绿盟科技技术博客

wannaCry(想哭)蠕虫病毒查杀及善后应急方案

2017-05-14李利红NSFOCUS, wannaCry蠕虫病毒查杀及善后应急方案, 数据恢复, 样本查杀, 样本测试, 绿盟科技, 虚拟机调试, 蠕虫病毒查杀

拿到wannaCry蠕虫病毒，其原理的分析，这里再不重复，可以参考freebuf发的逆向分析报告http://www.freebuf.com/articles/system/134578.html这里就不再重复测试。

绿盟科技终端安全检查方案降低wannacry勒索危害

2017-05-14王猛wannacry勒索, 事前防范, 勒索软件, 绿盟NF防火墙, 绿盟威胁分析系统（TAC）协同联动, 绿盟科技, 绿盟科技终端安全检查方案, 绿盟远程远程安全评估系统（RSAS）

北京时间5月12日晚间，全球爆发了一系列勒索软件（Wannacry）的感染事件。国内大量企业遭到感染，多个高校的教育网受到感染，导致系统瘫痪。中招的终端会自动扫描开放445端口的windows终端，利用漏洞（该漏洞微软在2017年3月14日发布了Windows SMB服务器安全更新KB4012598。

【安全报告】wannacry勒索病毒绿盟威胁情报中心NTI公开分析报告

2017-05-14赵阳4.2 绿盟科技木马专杀解决方案, ETERNALBLUE SMB 漏洞, WanaCry蠕虫样本, WanaCry蠕虫样本分析报告, 勒索软件样本, 安全报告, 攻击定位, 文件结构, 绿盟科技, 绿盟科技检测服务

样本利用了ETERNALBLUE SMB 漏洞进行勒索软件的传播和感染，其中样本开始就连接了域名http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com测试网络连通性，如果能联通，则直接退出，如果不能联通，则继续后续行为。使用此种方式，可以在攻击者想要停止攻击时，即采用将未注册的域名进行注册的方式，停止此样本的进一步扩散。

【安全报告】WanaCrypt勒索蠕虫报告

2017-05-13李杰RSAS, TAC安全威胁分析系统, WanaCrypt勒索蠕虫报告, 利用漏洞进行渗透, 勒索软件, 安全报告, 绿盟科技

近日，勒索软件再次席卷全球，该勒索软件是一个名称为WannaCry的新家族，TAC安全威胁分析系统第一时间给出了深度权威分析。

【预警通告】全球爆发勒索软件“Wannacry”

2017-05-13绿盟科技MS17-010, 临时防护方案, 勒索软件 Wannacry, 勒索软件加密, 方程式组织, 绿盟科技

北京时间5月12日晚间，全球爆发了一系列勒索软件（Wannacry）的感染事件。国内大量企业遭到感染，多个高校的教育网受到感染，导致系统瘫痪。同时据英国广播电视台BBC报道，全球同一时间也爆发了多起勒索软件感染的事件，英国多家医院被感染，该勒索软件会加密被感染系统上的资料和数据，要求支付相应的赎金才会解密和恢复。包括俄罗斯，意大利，大部分欧洲国家，以及国内多所高校均被感染。

Hack PHP mail additional_parameters

2017-05-11邓永凯CVE-2016-10033, Exim4 MTA, Hack PHP mail, Hack PHP mail additional_parameters, HACK姿势, Nsctf平台, PHPMailer, WordPress 漏洞

在CVE-2016-10033中，PHPMailer的RCE火了一把，最近这个RCE又被老外放到wordpress中利用了一波，然后国内也跟着炒了一波，其实背后的锅都得PHP自带的内联函数mail()来背。

