染。

Hack PHP mail additional_parameters

2017-05-11邓永凯CVE-2016-10033, Exim4 MTA, Hack PHP mail, Hack PHP mail additional_parameters, HACK姿势, Nsctf平台, PHPMailer, WordPress 漏洞

在CVE-2016-10033中，PHPMailer的RCE火了一把，最近这个RCE又被老外放到wordpress中利用了一波，然后国内也跟着炒了一波，其实背后的锅都得PHP自带的内联函数mail()来背。

【威胁通告】3个西门子工控产品漏洞

2017-05-10张, 凯3个西门子工控产品漏洞, DoS漏洞, SSA-275839, 工业4.0, 绿盟科技, 西门子漏洞, 西门子工控产品漏洞

绿盟科技又发现3个西门子工控产品漏洞，影响到西门子的多款产品，西门子正在积极准备修补程序。

据悉，绿盟科技工控安全团队又发现了3个西门子工控产品漏洞，类型主要为DoS漏洞，且影响面较大，涵盖了西门子最新的博途软件和在销售的主流PLC产品。

【威胁通告】Microsoft恶意软件防护引擎远程执行代码漏洞

2017-05-09绿盟科技Microsoft 漏洞, Microsoft 远程执行代码漏洞, Microsoft恶意软件漏洞, Microsoft恶意软件防护引擎漏洞, Microsoft恶意软件防护引擎远程执行代码漏洞, 绿盟科技

当地时间5月8日，北京时间5月9日，微软（Microsoft）官方发布了一条安全更新称修复了一个存在于微软恶意软件防护引擎（Microsoft Malware Protection Engine）中的漏洞（CVE-2017-0290）。该更新解决了Microsoft恶意软件防护引擎在扫描特制文件时可能导致的远程执行代码的漏洞。

【安全报告】Hajime样本技术分析报告

2017-05-08田泽夏Hajime, Hajime 扫描, Hajime样本分析, Hajime样本技术分析报告, iptables设置网络, Linux Shell, Mirai, 安全报告, 攻击定位

随着科技的迅速发展，物联网设备的数量也随着增多。当这些先进的设备给人们提供方便的同时，也伴随着一些安全隐患。这给不法分子带来了庞大的市场，都想从中获得巨大的利益。就在大家所熟知的Mirai一统江湖的时候，一个名叫Hajime的新面孔粉墨登场并占领大量市场。