每日安全简讯(20170224)
1、Swift编写的MacOS勒索软件Patchers被发现2、新型安卓勒索软件要求受害者口述解锁代码
3、研究报告显示2016年银行木马攻击数量增多
4、黑山遭受网络攻击或由具国家背景黑客发动
5、Linux内核提权漏洞可影响所有主流发行版
6、2016年中国网络安全大事件评选结果揭晓
【安天】搜集整理(来源:appleinsider、symantec、securelist、securityaffairs、thehackernews、zhongguowangshi) 1、Swift编写的MacOS勒索软件Patchers被发现
标题:Swift-based ransomware targets macOS pirates with false decryption promise
作者信息:Wednesday, February 22, 2017, 09:28 am PT (12:28 pm ET) By Malcolm Owen
//BEGIN
New ransomware for the Mac has been discovered by security researchers, with the "poorly coded" malware created in Swift encrypting the user's files and demanding a payment, without any possibility of decrypting the files even if the ransom is paid.
MAC 操作系统下出现了新的勒索软件!其采用SWIFT语言编写。虽然编码水平低下,但是足以破坏用户的文件。导致即使受害用户支付比特币,也实质上无法恢复加密前的正常文件。
编码水平低下的表现:对所有的受害者,其显示的比特币地址以及显示的加密秘钥都一样;只是加密了用户文件,而且并未上传用户本地的ID,因此虽然加密了,但是解密根本就不可能。这其实与钱还真没关系。
不过这种技术上的设计缺陷倒不妨碍其诈骗和恐吓用户,根据其勒索信息显示,如果用户表现积极,付钱多而且快的话,那么解密文件将在10分钟内进行。
为了引诱用户打开该勒索组件,其采用伪装成两种破解工具Patchers的形式,一种是Adobe Premiere Pro CC2017,另外一种是Office 2016。很显然,只要勒索者愿意,将来还可能出现伪装成其他应用的变种。
这个伪装成破解工具的程序是以压缩包的形式达到受害者的机器上的,当用户打开这个压缩包,运行该程序后,会出现一个提示框,诱使用户点击“START”按钮,谎称是开始破解那两个程序,而其实真正的动作是搜索用户机器的有用文件,进行加密,采用的密码是一个随机产生的长达25位的秘钥。
//END
Léveillé recommends having a current offline backup of all important data, as well as security software, to help protect against similar threats.
"Patcher" is the latest in a string of recently-discovered malware aimed at macOS users. In the last month alone, malware posing as Adobe Flash Player updates and a Microsoft Word macro have been found targeting people in human rights groups and the U.S. defense industry, as well as an Xagent malware package reportedly created by a Russian hacking group.
安全专家建议,离线备份所有重要的数据和文件,以防止被勒索软件加密。勒索软件谎称破解工具Patcher是一个新的动向,以前惯用的手法是谎称Adobe Flash Player updates 或者 Microsoft Word macro。
点评:对付勒索软件,建议采用备份备份再备份的3B原则:Backup、Backup、Backup(Beifen、Beifen、Beifen)。
备注:
{背景知识:SWIFT
SWIFT (计算机编程语言)苹果公司于2014年WWDC(苹果开发者大会)发布的新开发语言,可与Objective-C*共同运行于Mac OS和iOS平台,用于搭建基于苹果平台的应用程序。Swift是一款易学易用的编程语言,而且它还是第一套具有与脚本语言同样的表现力和趣味性的系统编程语言。Swift的设计以安全为出发点,以避免各种常见的编程错误类别。2015年12月4日,苹果公司宣布其Swift编程语言开放源代码。
Swift is a new programming language for iOS, macOS, watchOS, and tvOS apps that builds on the best of C and Objective-C, without the constraints of C compatibility. Swift adopts safe programming patterns and adds modern features to make programming easier, more flexible, and more fun. Swift’s clean slate, backed by the mature and much-loved Cocoa and Cocoa Touch frameworks, is an opportunity to reimagine how software development works.
=====上面说的有点虚,看看下面的文字====
C程序员最熟悉的Hello,world!字符串显示,在SWIFT语言下,只需要一行(没写错,只要1行就够;严格来讲,其实这已不是一行语句,而是一个程序。):
print("Hello,world!")
备注:不需要结尾的分号;不需要main函数;不需要include其他库函数等等^^^
} 2、新型安卓勒索软件要求受害者口述解锁代码
标题:Android ransomware requires victim to speak unlock code
Latest Android.Lockdroid.E variant uses speech recognition instead of typing for unlock code input.
作者信息:22 Feb 2017 By Dinesh Venkatesan
//BEGIN
Being a good listener is normally considered an admirable quality in a person; however, it isn’t a quality you necessarily want to find in a piece of malware. The latest variant of the Android ransomware threat Android.Lockdroid.E is a great listener. In fact, if you say the right things it might even give you back access to your phone. The threat uses speech recognition APIs and requires its victims to speak an unlock code instead of the traditional method of typing it in.
