绿盟科技技术博客

2017网络安全威胁3月月报

2017-03-24陈颐欢DDoS攻击, ddos攻击事件, 安全会议, 绿盟科技博客, 绿盟科技漏洞库, 网络安全威胁月报, 高危漏洞

绿盟科技网络安全威胁周报及月报系列，旨在简单而快速有效的传递安全威胁态势，呈现重点安全漏洞、安全事件、安全技术。

Apache Struts 2 Remote Code Execution Vulnerability (S2-046) Technical Analysis and Solution

2017-03-23蒋红梅Apache Struts 2 Remote Code Execution Vulnerability, Apache Struts 2 Vulnerability, EnglishVersion, Remote Code Execution Vulnerability, S2-046, Struts 2 Remote Code Execution Vulnerability

In the wee hours of March 21, Apache Struts 2 released a security bulletin, announcing a remote code execution (RCE) vulnerability in the Jakarta Multipart parser, which has been assigned CVE-2017-5638.

Dridex Banking Malware Sample Technical Analysis and Solution

2017-03-23刘鹏Dridex, Dridex Banking Malware, EnglishVersion, IBM's X-Force, Sample Introduction, Sample Technical Analysis and Solution

IBM’s X-Force security team recently discovered an updated version of Dridex, called Dridex v4. Dridex is one of the most popular banking trojans. It was first spotted in 2014 when it was viewed as the successor of GameOver ZeuS (GoZ) because it uses GoZ-related techniques. An important improvement in Dridex v4 is that it evades detection antivirus software by introducing the AtomBoming technique for malicious code injection.

Apache Struts2 远程代码执行漏洞（S2-046）技术分析与防护方案

2017-03-21苏少博Apache Struts2, Apache Struts2 远程代码执行漏洞, S2-046, Struts2 漏洞, Struts2 远程代码执行漏洞, 技术分析与防护方案, 绿盟威胁情报中心NTI, 绿盟科技

3月21日凌晨，Apache Struts2官方发布了一条安全公告，该公告指出Apache Struts2的Jakarta Multipart parser插件存在远程代码执行漏洞，漏洞编号为CVE-2017-5638。攻击者可以通过设置Content-Disposition的filename字段或者设置Content-Length超过2G这两种方式来触发异常并导致filename字段中的OGNL表达式得到执行从而达到远程攻击的目的。

hao123恶意代码样本分析报告与防护方案

2017-03-21苏少博hao123恶意代码, hao123恶意代码样本分析, 传播与感染, 恶意代码样本分析报告, 样本分析, 绿盟科技, 防护方案

近日，百度旗下网站http://www.skycn.net/与http://soft.hao123.com/被爆出用户在该网站下载软件时会被植入恶意代码。此恶意程序作为流量劫持者的初始执行程序会将恶意样本静默安装并且会以特定参数启动，生成的恶意程序将和远程C&C服务器进行通信并且获取对用户流量的劫持策略配置。

【预警通告】Apache Struts2 远程代码执行漏洞（S2-046）

2017-03-21绿盟科技Apache Structs2, Apache Struts2 远程代码执行漏洞, S2-046, Struts2 漏洞, Struts2 远程代码执行漏洞, 绿盟科技, 绿盟科技威胁事件定级标准

3月21日凌晨，Apache Struts2官方发布了一条安全公告，该公告指出Apache Struts2的Jakarta Multipart parser插件存在远程代码执行漏洞，漏洞编号为CVE-2017-5638。攻击者可以在使用该插件上传文件时，通过修改Content-Length头的值，并且在Content-Disposition 值中添加恶意代码，导致远程代码执行。

Dridex网银木马样本技术分析与防护方案

2017-03-20苏少博Dridex银行木马, TAC检测结果, 动态链接库劫持, 木马专杀解决方案, 用户自我检测, 绿盟科技, 网络行为, 网银木马样本技术分析

IBM X-Force安全团队近日发现了一个Dridex银行木马的升级版本，该版本被称为Dridex v4。Dridex是最为流行的银行木马之一，最早于2014年被发现，由于它当时使用了GameOver ZeuS(GoZ)恶意软件的相关技术从而被认为是GoZ的继任者。新版本的Dridex v4的重要改进是其使用了AtomBoming技术注入恶意代码从而躲避杀毒软件的查杀。

fastjson远程代码执行漏洞技术分析与防护方案

2017-03-20苏少博fastjson, fastjson 漏洞, fastjson远程代码执行漏洞, JSON库, WAF检测, 技术分析与防护方案, 绿盟科技, 远程代码执行漏洞

2017年3月15日，fastjson官方发布安全公告表示fastjson在1.2.24及之前版本存在远程代码执行高危安全漏洞。攻击者可以通过此漏洞远程执行恶意代码来入侵服务器。

Dahua Cameras Unauthorized Access Vulnerability Technical Analysis and Solution

2017-03-17蒋红梅Dahua Cameras Unauthorized, EnglishVersion, Technical Analysis and Solution, Unauthorized Access Vulnerability, Vendor Solutions, Vulnerability Analysis

Recently, Dahua Technology, a well-known security camera and digital video recorder (DVR) vendor in China, released firmware updates to address a serious security issue in certain products. Before the vendor made an official statement on this issue, however, a security researcher named Bashis said that this vulnerability seemed to be a backdoor intentionally left by the vendor and so made his findings public without notifying Dahua in advance.