每日安全简讯(20170215)
1、安全厂商公开勒索软件KillDisk锁屏的解锁方法2、研究人员证明勒索软件对工控系统具有潜在影响
3、安全厂商预测2017年恶意软件:更多的勒索软件
4、研究人员发布安卓银行木马Marcher详细分析报告
5、WordPress REST API漏洞被攻击者用于安装后门
6、研究人员发现影响所有版本的TP-Link路由器漏洞
【安天】搜集整理(来源:mcafee、securityweek、sophos、securityweek、bleepingcomputer、threatpost) 1、安全厂商公开勒索软件KillDisk锁屏的解锁方法
标题:Analyzing KillDisk Ransomware, Part 2: Variants and Screen Unlocking
作者信息:Feb 13, 2017 By Sudhanshu Dubey
//BEGIN
At McAfee Labs we recently analyzed the ransomware KillDisk. In part 1 of this analysis, we discussed the basics of the malware and its whitelisting to protect itself.
In this part, we will provide more information about the malware’s internals, this variant, and steps to unlock the ransomware lock screen.Variant 1. This variant seems to be inspired by the TV series “Mr. Robot.” The lock screen uses the string “We are fSociety”:
网络安全公司McAfee最近发现并分析了KillDisk组件新增加的勒索软件部分。本分析报告分为两部分(下面将两部分合并在一个文件中了。)第一部分分析了该恶意代码的基本情况以及其采用白名单技术保护自身的机制。
而今天的这部分,将继续深入该勒索软件内部,一探究竟。分析其变种特性,以及如何将这个勒索软件的锁屏功能解除。变种1好像借助了TV电视剧Mr. Robot的经典台词,因为被锁的机器的屏幕会出现一个字符串We are fSociety.
//END
Conclusion
KillDisk is new to the world of ransomware. It has implemented a whitelisting technique to protect itself. We have discussed its internal working and a way to unlock the screen locked by ransomware.
McAfee公司经过分析后指出,KillDisk是一种全新的勒索软件。它首次采用了白名单技术来保护自己。本文还探讨了如何给勒索用户解锁。
//下载:
文件:Analyzing KillDisk Ransomware.pdf
文件名:1,510,760 bytes
MD5 : 272FD516DA1E57F380FBACBB77FB3CDD
备注:Analyzing KillDisk Ransomware.pdf为两部分合集。
点评:对付勒索软件,建议采用备份备份再备份的3B原则:Backup、Backup、Backup(Beifen、Beifen、Beifen)。
KillDisk的那些印记:
1、KillDisk变种或将勒索软件引入工控领域
2、BlackEnergy黑客组织攻击乌克兰银行
2、具备加密勒索能力KillDisk瞄准Linux系统
3、安全厂商发布乌克兰变电站被黑事件分析报告
4、乌克兰确认2016年停电事故是黑客所为 2、研究人员证明勒索软件对工控系统具有潜在影响
标题:Simulation Shows Threat of Ransomware Attacks on ICS
作者信息:February 14, 2017 By Eduard Kovacs
//BEGIN
Researchers at the Georgia Institute of Technology have demonstrated the potential impact of ransomware on industrial control systems (ICS) by simulating an attack aimed at a water treatment plant.
来自Georgia Institute of Technology (美国)佐治亚理工学院的研究小组最近在内业首次展示了勒索软件对ICS工控系统的危害,展示中将一个水处理系统作为目标对象,模拟该系统在遭受勒索软件攻击时的情形。
//END
Experts recently raised concerns about ransomware being brought into the industrial domain when KillDisk, a disk-wiping malware used in high-profile attacks aimed at ICS, had been modified to include ransomware capabilities.
UPDATE. The researchers have published a paper detailing the ransomware, which they have dubbed LogicLocker.
KillDisk模块出现勒功能,引起了业内极大关注,这是勒索软件尝试进行ICS工控领域的威胁信号。KillDisk一旦加入勒索特性,就变成了一种破坏性极强的有害代码,因为其一个变种是直接覆盖目标文件,也就没有什么恢复的可能了(即使支付赎金也无济于事。这其实就是破坏软件,根本就不是什么勒索软件了)。
有专家专门写了一个论文,见下,其中称呼该勒索软件LogicLocker。
//下载:
文件:Out of Control--Ransomware for Industrial Control Systems.pdf
文件名:761,511 bytes
MD5 : 062471557CE5097D27A565419A80EE3D
备注:号称首份关于工控系统(水处理系统)的勒索软件的研究报告。
点评:对付勒索软件,建议采用备份备份再备份的3B原则:Backup、Backup、Backup(Beifen、Beifen、Beifen)。 3、安全厂商预测2017年恶意软件:更多的勒索软件
标题:SophosLabs malware forecast points to rising IoT threats, more ransomware
作者信息:13-02-2017 By Bill Brenner
//BEGIN
SophosLabs has released a malware forecast to coincide with the start of RSA Conference 2017.
Typically, our research papers focus on Windows, which has traditionally been the largest battleground. While some of the report does indeed look at Microsoft-specific challenges, we decided to focus more on the increasing malware threats directed at platforms where the risks are often not as well understood, specifically Linux,
MacOS and Android devices.