勒索软件开发者看来是赚足了钱,不断推出新的作业手段。各种跨平台(Windows,Linux,MacOS,Android等)、各种技术(比如扫描某二维码)等。最新的一个技术案例是语音识别技术!
常见的解密手法是一旦受害用户获得了解密字符串,就会“输入”到解密框框内。而这里的勒索软件要求用户必须“说”出来,运气好的话,识别正常就能解密出被加密的文件。这种采用语音识别技术的勒索软件运行在Android手机平台,全简体中文提示信息。勒索首页界面还有一个QQ号码供受害者与勒索者联系:如何支付赎金以及如何解密。因为这个受害的手机已经被锁住,必须再找一部手机进行操作,才有可能解锁该手机。
该语音识别技术采用第三方语音识别API,能对受害用户“说”的解密代码与真正的解锁密码比对,如果匹配,则锁屏的手机会立即解屏。每次感染Android手机后的锁屏密码都不同。
//END
In a previous blog I discussed how another Android.Lockdroid.E variant used an inefficient 2D barcode ransom demand, which required the user to scan the code on the lockscreen with another device in order to log into a messaging app to pay the ransom. This made it difficult for the victim to pay the ransom and for the attacker to receive payment. This latest technique of using speech recognition is also rather inefficient as the victim must still use another device to contact the criminals.
While analyzing these latest Android.Lockdroid.E variants, I observed several implementation bugs such as improper speech recognition intent firing and copy/paste errors. It’s clear that the malware authors are continually experimenting with new methods to achieve their goal of extorting money from their victims. We can be certain this isn’t the last trick we’ll see from this threat family.
不管是以前采用二维码技术还是采用这个语音识别技术,其实对受害者都是很不方便的:受害者必须再找另外一部手机才能完成相关操作。另外,从技术角度讲,目前的这些勒索软件的关键语音识别API部分源码也是粘贴拷贝而来,不仅带来了技术实现,当然也拷贝来了代码的错误与陷阱。当然只要能顺利拿到赎金,勒索者还是会趋之若鹜的。语音识别技术这个新技术的采用只是其实现其勒索目的的一个技术手段而已,随后可能还会有更多的“新技术”被滥用。
点评:对付勒索软件,建议采用备份备份再备份的3B原则:Backup、Backup、Backup(Beifen、Beifen、Beifen)。
3、研究报告显示2016年银行木马攻击数量增多
标题:Financial cyberthreats in 2016
Big fish bring big rewards for cybercriminals in 2016 but that doesn’t mean small fish are safe
作者信息:February 22, 2017. 8:55 am By Kaspersky Lab
//BEGIN
In 2016 we continued our in-depth research into the financial cyberthreat landscape. We’ve noticed over the last few years that large financial cybercriminal groups have started to concentrate their efforts on targeting large organizations – such as banks, payment processing systems, retailers, hotels and other businesses where POS terminals are widely used.
2016这一年卡巴对网银木马继续进行深入研究,过去几年了,大型网络犯罪分子的关注焦点始终在大型的企业:包括银行、支付企业、代理商、酒店以及其他使用POS终端的企业单位。
//END
But caution is advised for everyone. As predators become more persistent and as their methods grow more convincing, corporate users and home users alike – whatever type of device they use – need to be aware of the dangers and understand how to protect themselves from this ever-evolving cyberthreat landscape.
小心驶得万年船:不管是个人还是企业用户,时时刻刻都不能放松安全这根弦。黑客现在已经是一个产业,而且是个貌似一本万利的行业,因此从业者众,而且他们大多非常专注,不达到目的誓不罢休!作为用户的我们应该清楚明白风险来自哪里,如何紧跟趋势发展,保护好自身网络安全。
//下载:
文件名:Kaspersky_Lab_financial_cyberthreats_in_2016_final.pdf
文件大小:3,286,205 bytes
MD5 : 6E0EC8215DA86F43054D02022D955279
点评:卡巴的报告貌似传统,但还是值得一读。 4、黑山遭受网络攻击或由具国家背景黑客发动
标题:For the second time in a few months Montenegro suffered massive and prolonged cyberattacks
作者信息:February 22, 2017By Pierluigi Paganini
//BEGIN
For the second time in a few months Montenegro suffered massive and prolonged cyberattacks against government and media websites.
According to the Balkan Insight, attackers have launched a renewed attack on the Montenegrin government and media.
