每日安全简讯(20170128)
1、安全厂商发布安卓木马rootnik深度分析报告2、恶意软件Nuke HTTP bot被发现在暗网出售
3、社工库网站LeakedSource受到攻击停止服务
4、亚马逊谷歌苹果epub服务被发现XXE漏洞
5、Facebook将采用物理安全密钥保护用户账号
6、统计报告表明2016年数据泄露数量超42亿条
【安天】搜集整理(来源:fortinet、securityaffairs、securityaffairs、securityaffairs、threatpost、securityweek) 1、安全厂商发布安卓木马rootnik深度分析报告
标题:Deep Analysis of Android Rootnik Malware Using Advanced Anti-Debug and Anti-Hook, Part I: Debugging in The Scope of Native Layer
作者信息:Jan 26, 2017By Kai Lu
//BEGIN
Recently, we found a new Android rootnik malware which uses open-sourced Android root exploit tools and the MTK root scheme from the dashi root tool to gain root access on an Android device. The malware disguises itself as a file helper app and then uses very advanced anti-debug and anti-hook techniques to prevent it from being reverse engineered. It also uses a multidex scheme to load a secondary dex file. After successfully gaining root privileges on the device, the rootnik malware can perform several malicious behaviors, including app and ad promotion, pushing porn, creating shortcuts on the home screen, silent app installation, pushing notification, etc.In this blog, I’ll provide a deep analysis of this malware.
Forinet安全公司最近发布了一个在Android平台下的恶意软件分析报告,该恶意代码具有很多鲜明的特性使得其值得关注。首先它采用开源的Android系统Root利用工具,同时也利用一些公开的名为Dashi的Root工具。特别值得一提的是其采用了高级的抗调试和抗Hook的技术,使得反编译变得异常困难。另外还采用了一种被称为Multidex的技术来调用第二个DEX文件,其实这第二个DEX文件就是真正的恶意代码本身。
一旦成功安装,那么该恶意木马会:静默安装APP,推广色情应用,在用户的桌面创建快捷方式,广告弹窗等等,总之是一些能给其带来利益的应用或者动作。
//END
From the analysis above, we can see that the rootnik malware is very powerful and uses very advanced anti-debugging and anti-hooking techniques to prevent reversing engineering, and different types of encryption for files and strings. Additionally, it also uses a multidex scheme to dynamically load and install the secondary dex file that is the main logic of this malware.The malware uses some open-sourced Android root exploit tools and the MTK root scheme from dashi root tool to gain root access on the Android device.After successfully gaining root privileges on the device, the rootnik malware can perform a variety of malicious, including app and ad promotion, pushing porn, creating shortcuts on the home screen, silent app installation, and pushing notifications, etc.
通过仔细的分析可以看出,该恶意代码功能很强大,而且伪装术做得很巧妙,逆向分析其细节比较困难。对一些重要的文件或者字符串采用了各种不同的加密方式。另外还采取了MULTIDEX的方式来加载多重dex文件。另外,还能采用开源的漏洞利用工具,对感染的Android设备进行ROOT,进而完全控制感染的移动设备,并采取一些诸如静默安装APP等恶意行为,以谋取利益。
//下载:
文件名:Deep Analysis of Android Rootnik Malware Using Advanced Anti-Debug and Anti-Hook.pdf
文件大小:3,086,677 bytes
MD5 : F07333E47674C2870448A5F28995B5CE
点评:Android安全建议AVL Pro! 2、恶意软件Nuke HTTP bot被发现在暗网出售
标题:The Nuke HTTP bot Malware offered for sale on a Dark Web forum
作者信息:January 27, 2017By Pierluigi Paganini
//BEGIN
The security researchers at security firm Sixgill discovered a new malware dubbed Nuke HTTP bot offered for sale on a forum in the Dark Web.
来自安全公司Sixgill的研究人员最近在暗网中发现了一个名为Nuke HTTP bot的恶意代码以4000美元的高价出售中。这个价格在同类软件中价格高得出奇。据称该恶意代码为全新开发,还是有些新意,特别是其中的一条:可以清除所有用户机器中已经感染的其他恶意软件,以便独占用户的机器的特性。
//END
“A test version was already found in the wild by Netscout’s Arbor Networks. The author went on and mentioned that he is aware of it. The analyzed variation was a test version of the malware. The current version, according to Gosya, has much of the inner workings changed since Arbor’s report was published.” states the report.
