每日安全简讯(20161214)
1、JS脚本后门Ostap用于传播银行木马2、安全厂商称Zcash将使挖矿程序回归
3、McAfee企业版反病毒被发现RCE漏洞
4、安全专家警告停止使用Netgear路由
5、国家电网App造成海量用户数据泄露
6、法国成立网络战部队以应对外国黑客
【安天】搜集整理(来源:securityweek、securelist、zdnet、solidot、cnbeta、securityweek) 1、JS脚本后门Ostap用于传播银行木马
标题:Ostap Backdoor Installs Banking Trojans, PoS Malware
作者信息:December 12, 2016 By Ionut Arghire
//BEGIN
A newly documented backdoor is being used by a threat group to install well-known banking Trojans, along with a point-of-sale (POS) malware dropper, Proofpoint security researchers warn.
来自安全专家发布的消息称:最近发现一种新型的网银木马还具有POS恶意代码下载器的功能。该恶意代码被命名为Ostap,是一个JScript编写的后门程序,可能与之前流行的恶意代码下载器MrWhite相关,这个MrWhite是采用Delphi语言编写,它会自动扫描被感染机器,如果没发现任何一种的POS恶意病毒,那么它就会自动下载一个。感染的地区包括欧洲的一些国家:德国、奥地利以及英国等等。
传播方式为比较传统的垃圾邮件的方式,但其中恶意的就是其附件,这些附件一般都含有恶意的WORD文件。这些恶意的WORD文件通常根据感染对象不同采用不同的语言编写:要么是德文要么是英文。
即使这些恶意的WORD文档被关闭了,但是其恶意代码部分被拷贝到启动目录Startup项目下,这样每次开机自动启动,该恶意代码都会自动运行。
//END
“Threat actors are constantly exploring new approaches to delivering and monetizing malware. In this case, a new group is using an undocumented backdoor and a new loader to deliver familiar banking Trojans and POS malware. By introducing new malware variants, both of which drop payloads that are often caught by existing defenses, the actor group makes detection more difficult and makes it easier to swap out final payloads,” Proofpoint says.
为了躲避查杀,实际上恶意代码的作者们一直在绞尽脑汁:其目的就是如何将恶意代码传递到用户的机器上,并诱使用户执行,另外一个就是如何变现。
本文提到的这个恶意代码其实是老酒装了一个新瓶子中:真正的网银木马和POS恶意代码其实是老的,但是采用一个新的后门程序和加载器能作为一个新的下载通道。
点评:捂紧钱袋子好过年! 2、安全厂商称Zcash将使挖矿程序回归
标题:Zcash, or the return of malicious miners
作者信息:December 12, 2016. 9:01 am By Alexander Gostev
//BEGIN
On 28 October, the cryptocurrency world saw the emergence of a new player, the Zcash (ZEC) cryptocurrency. Its developers have described it rather figuratively: “If Bitcoin is like HTTP for money, Zcash is HTTPS.” They continue by noting that “unlike Bitcoin, Zcash transactions can be shielded to hide the sender, the recipient and value of all transactions.”
著名的比特币恐怕要遇到竞争对手了!最近一个被称为Zcash的虚拟货币粉墨登场了。
Zcash的开发人员这样形容为啥已经有了比特币还需要开发这个Zcash币:如果把比特币比喻为HTTP的话,那么Zcash就是HTTPS。
Zcash的整个传输过程都可以被加密:不仅仅是接受者可以匿名,发送者以及交易的金额都可能是匿名的。是不是很诱惑?
//END
So, what are the threats facing a user who is unaware that their computer is being used for cryptocurrency mining?
Firstly, these operations are power hungry: the computer uses up a lot more electricity, which, in some countries, could mean the user ends up with a hefty electricity bill.
Secondly, a mining program typically devours up to 90% of the system’s RAM, which dramatically slows down both the operating system and other applications running on the computer. Not exactly what you want from your computer.
To prevent the installation of mining programs, Kaspersky Lab users should check their security products and make sure detection of unwanted software is enabled.
那么如何预防Zcash来挖矿呢?
其实这个挖矿程序严格来说,还不能算是恶意代码,顶多算一个用户可能并不需要的程序PUP。
尽管如此,为了发现潜在的风险,建议用户注意以下事项:
首先:机器的耗电情况,如果突然您的机器耗电量大增(电费单子高得离谱),那么就要特别留意了。说不定就是那些“勤奋”的挖矿程序在搞怪。
其次:内存占用情况:挖矿程序通常会占用整个系统RAM内存的90%,使得操作系统变得很慢很慢,运行程序基本不能动,这时也要特别注意仔细检查您的计算机。
点评:Zcash可以称为Z币吗? 3、McAfee企业版反病毒被发现RCE漏洞
标题:Security flaw in McAfee enterprise software gives attackers root access
The security company took six months to patch the set of security vulnerabilities.
作者信息:December 13, 2016 09:02 GMT (17:02 GMT+08:00)By Charlie Osborne
//BEGIN
Vulnerabilities discovered in Intel McAfee's VirusScan Enterprise for Linux which could lead to the remote takeover of a system were patched six months after disclosure.