PUA:Potentially Unwanted Application 非用户需要的程序
乘RSA2017的东风,SophosLabs公司发布了其2017年度恶意代码预测报告。该公司传统上的安全研究重点是放在了Windows平台,而这也确实是恶意代码的主战场。不过该报告还是用了大量的篇幅介绍了非Windows平台的威胁预测:比如Linux平台、 MacOS平台以及Android平台等。
//END
SophosLabs has identified four trends that gained steam in 2016 and will likely remain challenges in 2017:
1. Linux malware that exploits vulnerabilities in Internet of Things (IoT) devices
2. The pervasiveness of Android malware
3. MacOS malware that spreads potentially unwanted applications (PUA)
4. Microsoft Word Intruder malware that is now expanding its targets beyond Office
SophosLabs安全公司称以下四类攻击在2016年已经初现端倪,并预测在2017年会继续扩展:
1 物联网IoT设备的漏洞导致的恶意代码,该代码运行与Linux平台,不是传统的Windows平台。
2 无处不在的Android恶意代码。
3 MacOS恶意代码散布PUA。
4 微软的Word携带的恶意代码的触角延伸到Windows之外。
//下载:
文件名:Looking ahead SophosLabs 2017 malware forecast.pdf
文件大小:2,679,552 bytes
MD5 : 80C0AB44983557D7A8A8D882D5B93586
点评:对付勒索软件,建议采用备份备份再备份的3B原则:Backup、Backup、Backup(Beifen、Beifen、Beifen)。 4、研究人员发布安卓银行木马Marcher详细分析报告
标题:Thousands of Android Devices Infected by Marcher Trojan
作者信息:February 13, 2017 By Eduard Kovacs
//BEGIN
Researchers at Dutch security firm Securify have conducted a detailed analysis of the Android banking Trojan known as Marcher and discovered that a single botnet has managed to steal a significant number of payment cards.
荷兰安全公司Securify的研究人员最近深入分析和研究了Android网银木马Marcher,结果发现其实黑客们只需要利用一个单一的僵尸网络将能盗取数量可观的用户支付卡号。
//END
“Based on the statistics we found on this one C2 panel we researched and the amount of different C2 panels out there, we believe that the potential financial losses due to Android banking Trojans are, or will soon be, bigger than the current losses from desktop malware like Gozi and Dridex, especially since hardly any of the banking apps seem to detect the attack,” experts said.
基于对这个Android网银木马的C2服务器的深入研究,并结合以前发现的其他类似的C2服务器的统计数字,其结果显示移动平台下的网银木马造成的损失当前、或者即将,超过桌面网银木马造成的损失。同时相对于传统平台下的网银木马比较容易发现,当前的现实情况是移动平台的网银木马更不容易被发现。
//下载:
文件名:Marcher - Android banking Trojan on the rise.pdf
文件大小:873,903 bytes
MD5 : 36D5CD4CE43DF59F69F24C2470EF5E60
点评:这个荷兰安全公司的名太哏了:Securify.名字倒是安全了,连字典中都没有这个词,只是不知道用户能记住不^^ 5、WordPress REST API漏洞被攻击者用于安装后门
标题:WordPress REST API Flaw Used to Install Backdoors
作者信息:February 13, 2017 07:00 AMBy Catalin Cimpanu
//BEGIN
Attackers have found a way to escalate the benign WordPress REST API flaw and use it to gain full access to a victim's server by installing a hidden backdoor.
一个WordPress的漏洞如此严重,以致于开发者不敢声张,悄悄通知其主要用户补上,最后才言语不详发布了补丁包。但即使这样,在其发布的一周内,大约67000个到200万个网站被黑。这个漏洞就是WordPress REST API漏洞。成功利用该漏洞,可以给受害者安装后门,并安全控制其受害者的服务器。
//END
The best way to thwart these types of exploitation attempts is to update your WordPress site to version 4.7.2 as soon as possible, or optionally disable any plugins that allow an editor to embed and execute PHP code. Sucuri says it detected attacks using the shortcodes associated with plugins like Exec-PHP and Insert PHP.
最好的办法就是及时打补丁,将WordPress升级到4.7.2。如果不行的话,也可以配置网站插件的PHP功能:禁止编辑、嵌入或者执行PHP代码。
点评:补快! 6、研究人员发现影响所有版本的TP-Link路由器漏洞
标题:Updated Firmware Due for Serious TP-Link Router Vulnerabilities
作者信息:February 13, 2017 , 12:02 pm By Michael Mimoso
//BEGIN
Chinese router maker TP-Link is wrestling with the disclosure of a handful of vulnerabilities in its C2 and C20i routers.
中国的路由器生成厂家TP-Link的两个型号C2和C20i有一大堆漏洞暴露,正全力扑火。
其中严重的可以导致远程代码执行;然而该攻击成功的前提是攻击者需要事先获取有效的身份凭证。
这是由一个来自象牙海岸的研究人员发现的。发现日期是去年9月17日,而公开的日期是12月26日和27日。
TP-LINK官方在1月9日证实了该漏洞的存在,并声称将尽快推出补丁。经过安全研究人员与TP-LINK官方的多次沟通,研究人员上周才公开了相关信息。
远程代码执行漏洞存在于路由器的HTTP管理界面,影响所有路由器的固件。攻击者只需要一个单独、定制的HTTP请求就可以成功利用该漏洞。
去年夏天(每日简讯的报告是2016.7.7)TP-Link的两个官方域名由于未及时续费而被转售给其他公司。这两个域名本来是用来配置该路由器的,而且写在了该路由器的背后。
//END
“The binaries (/usr/bin/cos, /usr/bin/tmpd, /lib/libcmm.so) are overall badly designed programs, executing tons of system() and running as root,” Kim said.
路由器的代码设计存在缺陷,存在弱口令。
点评:补快!
相关: 6、TP-LINK路由配置的域名失效,用户面临钓鱼风险
页:
[1]