绿盟科技技术博客

【预警通告】PHP本地堆溢出漏洞威胁

2016-09-09绿盟科技bcmath.c, PHP本地堆溢出漏洞威胁, PHP漏洞, 堆溢出漏洞, 溢出漏洞, 绿盟科技

NULL-LIFE团队的Fernando向PHP官方提交了PHP“bcmath.c”库中的本地堆溢出漏洞。绿盟科技安全团队发现www.securityfocus.com 网站对PHP“bcmath.c”多个本地堆溢出漏洞做了更新，其中涉及到的CVE编号分别为：CVE-2016-4537和CVE-2016-4538。

Operation Ghoul Attacks Technical Analysis and Solution

2016-09-07李东宏EnglishVersion, Executive Summary, Operation Ghoul Attacks Technical, Operation Ghoul Attacks Technical Analysis and Solution, Sample Analysis

On June 8 and June 27, 2016, Kaspersky Lab discovered a new wave of targeted attacks in multiple regions around the world. The attacker sent spear phishing emails to entice victims to execute malware in these emails for the purpose of obtaining key business data from the target network.

BTS软件漏洞或可劫持手机通讯基站安全威胁通告

2016-09-06苏少博BTS 漏洞, BTS软件安全审计, BTS软件漏洞, 可劫持手机通讯基站安全, 开源BTS软件, 开源BTS软件漏洞, 移动终端, 绿盟科技

最近，Zimperium实验室在对多个开源BTS（Base Transceiver Station）软件进行安全审计的过程中发现了多个漏洞，攻击者可以利用这些漏洞成功地入侵基站，导致基站无法正常工作或者被远程控制。

泰GSB银行ATM劫案样本分析报告

2016-09-01李东宏ATM恶意样本, 泰GSB银行, 泰GSB银行ATM劫案, 泰GSB银行ATM劫案样本分析报告, 绿盟科技, 银行劫案, 银行ATM劫案, 银行劫案

8月23日出现一个疑似是新出现的ATM恶意软件样本，使用了一些与通常样本不同的技术。巧合的是此样本在曼谷邮报新闻《泰国银行ATM机被攻击，一千两百万泰铢被盗》发布出来前的几分钟，被来自于泰国的IP上传到VirusTotal（一个提供免费的可疑文件分析服务的网站）。绿盟科技安全专家团队对此恶意软件样本进行了分析，发现此样本针对ATM发起攻击，并利用了很多罕见的技术来获取目标ATM设备的物理访问权，进一步协助攻击者提取ATM中的现金。

成熟产品IPS的创新实践和思考

2016-08-31李群APT攻击, APT攻击安全威胁, ESPC NTI, IPS TAC, IPS 云端价值, IPS的创新实践和思考, NGTP方案, NIPS, TAC, 成熟产品

成熟产品通常经过多年的研发和市场销售，销售额达到较高的水平，甚至市场占有率比较高的水平。这种状况下，如何保障产品进一步的增长的空间是成熟产品最大的挑战。

Zabbix SQL Injection Vulnerability Technical Analysis and Solution

2016-08-31李东宏EnglishVersion, NSFOCUS, Zabbix, Zabbix SQL, Zabbix SQL Injection Vulnerability

On August 12, 2016, 1n3 disclosed by email an SQL injection vulnerability in jsrpc.php in Zabbix, which can be exploited via the “insert” statement while jsrpc.php is processing the profileIdx2 parameter. This vulnerability is of the same type as the officially announced vulnerability, which is caused by latest.php processing the toggle_ids parameter. The only difference between the two is the location.

【预警通告】IOS远程越狱APT攻击安全威胁

2016-08-27绿盟科技APT攻击, APT攻击安全威胁, CVE-2016-4655, CVE-2016-4656, CVE-2016-4657, IOS 0day漏洞, IOS safari, IOS远程越狱, IOS远程越狱APT攻击安全, Pegasus, 绿盟科技

苹果公司昨天针对IOS发布了一个安全更新，涉及到三个0 day漏洞，这次漏洞的发现过程从一次APT攻击开始。大家需要注意，黑客通过漏洞进行远程控制并获得IOS用户的系统最高权限，造成敏感信息泄露、数据破坏等严重后果。

Operation Ghoul技术分析与防护方法

2016-08-27李东宏Ghoul, Ghoul 攻击, Ghoul 网络攻击, Operation Ghoul 网络攻击, Operation Ghoul(食尸鬼行动)网络攻击, unravel ghoul, 绿盟科技, 食尸鬼行动, 鱼叉式钓鱼邮件

2016年6月8日和2016年6月27日，卡巴斯基实验室发现了一个针对多个区域有针对性的攻击，即Operation Ghoul(食尸鬼行动)网络攻击。攻击者使用鱼叉式钓鱼邮件引诱目标运行，从而获取目标网络中的重要商业数据。

Google Chrome V8漏洞技术分析与防护方案

2016-08-25苏少博Google Chrome V8, Google Chrome V8引擎, Google V8 引擎, Google远程代码执行漏洞, V8漏洞, 绿盟科技, 谷歌漏洞, 远程代码执行漏洞

Google Chrome V8引擎3.20至4.2版本中存在远程代码执行漏洞，该漏洞是由于源代码中“observe_accept_invalid”异常类型被误写为“observe_invalid_accept”。攻击者可利用该漏洞造成kMessages关键对象信息泄露，执行任意代码。基于Android 4.4.4至5.1版本系统的WebView控件开发的手机APP均可能受上述漏洞影响。

【预警通告】Google Chrome V8引擎远程代码执行漏洞威胁

2016-08-24绿盟科技Google Chrome V8, Google Chrome V8引擎, Google V8 引擎, Google远程代码执行漏洞, V8漏洞, 绿盟科技, 谷歌漏洞, 远程代码执行漏洞

工控系统的综合保障思考

2016-08-23张学聪工控信息安全防护, 工控安全威胁情报, 工控安全与威胁情报, 工控安全事件, 工控系统, 工控系统保障, 工控系统安全, 工控系统生命周期, 绿盟科技, 震网病毒

与国计民生息息相关的自动化领域正面临着诸如两化融合、工业4.0、智能制造等概念的不断冲击和洗礼，工业化和信息化的结合给封闭的工业控制系统打开了一扇天窗，在享受信息共享与管理便利的同时，影响工业控制系统安全的潘多拉魔盒早已被悄然打开。传统信息系统固有的安全风险不可避免的被带入到了封闭、可靠的工业控制系统当中，这样一来，和工控系统相关的信息安全事件就一件接一件的发生了。