其他的安全公司已经发现有正在流传的该恶意软件的测试版本。该恶意软件的作者称其已经注意到了,并还在继续改进中。
点评:该恶意软件同时支持32位和64位的Windows系统,并能逃避UAC账户控制以及Windows的防火墙。显示其作者的功力非同一般。 3、社工库网站LeakedSource受到攻击停止服务
标题:Data breach notification website LeakedSource raided by feds
作者信息:January 26, 2017By Pierluigi Paganini
//BEGIN
LeakedSource is down! According to a message appeared in the OGF forum, the popular data breach notification website has apparently been raided by feds.
著名的泄露信息共享网站LeakedSource被关闭了,这条爆炸性的消息来源与一个OGF论坛的消息。关闭原因据称是因为管理当局的突袭检查。
//END
LeakedSource indexed more than 3 billion records that were obtained through information sharing between a number of sources, including the hackers who broke in the compromise archives.
The U.S. Department of Justice did not comment the news of an alleged investigation related to the data breach notification service.
美国司法部未对此事的真实性加以证实或评论。
LeakedSource网站的索引显示其保存着超过30亿条记录和信息,这些信息的来源比较混杂,其中一些是通过交换获得,而为数不少的则是通过黑客入侵事主获得的。该网站运行的商业模式是通过支付费用就可以下载这些被泄露的信息。
点评:Wooyun的升级已经长达半年多了。 4、亚马逊谷歌苹果epub服务被发现XXE漏洞
标题:Hacker discovered security flaws in Amazon, Apple and Google epub services
作者信息:January 27, 2017By Pierluigi Paganini
//BEGIN
A hacker discovered a XXE flaw in the EpubCheck library that affects major epub services causing information disclosure and denial of service conditions.
三大巨头的电子书服务的公共模块库EpubCheck被研究人员发现存在XXE漏洞,利用该漏洞可能导致用户的信息泄露以及产生拒绝服务攻击DoS。XXE是XML external entity的简称。
ePub是一个由国际数字出版物论坛IDPF维护的标准格式,是针对开放电子书的。是整个电子出版界都恪守的标准,其会员覆盖面很广,可以从这里查阅:http://idpf.org/membership/members。
//END
Similar problems affect other services that permit Java and Flash, Arendt will disclose further attacks once the vendors have fixed the vulnerabilities he reported.
All the vendors above have already applied the necessary security patches to the vulnerable epub services.
其实不光是EpubCheck服务,允许Java和Flash运行的其他的服务也能导致拒绝服务攻击,不过,安全研究人员表示得等到这些软件的开发商开发出了补丁后,才会公布漏洞细节。要不然会导致混乱。
上面提到的三家巨头,都已经修复了其Epub存在的漏洞。
点评:补快! 5、Facebook将采用物理安全密钥保护用户账号
标题:Facebook Touts ‘Safer’ Security Key Login
作者信息:January 26, 2017 , 2:38 pm By Chris Brook
//BEGIN
Facebook is giving privacy-minded users looking to fortify their accounts yet another layer of security.
社交巨头Facebook已经开始采取新的安全措施,供那些对隐私更在意的用户使用。这个措施就是采用一个硬件的安全key与其账户关联:登录账户必须插入该硬件才可以,否则即使密码输入正确也不能登录。该接口是USB标准的。目前该措施已经在部分用户中开始推广使用。以前很多用户大多通过其手机短信SMS获取登录验证码,特别是当在异地或者在新的设备登录时。虽然手机非常方便,但并不适合所有客户,原因是SMS短信有时也不会可靠,也可能并不适合某些人使用。
不过,当前该措施只能使用在两种浏览器Chrome和Opera中。
采用类似安全措施并不是Facebook第一个,以前Dropbox、GitHub以及Salesforce已经采用类似的技术。KeePass和LastPass支持的key与Facebook采用的一致。而Google多年前就已经采用FIDO通用双因子验证方式,确保安全。
//END
The company has also given users the option to add end-to-end encryption to the notification emails it sends out, started warning users when their account has been targeted or compromised by a nation state campaign, and allowed users to post their public OpenPGP keys on their profile.