【威胁通告】3个西门子工控产品漏洞

2017-05-10张, 凯3个西门子工控产品漏洞, DoS漏洞, SSA-275839, 工业4.0, 绿盟科技, 西门子漏洞, 西门子工控产品漏洞

绿盟科技又发现3个西门子工控产品漏洞，影响到西门子的多款产品，西门子正在积极准备修补程序。

据悉，绿盟科技工控安全团队又发现了3个西门子工控产品漏洞，类型主要为DoS漏洞，且影响面较大，涵盖了西门子最新的博途软件和在销售的主流PLC产品。

【威胁通告】Microsoft恶意软件防护引擎远程执行代码漏洞

2017-05-09绿盟科技Microsoft 漏洞, Microsoft 远程执行代码漏洞, Microsoft恶意软件漏洞, Microsoft恶意软件防护引擎漏洞, Microsoft恶意软件防护引擎远程执行代码漏洞, 绿盟科技

当地时间5月8日，北京时间5月9日，微软（Microsoft）官方发布了一条安全更新称修复了一个存在于微软恶意软件防护引擎（Microsoft Malware Protection Engine）中的漏洞（CVE-2017-0290）。该更新解决了Microsoft恶意软件防护引擎在扫描特制文件时可能导致的远程执行代码的漏洞。

【安全报告】Hajime样本技术分析报告

2017-05-08田泽夏Hajime, Hajime 扫描, Hajime样本分析, Hajime样本技术分析报告, iptables设置网络, Linux Shell, Mirai, 安全报告, 攻击定位

随着科技的迅速发展，物联网设备的数量也随着增多。当这些先进的设备给人们提供方便的同时，也伴随着一些安全隐患。这给不法分子带来了庞大的市场，都想从中获得巨大的利益。就在大家所熟知的Mirai一统江湖的时候，一个名叫Hajime的新面孔粉墨登场并占领大量市场。

【安全报告】IBM USB恶意样本文件技术分析报告

2017-05-08田泽夏IBM Storwize for Lenovo, IBM USB恶意样本, IBM USB恶意样本分析, IBM USB恶意样本文件技术分析, 安全报告, 恶意文件, 检测方法, 绿盟科技

IBM安全团队近日发布了一条安全通告，表示IBM Storwize for Lenovo初始化USB驱动器包含恶意软件，包含由IBM Storwize for Lenovo V3500，V3700和V5000 Gen 1存储系统随附的初始化工具的一些USB闪存驱动器包含一个已被恶意代码感染的文件，有可能被用来启动初始化工具。

解读国内物联网资产的暴露情况分析

2017-05-07张星DDoS攻击, 国内物联网, 国内物联网资产的暴露情况分析, 物联网资产暴露, 网络瘫痪, 视频监控设备

2016年9月20日，著名的安全新闻工作者Brian Krebs的网站KrebsOnSecurity.com受到大规模的DDoS攻击，其攻击峰值达到665Gbps，Brian Krebs推测此次攻击由Mirai僵尸网络发动。2016年9月20日，Mirai僵尸网络针对法国网站主机OVH的攻击突破DDoS攻击记录，其攻击量达到1.1Tpbs，最大达到1.5Tpbs。2016年10月21日，美国域名服务商Dyn遭受大规模DDoS攻击，其中重要的攻击源确认来自于Mirai僵尸网络，美国东海岸地区遭受大面积网络瘫痪。2016年11月28日，德国电信遭遇断网时间，攻击源来自Mirai僵尸网络的新变种。而Mirai僵尸网络的广泛传播，则是因为暴露在互联网的物联网设备存在安全问题，如弱口令等。

phpcms v9.6.1任意文件下载漏洞分析及EXP

2017-05-06邓永凯EXP, getshell 漏洞, PHPCMS V9.6.0 漏洞, phpcms v9.6.1, SQL注入, WAF检测, 任意文件下载漏洞, 任意文件下载漏洞分析1 Comment

之前PHPCMS V9.6.0被爆出来一波SQL注入个getshell的漏洞，官方修复了（典型的指哪修哪）并且发布了V9.6.1。但是并没有修复完全，又被搞出来一个任意文件下载的漏洞，此漏洞Payload同样可以绕过WAF检测。