绿盟科技技术博客

翻译：提升关键基础设施网络安全框架

2016-06-27绿盟科技关键信息基础设施, 关键信息基础设施保护, 关键基础设施, 关键基础设施保护, 关键基础设施安全, 关键基础设施网络安全框架, 网络安全框架

美国的国家与经济安全取决于关键基础设施是否可靠运行。越来越多的关键基础设施系统接入网络，日益复杂，成为网络安全威胁的利用因素，置国家安全、经济以及公共安全与健康于风险之中。与金融和信誉风险类似，网络安全风险会使公司成本上升，收入下降，最终影响公司的运营结果。它还会损害组织的创新能力，妨碍其争取并留住客户。

翻译：CAESARS框架扩展：企业持续监控技术参考模型

2016-06-27绿盟科技CAESARS框架扩展, 企业持续监控技术, 企业持续监控技术参考模型, 态势感知, 持续安全监控, 持续监控, 持续监控 CM

本文及其支撑性文档介绍了实现企业持续监控（CM）的技术参考模型。该模型扩展了国土安全部联邦网络安全部门提供的基于CAESARS架构的框架，具体指提供附加功能、对每个子系统进行详细定义，并且进一步利用了安全自动化标准。

BadTunnel超级漏洞CVE-2016-3213技术分析与防护方案

2016-06-26李东宏BadTunne 漏洞, BadTunne超级漏洞, CVE-2016-3213, Win95到Win10 漏洞, windows 漏洞, windows漏洞修复, windows漏洞利用, windows漏洞攻击, 技术分析与防护方案, 绿盟科技

2016年6月15日，微软发布了6月安全更新，微软修复了一个影响Windows 95到Windows10所有版本的操作系统漏洞，可能成为Windows漏洞史上影响范围最广的漏洞。不要慌张，听绿盟君带你进行技术分析和相应防护措施。

【预警通告】BadTunnel超级漏洞威胁预警通告

2016-06-26绿盟科技BadTunne 漏洞, BadTunne超级漏洞, Win95到Win10 漏洞, windows 漏洞, windows漏洞修复, windows漏洞利用, windows漏洞攻击, 绿盟科技

2016年6月15日，微软发布了6月安全更新，其中有一个高危漏洞被修复，此漏洞能够影响从Windows 95到Windows10所有版本的操作系统，可能为Windows漏洞史上影响范围最广的漏洞。

Struts2 S2-037(CVE-2016-4438)漏洞分析

2016-06-26tang3Apache Struts2 漏洞, Apache Struts2 漏洞检测, CVE-2016-4438, S2-037, Struts2 漏洞, struts2 漏洞修复, struts2 漏洞利用工具, struts2漏洞利用, struts2漏洞在线检测, 绿盟科技

昨天pkav发布了一个关于S2-037(CVE-2016-4438)的漏洞分析（好像是他们提交的？），和S2-033一样也是关于rest插件导致method变量被篡改造成的远程代码执行漏洞，而且不需要开启动态方法调用便可利用。之前因为手边琐碎的事情不断，而且感觉rest插件配置有点麻烦，就没有跟S2-033这个鸡肋。但是没想到居然还有后续，这次是想偷懒也没得躲了╮(╯▽╰)╭，下面就让我们来看看这个漏洞到底是个什么玩意儿~~

Struts2远程代码执行漏洞（S2-037）技术分析与防护方案

2016-06-26李东宏Apache Struts2 漏洞, Apache Struts2 漏洞检测, S2-037, Struts2 漏洞, struts2 漏洞修复, struts2 漏洞利用工具, struts2漏洞利用, struts2漏洞在线检测, 绿盟科技

继Apache Struts S2-033后，Apache官方披露了一个新的高级别漏洞，影响范围比S2-033更广。无论是否在开启动态方法调用（Dynamic Method Invocation）的情况下，攻击者使用REST插件调用恶意表达式均可以远程执行代码。
此漏洞编号为 CVE-2016-4438，定名为 S2-037。