随后Facebook将会采取一系列措施来保障用户的安全。同时发布了一个安全检查工具,通过这个工具的检查结果来告知用户还有哪些安全措施可以采用以保障其账户安全。Facebook给用户提供一个选项以采取端到端加密的方式来传送信息,根据其研究成果警告那些可能被有国家背景的攻击利用的用户,让用户公开其公钥以保障其通信安全。
点评:不知道与U盾是不是类似的道理? 6、统计报告表明2016年数据泄露数量超42亿条
标题:4.2 Billion Records Exposed in Data Breaches in 2016: Report
作者信息:January 27, 2017 By Ionut Arghire
//BEGIN
2016 was a record year for data breaches, as the number of exposed records exceeded 4.2 billion, nearly four times than the previously set record.
统计报告表明2016年数据泄露数量超42亿条,达到历史最高,是以前记录的4倍,以前的记录发生在2013年,当时的记录是11亿条。该报告是由一家名为RiskBased Security的安全公司发布的。报告显示去年的数据泄露事件数量为4149起,比2015年的4326起数量略有减少,但是其泄露的数据的总量却是超记录的,达到了历史最高值。去年的数据泄露量的大户是2家公司:
一家是MySpace,另外一家就是Yahoo,这两者的和超过了泄露总数的一半。MySpace在2016年的5月份承认其2013年曾导致4亿多用户信息泄露;而后者Yahoo更是有2次大规模的泄露事件:一次发生在2014年的5亿条,一次是2013年超过10亿。除了这两家外,其余的TOP10的还包括Mail.ru(2500万);LinkedIn(1.67亿);Tumblr(6500万);VK(1.7亿);VerticalScope(4500万)以
及Last.fm(4300万)。实际上,2016年的TOP10造成的数据泄露量就超过了30亿。
2016年全年的数据泄露事件中,不到94起(总数为4149起)的数量超过100万,超过半数的数据泄露的数量在1万条以下。37.2%的数据泄露数量少于1000条。
数据泄露从行业来分,最大的比例出现在商业,占比达到80.9%,随后的是政府行业(5.6%);医疗行业(0.3%);教育行业(小于0.1%)等等。
从数据泄露的原因看,超过半数的事件是由于黑客攻击造成的,而在这些黑客攻击导致的数据泄露中其数量占比达到91.9%。而由于恶意代码造成的数据泄露事件的比例只有4.5%,而数量占比则为0.4%。由于配置不当以及不小心的Web设置导致的数据泄露数量量超过2.53亿条。
从地域分布来看,美国的数据泄露事件总数达到47.5%,造成的数据泄露占比则高达68.2%。
由于内部因素导致的数据泄露的比例为18.3%,这些内部因素包括无意识的泄露、恶意代码以及其他一些不知情的原因。
邮件地址在数据泄露中占比最多,达到42.6%。电子邮件和密码是最受关注的,事实上,全年的密码泄漏数据达到32亿条之多,而在2015年这个项目的数量才仅仅1.51亿。
//END
“With 102 countries reporting at least one data breach in 2016, Risk Based Security’s research suggests that no industry, organization size or geographic location, is immune to a data breach. The total number of reported breaches tracked by Risk Based Security has exceeded 23,700, exposing over 9.2 billion records,” the security firm notes.
2016年的数据泄露的来源国遍及102个国家和地区。没有任何一个国家的任何一个行业、组织,无论大小能逃过数据泄露事件。
有历史记录以来,总的数据泄露事件数量已经达到23700起,总共造成的数据泄露的总量达到92亿条之多。
//下载:
文件名:2016 Year End Data Breach QuickView Report.pdf
文件大小:3,975,031 bytes
MD5 : 78048B83352436FC403FA29C85B2255D
点评:在网络时代,我们都是透明的。
页:
[1]