【年度盘点】2019年千里目安全实验室安全研究汇总

知己知彼，方能百战不殆。

在漏洞修复方面，深信服安全团队2019年持续跟踪0day漏洞96个， 针对高危漏洞对外发布应对方案72篇， Remote Desktop Protocol远程代码执行漏洞(CVE-2019-0708)，Oracle Weblogic 远程命令执行（CVE-2019-2729）等漏洞均持续跟踪多次预警。

在恶意软件处置方面，深信服安全团队持续关注终端安全威胁态势，其中，发现新型勒索病毒和勒索变种10个，持续跟踪Sodinokibi、Globelmposter等勒索病毒家族的活跃情况；其中Globelmposter“十二生肖”、“十二主神”等变种预警获得广泛关注；发布新型木马和变种6个， 并分析多个APT组织相关攻击样本及信息。

2019年千里目安全实验室技术文章汇总如下：

重点漏洞复盘

1. WinRAR目录穿越漏洞预警
2. 【漏洞预警】runc容器逃逸漏洞 (CVE-2019-5736)
3. 【漏洞预警】Apache Solr Deserialization 远程代码执行漏洞（CVE-2019-0192）
4. 【漏洞预警】Remote Desktop Protocol任意代码执行漏洞(CVE-2019-0708)
5.【更新】Remote Desktop Protocol任意代码执行漏洞(CVE-2019-0708)
6.【更新】RDP远程代码执行漏洞(CVE-2019-0708)攻击趋势分析
7.【更新 · POC公开】Remote Desktop Protocol远程代码执行漏洞(CVE-2019-0708)预警
8.【更新 · EXP披露】攻击代码被公布，Windows远程桌面服务代码执行漏洞（CVE-2019-0708）预警
9.预警！Windows BlueKeep RDP来了！
10.【漏洞预警】ThinkPHP 5.0.* 远程代码执行漏洞
11.【漏洞预警】ThinkPHP 5.1-5.2 全版本远程代码执行漏洞预警
12.【漏洞预警】Microsoft Exchange 任意用户提权攻击预警
13.【漏洞预警】Ubuntu Linux 权限升级漏洞（CVE-2019-7304）
14.【漏洞预警】Jenkins 插件远程代码执行漏洞（CVE-2019-1003000）
15.【漏洞预警】WordPress 5.0.0远程代码执行漏洞
16.【漏洞预警】Windows服务器易受IIS资源耗尽DoS攻击
17.【漏洞预警】Drupal 8远程代码执行漏洞，GET方法也能触发！
18. 【漏洞预警】Zimbra 邮件系统远程代码执行漏洞（CVE-2019-9621 CVE-2019-9670）
19.【漏洞预警】WordPress Social Warfare Plugin 远程代码执行漏洞
20.【漏洞预警】Apache HTTP Server组件提权漏洞(CVE-2019-0211)
21.Apache Tomcat 远程代码执行漏洞（CVE-2019-0232）预警
22.【漏洞预警】WebLogic任意文件上传漏洞（CVE-2019-2618）
23.【漏洞预警】Spring Cloud Config目录遍历漏洞（CVE-2019-3799）
24.【漏洞预警】WebLogic wls-async 反序列化远程命令执行漏洞
25.【漏洞预警】Intel Processor MDS系列漏洞预警
26.Vim编辑器本地代码执行漏洞预警（CVE-2019-12735）
27.微软六月补丁日重点漏洞预警
28.【漏洞预警】Coremail 多版本配置文件读取漏洞
29.【漏洞预警】Oracle WebLogic 远程命令执行 0day（CVE-2019-2725补丁绕过）漏洞
30.【漏洞预警】Linux 内核中TCP SACK机制远程拒绝服务漏洞
31.【更新】Oracle WebLogic 远程命令执行(CVE-2019-2729)漏洞预警
32.【更新】CVE-2019-1040 Windows NTLM篡改漏洞分析
33.【漏洞预警】WebSphere远程代码执行漏洞
34.【漏洞预警】Coldfusion 远程代码执行漏洞（CVE-2019-7839）
35.【漏洞预警】Apache axis远程命令执行漏洞
36.【漏洞预警】MailEnable漏洞(CVE-2019-12923~CVE-2019-12927)
37.【漏洞预警】微软七月补丁更新重要漏洞
38.【漏洞预警】Redis未授权访问高危漏洞
39.【漏洞预警】Microsoft Windows DHCP服务器远程代码执行漏洞(CVE-2019-0785)
40.【漏洞预警】Discuz! ML 任意代码执行漏洞
41.【漏洞预警】fastjson远程代码执行漏洞
42.【漏洞预警】Atlassian Jira远程命令执行漏洞
43.【漏洞预警】Atlassian Crowd远程命令执行漏洞
44.Drupal访问绕过漏洞预警
45.【漏洞预警】FasterXML Jackson-databind远程代码执行漏洞
46.【漏洞预警】ProFTPD远程命令执行漏洞(CVE-2019-12815)
47.【漏洞预警】Linux本地提权漏洞(CVE-2019-13272)

