每日安全简讯(20170503)
1.勒索软件CryptFile2变种借用wallet扩展名研究人员R0bert R0senb0rg发现了该变种,而后由Malware Hunter Team将其命名为CryptoMix。.wallet扩展名使得受害者难以分辨自己的文件被哪种勒索软件加密,因为该扩展名被用于Dharma / Crysis、Sanctions。
https://www.bleepingcomputer.com/news/security/new-version-of-the-cryptomix-ransomware-using-the-wallet-extension/
2.现代汽车移动应用程序漏洞或导致汽车被盗
现代公司Blue Link手机应用程序存在漏洞,该漏洞可暴露敏感信息,可被攻击者利用追踪、解锁和启动现代汽车。目前现代公司已经修复该漏洞。
https://www.bleepingcomputer.com/news/security/hyundai-patches-mobile-app-flaws-that-allow-hackers-to-steal-cars/
3.英特尔修复存在十年芯片远程代码执行漏洞
英特尔发布补丁修复了具有十年历史的芯片远程代码执行漏洞。该漏洞允许攻击者完整控制计算机。英特尔的安全公告称,提权漏洞存在于 Intel Active Management Technology、Intel Small Business Technology 和 Intel Standard Manageability 中,固件版本号 6.x、7.x、8.x、9.x、10.x、11.0、11.5 和 11.6,6 之前或 11.6 之后的版本不受影响。漏洞主要影响服务器,而不是消费者电脑。如果受影响的系统启用了 LMS 服务,开放了可远程访问的端口,那么攻击者可以利用该漏洞完整控制系统。
http://www.solidot.org/story?sid=52246
4.恶意代码编码器通过填充垃圾数据逃避检测
研究人员发现一款名为“123”的恶意代码编码工具。该工具自2015年以来一直保持活跃。该编码器的主要功能是向恶意有效载荷注入垃圾数据,以逃避分析人员的检查和防病毒工具的探测。该编码器至少应用于XXMM、ShadowWali和Wali三个恶意代码家族。
https://www.bleepingcomputer.com/news/security/malware-author-inflates-backdoor-trojan-with-junk-data-hoping-to-avoid-detection/
5.苹果紧急撤销恶意软件Dok 合法开发者证书
Dok 恶意软件被曝光后,苹果紧急发布了Xprotect反恶意软件的更新程序,并撤销了Dok恶意代码背后开发者使用的合法开发者证书。
https://threatpost.com/apple-revokes-certificate-used-by-osxdok-malware/125322/
6.安全团队发现某游戏外挂网站传播恶意代码
近日,火绒安全团队发现,一“地下城与勇士”的游戏外挂网站中含有大量病毒。总体来说,主要分为三类。一类是游戏用户深恶痛绝的盗号木马,二类是控制用户电脑,劫持首页的后门病毒,三类是强制捆绑安装软件的下载器病毒。该网站的用户会被随机感染数种病毒,电脑受到持久的多重侵害和骚扰。
http://www.freebuf.com/articles/web/133306.html
以CV500视角看安天每日安全简讯
2017.5.3
今日安全简讯中提到的安全公司中,位列CV500的有5家:Rapid7(17)、Intel Security(41)、Kaspersky(28)、Cybereason(130)和CheckPoint(35)。
Rapid7的安全研究人员发现了现代汽车的手机控制APP存在严重漏洞,成功利用该漏洞,可能导致黑客控制汽车,包括发动汽车并开走。该现象是在2017年的2月份被安全公司的技术人员发现,并报告给现代汽车公司;一个月后现代汽车公司更新升级了其APP,修复了该漏洞,堵住了该隐患:对称加密、所有汽车APP的日志log的密码都一样、存储内容敏感等等。正如安天2016威胁年报用了大约一页的篇幅介绍了智能联网汽车的安全,并指出:联网安全到智能交通安全将成为一个博弈焦点。
芯片老大Intel的严重级别漏洞终于出了修复方案,这个等待过程至少持续了6年。影响的范围是服务器,而不是个人计算机。当然需要AMT(Active Management Technology)和LMS(Local Manageability Service)服务开启。当前的影响范围具体是多少台服务器还未知,Shodan的搜索结果只能作为一个参考。
本来只要几十KB就可以解决“问题”,但是被称为123的恶意代码却反其道而行之,将自身填充“垃圾”和无用代码,使得其文件大小达到50MB-200MB。显然这样做的目的是为了躲避安全软件的查杀。因为一般认为恶意代码的大小不会超过几十MB,而且如果处理太大的文件,可能会严重影响安全软件的性能。
4月份的最后一天的安全简讯报道了Dok恶意代码滥用Apple数字签名的事件,今天的简讯报道了Apple紧急撤销了该证书,并升级了其内置的安全工具XProtect以对抗OSX/Dok恶意代码攻击OS X系统。
相关链接:
aRapid7 https://www.bleepingcomputer.com/news/security/hyundai-patches-mobile-app-flaws-that-allow-hackers-to-steal-cars/
bIntel Security https://arstechnica.com/security/2017/05/intel-patches-remote-code-execution-bug-that-lurked-in-cpus-for-10-years/
cKaspersky、Cybereason https://www.bleepingcomputer.com/news/security/malware-author-inflates-backdoor-trojan-with-junk-data-hoping-to-avoid-detection/
dCheck Point https://threatpost.com/apple-revokes-certificate-used-by-osxdok-malware/125322/
附件0:2016年安天移动安全年报 参见
附件1:2016年安天威胁年报 参见
附件2:CV500 参见
页:
[1]