WVSS和RSAS 助你快速检测Apache Struts2远程代码执行漏洞S2-037

2016-06-26李静Apache Struts2 漏洞, Apache Struts2 漏洞检测, S2-037, Struts2 漏洞, struts2 漏洞修复, struts2 漏洞利用工具, struts2漏洞利用, struts2漏洞在线检测, WVSS RSAS, 绿盟科技

Apache Struts2在使用REST插件的情况下，攻击者使用REST调用恶意表达式可以远程执行代码。该漏洞编号为CVE-2016-4438，定名S2-037。该漏洞和S2-033漏洞触发流程基本一致，都是在ActionMapping中methodName带入到OGNL表达式中执行，从而导致任意代码执行。你还在担心无法快速确认自己的业务是否安全吗？WVSS和RSAS 助你快速确认风险。

【预警通告】Struts2三爆远程代码执行漏洞（S2-037）

2016-06-26绿盟科技Apache Struts2 漏洞, Apache Struts2 漏洞检测, S2-037, Struts2 漏洞, struts2 漏洞修复, struts2 漏洞利用工具, struts2漏洞利用, struts2漏洞在线检测, 绿盟科技

2016年5月12日，Apache官方发布安全通告S2-033（CVE-2016-3087），在开启动态方法调用（Dynamic Method Invocation）的情况下，攻击者使用REST插件调用恶意表达式可以远程执行代码。

信息泄露之拖库撞库思考（3）

2016-06-26绿盟科技信息泄露, 拖库, 拖库撞库, 拖库撞库, 撞库, 撞库攻击, 数据库拖库

某网站被曝“信息泄露”事件，使拖库、撞库这两个黑产中的专有术语再次呈现于公众舆论面前。上次从攻击实现角度，对拖库、撞库攻击进行简单分析；从安全防护设计、建设运维角度，给出针对这两种攻击实践总结的安全防御40条策略。本文主要从撞库角度出发和大家探讨一下相关内容和技术。

信息泄露之拖库撞库思考（2）

2016-06-26绿盟科技信息泄露, 拖库, 拖库撞库, 拖库撞库, 撞库, 撞库攻击, 数据库拖库

某网站被曝“信息泄露”事件，使拖库、撞库这两个黑产中的专有术语再次呈现于公众舆论面前。上次绿盟君从攻击实现角度，对拖库、撞库攻击进行简单分析；从安全防护设计、建设运维角度，给出针对这两种攻击实践总结的安全防御40条策略。本文主要从拖库角度出发聊聊。

TAC检测恶意样本扩展分析实例(下篇)

2016-06-25刘弘利TAC, 恶意应用样本, 恶意样本, 恶意样本分析, 恶意样本分析, 恶意样本扩展分析, 恶意样本提取, 恶意样本查找, 恶意样本检测, 检测恶意样本

上篇中，通过对恶意样本的TAC告警分析，以及借助第三方平台进行扩展分析，给大家展示了一个恶意样本有可能的行为，有可能的来源等。下篇，我们来看一下通过手工分析的部分。恶意样本分析的上篇，我们通过对恶意样本的TAC告警分析，以及借助第三方平台进行扩展分析，让大家了解，一个恶意样本有可能的行为，并尝试找到样本来源。下篇，我们来看一下通过手工分析恶意样本的行为。

【预警通告】数据采集系统ESC8832漏洞

2016-06-25绿盟科技ESC8832数据采集系统, ESC8832漏洞, 数据采集, 数据采集系统, 数据采集系统漏洞, 绿盟科技

2016年6月2日，ICS-CERT通报独立研究员Maxim Rupp于2015年2月18日发现了在Environmental Systems Corporation(ESC)8832存在远程越权使用漏洞。ESC表示设备中没有多余的空间做额外的安全补丁，所以固件更新是不可能了。
该设备主要用于能源部门，尤其是石油和天然气领域，用于校准并开关气管电磁阀以及其它ICS/SCADA设备。
通过互联网信息了解到，已经发现有电厂使用了此设备，攻击者可以利用该漏洞远程控制电厂系统。
此漏洞编号为CVE-2016-4502，ICS-CERT定名为ICSA-16-147-01。