近几个月来,黑山共和国第二次遭受了巨大而持续的针对其政府和主流媒体网站的网络攻击。最近一次的攻击从2月15日开始,持续了数天。攻击者显然是职业的,不像是散兵游勇所为。上一次攻击发生在去年的10月份黑山大选期间,当时有传言称俄罗斯政府参与了该网络攻击行动。当然黑山当局正在与相关国家的网络安全专家一起研究和分析,试图找出攻击的来源与真凶。作为预防措施,政府已经宣布了其加强防护其网络基础设施的行动和计划。
//END
According to Intelligence analysis, Russia secretly funneled money to anti-NATO opposition parties in the country and set up or co-opted media outlets to undermine former PM Milo Djukanovic government.
根据有关情报显示,俄罗斯政府偷偷给反NATO的政党提供资金,设置某些媒体机构,以故意贬低与其立场相左的政府。
点评:黑山遇到黑客,这是要黑吃黑? 5、Linux内核提权漏洞可影响所有主流发行版
标题:11-Year Old Linux Kernel Local Privilege Escalation Flaw Discovered
作者信息:Wednesday, February 22, 2017 By Swati Khandelwal
//BEGIN
Another privilege-escalation vulnerability has been discovered in Linux kernel that dates back to 2005 and affects major distro of the Linux operating system, including Redhat, Debian, OpenSUSE, and Ubuntu.
Over a decade old Linux Kernel bug (CVE-2017-6074) has been discovered by security researcher Andrey Konovalov in the DCCP (Datagram Congestion Control Protocol) implementation using Syzkaller, a kernel fuzzing tool released by Google.
The vulnerability is a use-after-free flaw in the way the Linux kernel's "DCCP protocol implementation freed SKB (socket buffer) resources for a DCCP_PKT_REQUEST packet when the IPV6_RECVPKTINFO option is set on the socket."
Linux内核提权漏洞可影响所有主流发行版,操作系统类别包括Redhat, Debian, OpenSUSE以及Ubuntu等。编号为CVE-2017-6074,去年有一个类似的CVE-2016-8655。它们都是本地的提权漏洞,而不是远程代码执行漏洞。CVE-2017-6074修补的漏洞可以追溯到2005年,也就是11多年前,具体是与DCCP相关。
//END
Almost two months ago, a similar privilege-escalation vulnerability (CVE-2016-8655) was uncovered in Linux kernel that dated back to 2011 and allowed an unprivileged local user to gain root privileges by exploiting a race condition in the af_packet implementation in the Linux kernel.
The vulnerability has already been patched in the mainline kernel. So, if you are an advanced Linux user, apply the patch and rebuild kernel yourself.
OR, you can wait for the next kernel update from your distro provider and apply it as soon as possible.
CVE-2016-8655修补的漏洞可以追溯到2011年,如果被成功利用,也能在本地提权。不过该漏洞已经修补了,并提供了补丁程序。
点评:补快!
6、2016年中国网络安全大事件评选结果揭晓
{CHN}
标题:2016年中国网络安全大事件评选结果揭晓
作者信息:2017-02-23 07:55:53 By 侯云龙
//BEGIN
2月21日,由中国计算机学会计算机安全专业委员会和新华社《经济参考报》互联网+周刊联合主办的2016中国网络安全大事发布会在公安部一所召开。此次活动通过对2016年重大网络安全事件的梳理,采用专家组评选和网络投票的方式,评选出2016年网络安全大事件。这些事件包括:
习近平考察民营网络安全企业
5月23日至25日,中共中央总书记、国家主席、中央军委主席习近平在黑龙江考察调研,5月25日上午,习近平在哈尔滨市考察了高新技术企业和科研单位。在哈尔滨安天科技股份有限公司,习近平现场了解反病毒引擎技术研发、开展网络安全威胁实时监控等情况,同现场科技人员亲切交流。他指出,网络安全是国家安全的重要组成部分。维护国家网络安全需要整体设计、加强合作,在相互学习、相互切磋、联合攻关、互利共赢中走出一条好的路子来。
//END
网络安全学术、技术交流活动空前活跃
2016年,国内网络安全行业学术技术交流活动空前活跃。3月25日,中国网络空间安全协会在北京成立。8月16日,第四届中国互联网安全大会在京举办。11月16日至18日,第三届世界互联网大会设置了专门的网络安全论坛。该年度网络安全学术、技术交流活动有几个重要的特点:一是网络安全对抗赛呈星火燎原之势。二是众多网络安全会议逐渐成为网络安全行业观点和技术交流的重要平台。三是网络安全战略和技术研究平台深化拓展。四是以可信计算为代表的自主可控网络安全技术研发和应用动态活跃。
//下载:
文件名:2016年中国网络安全十二大事件.pdf
文件大小:299,481 bytes
MD5 : 22C9555098C02F381CCD62D0672CD2C0
点评:这个有点新意,至少摆脱了历来十大事件的的10模式:既不凑数 又不落下重大闪光点。
页:
[1]