绿盟科技技术博客

【安全报告】网络安全威胁月报 201706

2017-06-29陈颐欢ddos攻击事件, 安全会议, 绿盟科技博客, 绿盟科技漏洞库, 高危漏洞

绿盟科技网络安全威胁周报及月报系列，旨在简单而快速有效的传递安全威胁态势，呈现重点安全漏洞、安全事件、安全技术。获取最新的威胁月报，请访问绿盟科技博客 https://blog.nsfocus.net/

Petya变种样本技术分析

2017-06-28田泽夏Petya变种, Petya变种样本技术分析, petya病毒, 传播与感染, 勒索软件, 绿盟科技

2017年6月27日晚，多个企业遭遇勒索软件，导致业务中断。此次事件最初在乌克兰发现，后来逐步扩大，包括巴西、德国、俄罗斯、美国等多个国家。此次事件影响范围极广，造成的影响极大，绿盟科技对此次事件进行了高度关注，并在第一时间获取样本进行分析。

恶意样本分析手册——反调试篇（下）

2017-06-28李东宏CheckRemoteDebuggerPresent, IsDebuggerPresent, 使用TLS回调, 反调试技术总结, 枚举进程, 硬件断点, 禁用窗口, 软件断点

使用Windows API函数检测调试器是否存在是最简单的反调试技术。Windows操作系统中提供了一些这样的API，应用程序可以通过调用这些API来探测自己是否正在被调试。这些API有些是专门用来探测调试器的存在的。而另外一些API是处于其他目的而设计的，但也可以被改造用来探测调试器的存在。

【预警通告】多家企业感染MBR勒索病毒

2017-06-28绿盟科技0Day漏洞, CVE-2017-0199, EternalBlue, MBR勒索病毒, 勒索Petya, 勒索病毒, 多家企业感染MBR勒索病毒威胁, 绿盟科技

北京时间6月27日，据国外社交媒体消息，乌克兰、俄罗斯两国的政府机构、机场、银行以及多家大型工业企业部分计算机系统遭受勒索病毒威胁，导致主机无法正常引导开机，严重影响了国家多个正常业务的运转；同时6月27日晚间，国内部分外企也确认有发现感染同样的勒索病毒。

恶意样本分析手册——反调试篇（上）

2017-06-27李东宏异常的分类, 显示函数调用栈, 源代码, 获取源文件, 调试事件调试循环, 调试器原理, 调试符号

DeBugger（调试器）是自从计算机诞生伊始就始终伴随着程序员的一个挚友，起初的调试器都是基于硬件直接实现的。

烟草行业工控安全防护思路

2017-06-27冯冲安全防护行业, 工控安全防护, 工控安全防护指南, 烟草行业, 烟草行业质检

从18世纪末第一次工业革命到工业4.0，我国一直大力发展工业建设，如今实现以“数字化、智能化、网络化”为特点的工业信息化建设已经成为我国两化融合的重要目标，在此环境下国家烟草专卖局高度重视烟草行业工业控制系统安全建设工作。因此在《国家烟草专卖局办公室关于转发公安部2016年公安机关网络安全执法检查工作方案的通知》（国烟办综2016-257号）文件中，重新明确了行业工业控制系统的定义、分类及数量。

金融行业邮件安全解决方案

2017-06-26傅戈邮件安全解决方案, 金融行业基础知识, 金融行业安全解决方案, 金融行业数据安全解决方案, 银行行业邮件解决方案

邮件是一个对个人和机构信息安全影响巨大的应用。个人往往容易收到各类垃圾邮件和精心伪装的网络钓鱼邮件，这些垃圾邮件和钓鱼邮件中经常包含包括病毒、木马程序、恶意链接和勒索软件在类的各式恶意代码。当前的钓鱼邮件通常采取点击诱骗、提供登录入口、内嵌附件、持续性欺骗以及高度定制化的方式来诱骗邮件接收者。而邮件接收者则出于好奇、害怕和紧急这三个最主要的人为感情因素而遭遇欺诈[1]。根据统计，在互联网中每125封邮件中就有1封邮件含有恶意软件。