知名反病毒企业Intel McAfee的Linux企业版杀毒软件在被发现后严重漏洞后的六个月终于发布修补补丁。这些严重的漏洞是一串的,一共有10个之多。当然需要这些漏洞被组合起来使用才能导致被远端用户控制,而且是以最高的Root权限进行。
该反病毒软件以Root最高权限运行,声称可以使得机器更安全,不是特别流行而且最重要的是升级不很频繁。所有的这些特性吸引了安全研究人员的关注。
安全研究人员发现了一连串的漏洞:起码其中的4个是关键的漏洞。最开始的2个还是连号的:CVE-2016-8016和CVE-2016-8017.这两者可能导致信息泄露。
//END
The vulnerabilities were originally reported in June this year with public disclosure scheduled for August. Following communication between the McAfee security team and Fasano, the company requested an extension until September or even the end of the year.
Three months of radio silence then occurred before McAfee was issued a public disclosure date of December 12 on December 5.
Once this date was set in stone, McAfee finally stirred and published a security bulletin and assigned CVE IDs before the disclosure date on December 9.
这些漏洞本来今年的6月份就被发现并报告给了McAfee,当时预期公开的日期是在8月份。当然后来McAfee与发现人员协商,是否可以延长公布的日期到9月份甚至到年底。
经过三个月的沉寂后,终于在12月5日,McAfee公司决定在12月12日公开此漏洞。一旦承诺了该日期,McAfee公司进行了努力,并按时公布了该漏洞。
点评:安全软件一口气发布10个漏洞补丁,这好像那里有点不对劲? 4、安全专家警告停止使用Netgear路由
{CHN}
标题:安全专家警告停止使用 Netgear的路由器
作者信息:2016年12月13日 21时10分 星期二 By pigsrollaroundinthem
//BEGIN
安全专家警告多款Netgear的路由器产品存在容易被攻击者利用的漏洞,允许攻击者完全控制设备。任何连接本地Netgear网络的用户如果点击了远程攻击者伪装的恶意链接,攻击者可以利用这个高危漏洞向路由器注入高特权指令,原因是路由器不能正确过滤掉包括Web请求在内的输入,从而允许攻击者运行shell 指令。Netgear R7000、R6400和 R8000等型号被证实受到影响,而R7000P、R7500、R7800、R8500和R9000也被报道存在漏洞。讽刺的是,权益的修复方法就是利用这个漏洞发送指令关闭路由器的Web服务器。
//END
点评:权宜之计还是暂时不用NetGear吧。 5、国家电网App造成海量用户数据泄露
{CHN}
标题:国家电网App海量用户数据外流 淘宝店主叫卖住址
作者信息:2016-12-13 08:34:44 By 21世纪经济报道
//BEGIN
国家电网面向4亿用户推出的掌上电力App,如今正成为数据黑色产业链觊觎的对象。近日,有知情人士向21世纪经济报道记者爆料:“掌上电力、电e宝App正在出现数据泄露,涉及用户规模已经超过千万级,而且部分数据可能已经流入‘黑产’,危害持续扩大。”
//END
12月12日15:40之后,21世纪经济报道记者搜索“掌上电力”,大量宝贝被下架,此前记者统计过的销量较高的宝贝均显示“商品过期不存在”。但是,仍然有70多个宝贝出现在搜索结果中,而且,记者统计过的72家店铺均未被关闭,已经有店铺通过更改宝贝图片、夹带关键词等方式逃避审批,上述使用淘宝直通车服务的商户,仍然排在广告栏的首位。21世纪经济报道记者之前咨询的多位店主告诉记者:“淘宝说是业务违规,给我们都下架了。但业务照做,你去拍个其他的链接。”
需要指出,手机号码注册、非法信息采集等类目都属于淘宝禁限售类别,违规者会被处以“立即删除商品、扣12分”的处罚。但是,多位店主告诉记者“没有扣过分”。
点评:这些都是活生生的数据呀。 6、法国成立网络战部队以应对外国黑客
标题:Worried by Hacker Threat, France Prepares Army Response
作者信息:December 12, 2016 By AFP
//BEGIN
France announced its first cyber-warfare army unit on Monday, aimed at increasing the country's hacking skills as concerns grow in Europe and the United States about Russian capabilities.
Defense Minister Jean-Yves Le Drian likened the impact of hacking on warfare to the effect of the first aircraft on conflicts in the early 20th century.
法国本周一发布声明:成立网军!
其目的是为了防止俄罗斯的网络攻击能力渗透到其国土范围内,这也许来源与各种关于美国和欧洲部分地区遭受据称来自俄罗斯的攻击的连篇累牍的报道。
其国防部长将网军的成立类似20世纪初的飞机被首次应用到冲突相关地区,它所带来的震撼极其相似:全面提升了战斗的烈度和广度。
//END
Allegations of state involvement in hacking have not been restricted to Russia.
The United States and Israel are thought to have been behind the Stuxnet worm that sabotaged Iran's nuclear infrastructure in 2010, but the famous cyberattack has never been claimed.
Russia said last Friday that it had uncovered plans by foreign intelligence services to carry out massive cyberattacks this month targeting the country's
financial system.
对一个国家的网络攻击能力的指控不仅仅是针对俄罗斯。
著名的震网病毒Stuxnet的来源到目前为止还未公开,但是业内都普遍相信它是由以色列和美国联手的“杰作”:旨在对伊朗的核基础设施进行破坏,而该攻击发生在6年前的2010年。
另外一方的俄罗斯上周五声称,已经破获一个国外的情报机构的信息:这些间谍机构准备本月对俄罗斯的国家金融信息发起大规模的网络攻击。
点评:美国在世界范围内找假想敌或者真的敌人,这样其他的大小伙伴就可以很容易找到理由和借口了。
页:
[1]