每日安全简讯(20170415)
1.安全厂商发布APT组织Callisto 分析报告APT组织Callisto,其知名目标包括军事人员、政府官员、智库和在欧洲及南高加索的记者。他们的主要兴趣是收集高加索地区有关东欧和南方的外交和安全政策的情报。
https://labsblog.f-secure.com/2017/04/13/the-callisto-group/
2.间谍软件FINSPY利用Office最新漏洞传播
FireEye公司的安全专家发现攻击者利用专门制作的Microsoft Word文档,假装是俄罗斯的军事训练手册。当受害者打开文件时,攻击开始,并发送监视恶意软件FinSpy。
http://securityaffairs.co/wordpress/57985/hacking/cve-2017-0199-finspy-spyware.html
3.预警:Linux内核发现远程代码执行漏洞
Linux kernel 4.5之前的版本中的udp.c文件存在安全漏洞,Linux内核中的udp.c允许远程攻击者通过UDP流量执行任意代码,这些流量会在执行具有MSG_PEEK标志的recv系统调用时触发不安全的第二次校验和计算,远程攻击者可精心构造数据执行任意代码,进一步导致本地提权,属于高危漏洞。但由于现实情况中,基于UDP协议的服务时MSG_PEEK标志在实际使用的情况较少,受该远程命令执行漏洞危害影响群体范围有限。
http://www.freebuf.com/vuls/131907.html
4.视频预览漏洞影响大量Magento 电子商店
安全公司DefenseCode专家声称,如果图像URL引用了不同的文件,例如PHP脚本,Magento将下载该文件以进行验证。如果文件不是图像,Magento将显示消息“Disallowed file type”,将其留在服务器上。攻击者可以通过首先欺骗Magento远程执行代码触发此漏洞,下载.htaccess配置文件,使PHP执行在下载目录中,然后下载可用作后门程序的恶意PHP脚本。
http://securityaffairs.co/wordpress/57991/hacking/magento-hack.html
5.博世汽车保护器漏洞可令黑客关闭发动机
博世驾驶日志连接产品用于提供车辆状况相关信息,包括潜在缺陷、服务期限以及燃油消耗和驾驶行为的数据。产品中有一个名为Drivelog Connector的保护器,连接汽车的OBD2诊断接口,通过蓝牙与移动端应用程序通信。研究人员发现该产品存在可以被黑客利用的漏洞,可使恶意消息被注入汽车CAN总线。
http://www.securityweek.com/flaws-bosch-car-dongle-allow-hackers-stop-engine
6.两家商业认证机构继续为钓鱼网站发证书
网络服务公司Netcraft表示,Let’s Encrypt和Comodo两家商业认证机构为网络钓鱼站点(如login-appleid.com-direct-apple.com)发布了数千个TLS证书。 Netcraft指出,今年1月1日至3月31日期间,被阻止的47,500个有效TLS证书的钓鱼站点,其中61%是由“Let’s Encrypt”发行,36%由Comodo发行。
https://www.itnews.com.au/news/digital-certificate-use-by-phishing-sites-spikes-458183
以CV500视角看安天每日安全简讯
2017.4.15
今日安全简讯中提到的安全公司中,位列CV500的有7家:F-Secure(59) 、FireEye(6) 、 Argus Cyber Security(261) 、Comodo(160)、Google(133)、Cisco(13)和Akamai(76)。
2016年安天威胁年报中关于APT攻击使用钓鱼邮件的描述出现在白象一代和白象二代的“先导攻击手段”中(第13页表2),而今日第一条安全公司F-Secure曝光的Callisto攻击组织也使用了鱼叉式钓鱼邮件的方式,但并未使用带有漏洞的文档,而是在邮件的附件中直接加了docx文档,并在该文档中嵌入Hack Team的远程控制木马Scout。另外,安天2016年报还指出:Hackteam泄露使商业军火能力可以迅速在短时间内变成地下黑产的普遍水平。(第18页)。总的来说:从Callisto攻击组织不改变任何源代码并加以利用,而直接使用现成的Scout木马可执行文件看,这个所谓的APT攻击Callisto有点名不其实,不过,还是让我们继续观察吧。
FireEye发布威胁报告的时机与微软等发布关键漏洞的节奏很合拍:FireEye自述早在今年的1月份、3月份均已经发现了这个现在被微软标记为CVE-2017-0199的漏洞被利用的情况,不过当时并未发布任何信息。和上面提到的Callisto利用微软的Office文档进行“武器投放”不同:这里不仅利用了Office漏洞,而且是0day漏洞。
来自以色列的专注于车联网网络安全的公司Argus Cyber Security最近发现了黑客可以利用Bosch的Drivelog连接器的漏洞导致联网汽车引擎熄火,它是通过向汽车的CAN总线插入恶意信息的方式达成的。似乎在印证2016年安天威胁年报中关于车联网的安全的描述:智能汽车面临着复杂的直接攻击风险和供应链安全风险,远程控制 (第29页)。
关于代码签名,2016安天威胁年报指出:代码签名体系一直作为保证软件供应链体系不可篡改性和不可抵赖性的核心机制,部分主流杀毒软件在早期也多数选择了,默认信任有证书程序的策略。证书窃取问题在震网等APT事件中开始被广泛关注。2015年Duqu 2.0攻击卡巴斯基事件中,恶意代码则盗用了富士康公司的证书。....
但带有“合法”签名的恶意代码,早已不再是APT攻击的专利,过去几年中恶意样本带有“合法”数字签名的比率不断上升,从样本累计总量上看,已经有接近五分之一的Windows PE恶意代码带有数字签名域,这其中又有20%可以通过在线验证,考虑到庞大样本基数,这已经是非常惊人的数字。证书盗用只占这些样本的一小部分,而其中很大比例的签发证书并不来自盗用,而来自正常的流程的申请。(第30页 6.2 代码签名体系已经被穿透)
今天的最后一条新闻Digital certificate use by phishing sites spikes正是讲的“正常的流程申请”代码签名发布者Let's Encrypt和Comodo,而这两家厂商背后还有这些厂商的身影:Cisco和Akamai等,而Google是作为一个代码签名安全第三方认证出现的。
相关链接:
a F-Secure https://labsblog.f-secure.com/2017/04/13/the-callisto-group/
b FireEyehttp://securityaffairs.co/wordpress/57985/hacking/cve-2017-0199-finspy-spyware.html
c Argus Cyber Security Networkshttp://www.securityweek.com/flaws-bosch-car-dongle-allow-hackers-stop-engine
d Comodo、Google、Cisco和Akamaihttps://www.itnews.com.au/news/digital-certificate-use-by-phishing-sites-spikes-458183
附件0:2016年安天移动安全年报 参见
附件1:2016年安天威胁年报 参见
附件2:CV500 参见
页:
[1]