48.微软八月补丁日重点漏洞预警

49.【漏洞预警】Remote Desktop Protocol远程代码执行漏洞  (CVE-2019-1181/1182)

50. 【漏洞预警】Remote Desktop Client远程代码执行漏洞CVE-2019-0787/0788/1290/1291
51.【漏洞预警】Jenkins Script Security插件沙箱绕过漏洞
52.【漏洞预警】Jenkins git client插件远程命令执行漏洞
53.【漏洞预警】vBulletin 5.x 前台代码执行漏洞
54.Exim远程堆溢出漏洞预警（CVE-2019-16928）
55.Samba共享目录逃逸漏洞预警（CVE-2019-10197）
56.Windows远程桌面客户端远程代码执行漏洞预警（CVE-2019-1333）
57.【漏洞预警】Joomla 3.4.6远程代码执行漏洞
58.【漏洞预警】vBulletin 5.x 多个高危漏洞
59.【漏洞预警】Zabbix未授权访问漏洞
60.【漏洞预警】Linux sudo本地提权漏洞(CVE-2019-14287)
61.【漏洞预警】Oracle WebLogic CVE-2019-2891高危漏洞
62.【漏洞预警】泛微OA SQL注入漏洞
63.【漏洞预警】Kibana < 6.6.0 代码执行漏洞
64.【漏洞预警】Adobe Acrobat & Reader任意代码执行漏洞预警
65.【漏洞预警】PHP远程代码执行漏洞（CVE-2019-11043）
66.【漏洞预警】Apache Solr 远程代码执行漏洞
67.【漏洞预警】Apache Flink 任意Jar包上传导致远程代码执行漏洞
68.GoAhead Web服务器代码执行漏洞
69.Discuz! X系列全版本后台SQL注入漏洞
70.微软12月补丁更新|修复36个安全问题
71.GitLab多个安全漏洞公告
72.Log4j反序列化远程代码执行漏洞（CVE-2019-17571）

