每日安全简讯(20161118)

1、研究者发现勒索软件新变种CryptoLuck
2、危险Android木马指向Hacking Team组织
3、CNVD发布Nginx远程本地提权漏洞公告
4、iOS漏洞允许未授权问iPhone照片和消息
5、美军方欲使用“网络迷雾”存储重要数据
6、安全厂商发布2017年安全威胁预测报告

【安天】搜集整理（来源：securityweek、helpnetsecurity、cnvd、cnbeta、easyaq、securelist）

1、研究者发现勒索软件新变种CryptoLuck
标题：CryptoLuck Ransomware Emerges

作者信息：November 16, 2016 By Ionut Arghire

//BEGIN
A new ransomware family spotted for the first time recently is already being distributed via an exploit kit (EK).
Dubbed CryptoLuck, the new ransomware variant was discovered by "Kafeine", a Proofpoint researcher and maintainer of the Malware don't need Coffee blog. Noteworthy about the malware is that it abuses the legitimate GoogleUpdate.exe executable and leverages DLL hijacking to infect computers, in addition to asking for a 2.1 Bitcoin (around $1,500) ransom to be paid within 72 hours.
安全专家又新近发现了一种勒索软件家族，名称为CryptoLuck(其实没什么luck的，不过是因为被加密的文件的扩展名有感染ID和单词luck而已)，其主要特点是利用漏洞利用包EK传播，并利用合法的Google升级程序GoogleUpdate.exe同时劫持DLL进行传播感染。勒索的金额是大约1500美金才能提供解密钥匙，同时必须在3天内支付，否则会更贵。

//END
The ransomware appends the .[victim_id]_luck extension to the encrypted files and security researchers say that the threat targets a couple of hundreds of file extensions to encrypt. However, the malware skips files that contain specific strings: Windows, Program Files, Program Files (x86), ProgramData, AppData, Application Data, Temporary Internet Files, Temp, Games, nvidia, intel, $Recycle.Bin, and Cookies.
As soon as the encryption process has been completed, the malware displays a ransom note which provides users with detailed instructions on how to download the decryptor and make the ransom payment.
A Decryption Wizard walks the victims through making the payment and also waits for the operation to be completed, after which it informs the victim that the affected files will be automatically decrypted.
该勒索软件除了不侵害系统目录下的文件，几乎无差别的侵害其他所有用户有用的文件。这些不侵害的目录有13个：Windows, Program Files, Program Files (x86), ProgramData, AppData, Application Data, Temporary Internet Files, Temp, Games, nvidia, intel, $Recycle.Bin以及 Cookies.被加密的文件的扩展名会被增加一个字符串，这个字符串由一个唯一的ID数字加单词luck组成。一旦加密过程完成，那么该恶意代码会显示一个提示，告知受害者如何找回其原始的文件，当然主要其实就是解密方法。

//下载： CryptoLuck Technical Analysis.pdf (497.83 KB, 下载次数: 45)

2016-11-18 22:27 上传

点击文件名下载附件

文件名：CryptoLuck Technical Analysis.pdf
文件大小：509，775 bytes
MD5     : F4DA84B654AC7E14DF2C7091BB992CDF

点评：勒索软件又占据榜首了。对付勒索软件建议备份备份再备份。

2、危险Android木马指向Hacking Team组织
标题：Dangerous Android threat points to Italian spyware maker

作者信息：November 16, 2016 By  Zeljka Zorz

//BEGIN
A piece of Android spyware recently analyzed by researchers with the RedNaga Security team seemed to be yet another Hacking Team spying tool but, according to more recent revelations, another Italian company is its likely source.
目前有关这个最新发现的Android间谍软件的来源有不同的说法：一种说法是来源于Hacking Team；另外一种是来源于意大利的一家公司。该Android木马的主要功能包括：将自身隐藏在启动项中；企图实现永久驻留；关闭设备的所有声音；打开关闭GPS；截屏；录音视频；回复或者转发信息；执行任何代码；截获传送的数据等等；将自身假装成一个Google服务的升级部件。

//END
Currently, it is only being used by those entities in Italy, as well as by the Second University of Naples (“Seconda Università degli Studi di Napoli”), but the “company has ties with Germany, and would like to reach foreign markets, and especially emerging economies/countries.”
According to Marczak’s findings – a server whose digital certificate contains the string “ProcuraNapoliRaxirSrv” – it seems that Raxir’s products are being used by the Naples’ office of the prosecutor.
Both Hacking Team and Raxir did not answer Motherboard’s request for comment on the matter.
目前该Android恶意代码只在意大利被发现流传，包括意大利的一所大学，但是经过分析发现可能与德国或者其他一些新兴经济体相关。从采用的数字签名的服务器信息来看，好像还有意大利的其他司法部门也采用了该软件。当然联系以上提到的2个来源后，均未予置评。

点评：Android平台安全建议采用AVL Pro。

3、CNVD发布Nginx远程本地提权漏洞公告
{CHN}
标题：关于Nginx存在远程、本地权限提升漏洞的安全公告

作者信息：2016-11-17 14:19:25 By CNVD

//BEGIN
安全公告编号:CNTA-2016-0056
近期，国家信息安全漏洞共享平台（CNVD）收录了Nginx存在权限提升漏洞（CNVD-2016-10448，对应CVE-2016-1247）。综合利用该漏洞，本地及远程攻击者可利用该漏洞获取root权限。该产品广泛应用于构建网站服务器，由于漏洞验证信息已经公开，该漏洞可能诱发以控制为目的大规模攻击。
一、漏洞情况分析
nginx是俄罗斯软件开发者Igor Sysoev所研发的一款HTTP和反向代理服务器，也可以作为邮件代理服务器，被广泛应用于网站服务器搭建。Ubuntu官方发布的安全公告称，nginx程序在日志文件处理权限错误，远程攻击者利用该漏洞可获取系统ROOT权限。Debian官方公告称，由于Debian 系统上的nginx服务器包处理日志文件的方式，本地攻击者利用漏洞可访问/var/log/nginx目录，读取日志文件。
CNVD对上述漏洞的综合评级为“高危”。

