安全动态

8 articles

2017年OWASPTop10技术解析

天融信阿尔法实验室   雨夜 韩鹏

一、OWASP介绍

OWASP是一个开源的、非盈利的全球性安全组织,致力于应用软件的安全研究。其使命是使应用软件更加安全,使企业和组织能够对应用安全风险作出更清晰的决策。目前OWASP全球拥有220个分部近六万名会员,共同推动了安全标准、安全测试工具、安全指导手册等应用安全技术的发展。

二、 2013版到2017版的改变

11.[mg

在过去的几年中,应用程序的基础技术和结构发生了重大变化,一些成熟的框架被大量使用,JS框架(如Angular、React)编写的单页应用程序,允许创建高度模块化的前端用户体验;原来交付服务器端处理的功能现在变为由[......]

Read more

Apache Tomcat 信息泄露漏洞预警及远程代码执行漏洞复现

一、漏洞描述:

2017年9月19日,Apache Tomcat官方 修复了2个严重级别的漏洞, 分别为: 信息泄露漏洞(CVE-2017-12616)、远程代码执行漏洞(CVE-2017-12615)

1.1CVE-2017-12616:信息泄露漏洞 

当 Tomcat 中使用了 VirtualDirContext 时,攻击者将能通过发送精心构造的恶意请求,绕过设置的相关安全限制,或是获取到由 VirtualDirContext 提供支持资源的 JSP 源代码。

1.2远程代码执行漏洞(CVE-2017-12615

如果Apache Tomcat服务器上启用了HTTP PUT请求[......]

Read more

Petya勒索病毒技术分析

天融信.阿尔法实验室  李喆 李闪 王宇晟 崔伟鹏 李燕春

一、petya事件描述

1.1 漏洞背景

 

在2016年的三月到4月,petya恶意勒索软件开始传播,相对于其他勒索软件进行一个个文件加密不同的是,它采用了修改Master Boot Record(MBR) 启动引导阻止用户进入系统,并引导进了一个很小的恶意内核系统,然后再进行加密。

在2017年 6月27日晚上,根据国外报道消息,新的变种petya出现了,它在和旧版本的区别是采用了office word文档漏洞(CVE-2017-0199),通过发送邮件的方式进行传播,用户打开恶意邮件触发漏洞后[......]

Read more

EternalRocks(永恒之石)蠕虫样本深入分析

阿尔法实验室 李喆 李闪 陈思远

 

一、背景介绍

近日自勒索蠕虫WannaCry之后又有一种新的蠕虫EternalRocks(永恒之石)通过SMB进行了攻击传播,同样是利用了NSA工具,EternalRocks利用了ETERNALBLUE、ETERNALCHAMPION、ETERNALROMANCE、以及ETERNALSYNERGY四个NSA的SMB漏洞利用工具,同时具备了漏洞扫描工具SMBTOUCH和ARCHITOUCH ,还有一个后门感染工具DOUBLEPULSAR。

天融信阿尔法实验室经过样本分析判断,虽然蠕虫永恒之石不具备主动恶意破坏功能,但是在会在感染设备上留[......]

Read more

WannaCry 勒索蠕虫变种样本分析报告

阿尔法实验室 李喆

概述:

阿尔法实验室对Wannacry 新出现的变种样本做了进一步分析,本报告主要对比新出现的样本和之前分析过的样本做了功能对比分析。分析新出现的样本是否具备其他恶意功能,是否需要在防护上做进一步处理。上一篇的样本分析可以看这里:

http://blog.topsec.com.cn/?p=2230

WannaCry 样本介绍

样本介绍:

在我们之前的分析中,我们分析的是

w2-6

这次新出现的样本为:

w2-7

变种1对比分析:

首先我们先拿我们之前分析的样本和变种1 做了一个对比

发现只是修改了一下域名开关:

w2-1

我们可以看到2E[......]

Read more

WannaCryptor 勒索蠕虫样本深度技术分析_阿尔法实验室

阿尔法实验室 李喆 李燕春

一、 WannaCryptor 是如何传播?

WanaCrypotor在几周之前就被发现了,但是这款恶意勒索软件传播速度没那么严重,是什么造成了传播如此之快? ETERNALBLUE ,永恒之蓝,这个是影子经纪人泄露的NSA攻击工具,攻击window的smbv1协议,端口为445,在公网上这个端口基本屏蔽了,但是有些教育网还有内网是开放的。给 WannaCrypotor 带来了便利,因为其功能的影响性影响了很多设备。

 

w1

二 Wanna Decryptor 是如何加密一个电脑?

2.1 开始工作
当一款电脑被Wann[......]

Read more

方程式最新Windows远程攻击0day漏洞威胁预警

阿尔法实验室

一、漏洞情况分析

 

于2017414Shadow Brokers泄露出一份机密文档密码为Reeeeeeeeeeeeeee压缩中包含了多个危害极大 Windows 远程漏洞利用工具,可以覆盖全球绝大多数 Windows 系统,只要 Windows 服务器开了1354453389 其中的端口之一,有很大概率可以直接被攻击,目前Windows服务器几乎全线暴露在危险之中,任何人都可以直接下载并远程攻击利用。

 

二、漏洞影响范围

Windows NT

Windows 2000

Windows XP

Windo[......]

Read more

先知白帽子大会感悟之Gr36

天融信阿尔法实验室 李喆

这次的白帽大会干货很多,从每个人的演讲中都能学到或者感悟到一些东西,无论是技术也好,还是经验也好,真的都很有用。在这里我能做的事把自己的一些理解和领悟告诉大家,无论是对的还是错的,都希望能帮助到大家。具体的细节还是可以看视频或者看新出炉的ppt等。

 

先从Gr36_开始说起,大神有多厉害就不再这里说了,技术细节可以看这里

http://mp.weixin.qq.com/s/rWdHrlkEHQOW4SUY1rKP6A?from=timeline

 

Gr36的一些思路总结:

信息搜集大家都知道很重要,但是[......]

Read more