安全事件回顾

1.FilesLocker2.1圣诞特别版勒索病毒与早期版本解密工具
2.Globelmposter4.0最新变种，2018年最后一发！！！

3.警惕！一款注入型勒索病毒Ryuk，拉开2019年勒索病毒攻击的序幕

4.AI+安全深信服安全感知精准识别海莲花APT事件

5.Matrix勒索病毒PRCP变种侵入政企单位，警惕中招

6.年末将至，Mirai挖矿致使机器不休假！

7.警惕！GandCrab5.1来袭！

8.注入型勒索病毒Ryuk，伸向x64系统的魔爪

9.紧急预警：WatchDogsMiner挖矿蠕虫大量感染Linux服务器

10.冒用有效签名：Clop勒索病毒这股”韩流“已入侵国内企业

11.影响超5亿用户：WinRAR绝对路径穿越漏洞(CVE-2018-20250)在野利用传播后门

12.FilesLocker变种：Gorgon(蛇发女妖)勒索病毒感染政企系统

13.警惕“驱动人生”木马最新变种袭击MSSQL数据库

14.5.2版本发布：被各大安全厂商“掏空”的GandCrab又有新的变种了？

15. 被CrazyCrypt2.1勒索病毒加密了？深信服提供一键解密工具

16.数百以色列热门网站成为耶路撒冷攻击活动目标，向Windows用户传播JCry勒索病毒

17.预警！Globelmposter 4.0最新变种来袭，多家企业中招

18.WannaMine升级到V4.0版本，警惕中招！

19.“天堂”竟然伸出恶魔之手？Paradise勒索病毒再度席卷

20.全球最大铝生产商挪威海德鲁(Norsk Hydro)遭到LockerGoga勒索病毒攻击

21.高龄病毒“熊猫烧香”还没退休？

22.华硕软件更新服务器遭黑客劫持，自动更新向用户下发恶意程序

23.当心穿VB马甲的新型勒索病毒Tater！

24.识别使用随机后缀的勒索病毒Golden Axe

25.警惕！GandCrab5.2勒索病毒伪装国家机关发送钓鱼邮件进行攻击

26.速度进，手把手教你解密Planetary勒索病毒

27.【攻击捕获】JeeCMS漏洞竟沦为黑产SEO的秘密武器？

28.linux挖矿病毒DDG改造后重出江湖蔓延Windows平台

29. 真假文件夹？FakeFolder病毒再次捣乱企业内网

30.警惕！利用Confluence最新漏洞传播的Linux挖矿病毒seasame

31.谨防“神秘人”勒索病毒X_Mister偷袭

32.警惕“侠盗”团伙利用新型漏洞传播GandCrab勒索“蓝屏”变种

33.警惕x3m勒索病毒——CryptON

34.警惕Bizarro Sundown(GreenFlash)漏洞利用工具包传播Seon勒索病毒

35.准备交赎金？当心Phobos勒索病毒二次加密！

36.警惕利用Office漏洞传播商业间谍软件AgentTesla

37.新型勒索病毒Attention感染医疗与半导体行业

38.建筑行业出现集中式感染CrySiS勒索病毒，深信服率先提供解决方案

39.GoldBrute僵尸网络横空出世，百万台RDP服务器瑟瑟发抖

40.Bluehero挖矿蠕虫变种空降！

41.GandCrab最终版解密工具发布！

42.一起双网卡服务器被黑引发的勒索事件

43.Globelmposter勒索病毒最新变种预警：从“十二生肖”到“十二主神”，为何国内医疗行业最受伤？

44.感染数万设备!警惕ZombieBoy挖矿木马“丧尸式”传播

45.Linux平台ibus蠕虫C&C模块源码分析

46.狼狈为奸！Trickbot银行木马下发Ryuk勒索病毒，大型企业损失惨重

47.Golang蠕虫泛滥？让我们揪出其始作俑者

48.进口勒索“美杜莎” (Medusa Ransom)作祟，盯上国内政企用户

49.Sodinokibi勒索病毒利用Flash漏洞强势来袭

50.Gozi银行木马再现，针对高新制造业、进出口企业的“鱼叉式攻击”

51.Invoice钓鱼邮件姿势多，进出口企业机密信息易泄漏

52.勒索病毒新姿势：伪装SpyHunter安全软件

53.Shade活跃，中国用户将成为下一个受害者？

54.自解压、免杀、P2P传播，全能挖矿病毒GroksterMiner来袭

55.【预警】Sodinokibi勒索病毒运营团伙猖獗，针对国内用户大肆敛财

56.危险！EZDZ停用了你所有的安全应用程序

57.ClamAV+Falco，助你高效检测挖矿Docker

58.【紧急预警】“十二主神”勒索病毒2.0全新升级，明显针对中国大陆

59.钓鱼攻击姿势老套，不明真相还是上当

60.从Web蔓延到内网，BuleHero最新变种来袭

61.瞒天过海：某APT组织利用鱼叉邮件渗透多个行业窃取敏感数据

62.【热点资讯】数千台Linux主机被勒索，该如何打好防御战？

63.高危预警：针对MySQL数据库的勒索病毒

64.DDG挖矿僵尸网络病毒最新变种4004来袭

65.利用虚假简历进行攻击，疑似MuddyWater再次活跃

66.后起之秀：Gorgon APT黑客组织觊觎虚拟货币钱包

67.窃取加密货币的新型木马：InnfiRAT

68.GlobeImposter2.0再出新变种，疑似利用PsExec内网传播

69.殃及池鱼！老漏洞不修复内网资产危害大

70.俄罗斯APT攻击组织Gamaredon最新攻击样本

71.Phpstudy后门预警

72.来自TransparentTribe APT组织的窃密

73.勒索病毒变InfoStealer，Ryuk又双叒叕有新瓜可以吃了？

74.DEADMIN LOCKER勒索病毒预警：黑客携带全套工具内网横行

75.MedusaLocker勒索病毒Debug版本泄露，深信服高效检测防御

76.TransparentTribe APT组织最新样本分析报告

77.国外安全研究人员在社交网站发现疑似某APT组织的后台

78.“紫狐”木马升级新版本，警惕MSSQL被爆破

79.紧急预警：Globelmposter再次攻击医疗行业，爆“十二生肖”2.0新变种

80.勒索病毒新玩法 ——加密锁屏改密码，私密文件公开化

81.比特币价格回暖，Satan勒索再次变种袭击我国

82.Windows与Linux双平台无文件攻击：PowerGhost挖矿病毒最新变种感染多省份

83.利用IQY（Excel Web Query）文件分发，Buran勒索病毒又出新变种

84.一家人就是要整整齐齐，GarrantyDecrypt勒索病毒最新变种居然做出这种事！