//END
二、漏洞影响范围
该漏洞影响基于Debian操作系统的Nginx 1.6.2-5+deb8u3之前的版本，基于Ubuntu16.04 LTS操作系统的1.10.0-0ubuntu0.16.04.3之前版本，基于Ubuntu 14.04LTS操作系统的1.4.6-1ubuntu3.6之前版本，基于Ubuntu16.10操作系统的1.10.1-0ubuntu1.1之前版本。应用Nginx搭建的其他web服务器也可能存在同类安全风险。
根据CNVD秘书处普查情况，受到漏洞影响的运行于Debian操作系统平台的nginx服务器达到118万，而受影响的ubuntu平台nginx服务器更多，达到676万。整体看，受影响较大的排名前五名的国家和地区分别是美国（占比52.4%）、德国（7.1%）、中国(6.3%)、英国(6.8%)、法国(4.4%)。
三、漏洞修复建议
目前，多个系统厂商已发布了漏洞修复方案，用户可将程序分别升级至基于Debian操作系统的Nginx 1.6.2-5+deb8u3版本，基于Ubuntu16.04 LTS操作系统的1.10.0-0ubuntu0.16.04.3版本，基于Ubuntu 14.04 LTS操作系统的1.4.6-1ubuntu3.6版本，基于Ubuntu 16.10操作系统的1.10.1-0ubuntu1.1版本。CNVD建议用户关注厂商主页，升级到最新版本，避免引发漏洞相关的网络安全事件。

附：参考链接：
https://www.debian.org/security/2016/dsa-3701
https://www.ubuntu.com/usn/usn-3114-1/
http://nginx.org/（补丁地址）
http://www.cnvd.org.cn/flaw/show/CNVD-2016-10448

点评：快打！

4、iOS漏洞允许未授权问iPhone照片和消息
{CHN}
标题：[视频]iOS漏洞允许任何人绕过Passcode访问iPhone照片和消息

作者信息：2016-11-17 09:32:59 By cnBeta

//BEGIN
据外媒报道，一名安全研究人员在iOS中发现了一个严重的安全漏洞，任何人都可以借助它来绕过Passcode的保护来查看iPhone上的照片或阅读已有的消息。更糟糕的是，即使你已经配置了Touch ID，该方法同样适用。EverythingApplePro和iDeviceHelps发现，该漏洞会利用Siri来攻破设备，且只需简单的几个步骤，其影响从iOS 8到最新的iOS 10.2 beta 3版本的系统。

//END
即使在iPhone未解锁的情况下，任何人仍然能够通过这一方法“正常浏览”到用户的相册。此外，只需选择任意联系人，也可以看到相关的短信内容。
作为一项最简单的预防措施，在苹果发布修复之前，你最好到禁止在锁屏下使用Siri。方法是在设置中找到“Siri->锁屏访问”，然后将它关掉。
相信苹果已经知道了这个bug的存在，并在未来版本的iOS中及时修复（在iOS 10.2正式版本中打上补丁的可能性最高）。

点评：等着打！

5、美军方欲使用“网络迷雾”存储重要数据
{CHN}
标题：美国军方希望将数据存储在“网络迷雾Cyberfog”当中

作者信息：2016-11-17 16:00 By E安全

//BEGIN
E安全11月17日讯 所谓“战争迷雾”，是指士兵与指挥官在军事行动当中身处不确定情境下而产生的认知能力快速下降状况。敌人在哪里？队伍如何组成？我方部队在哪里？这一限制凭借着航空能力得到初步解决，而后卫星监控体系的普及基本消除了这类障碍。
美国陆军研究实验室的三位计算机科学家们将“战争迷雾”视为一种极为重要的指导性思路，并希望借此建立起新的强大数字安全实现形式。他们将目前计算机面临的安全问题称为“网络迷雾（Cyberfog）”。他们想象数据被拆分成片段，并被逐一嵌入至迷雾当中——包括分布在各服务器中以及最终用户设备之内。这样即使数据中的一部分遭受破坏，其整体含义仍然无法为对手所窥探。很明显，这样的效果对于安全保护工作而言非常重要。

//END
不过研究人员们同时警告称，这些目标在实现上皆颇具难度：“雾化/反雾化必须充分考虑实际场景下的规模、密度、复杂度以及网络进度，数据存储在不同用户及节点位置后带来的移动性与地理邻近性挑战，拆分信息的过期时间以及存储信息的具体时耗等等。”
要解决上述问题，我们可能需要更为深入且目前尚无定论的新型计算机科学成果。

点评：以后只能雾里看TA了？

6、安全厂商发布2017年安全威胁预测报告
标题：Kaspersky Security Bulletin. Predictions for 2017  ‘Indicators of Compromise’ are dead

作者信息：November 16, 2016. 8:57 am By Juan Andrés Guerrero-Saade, GReAT, Costin Raiu

//BEGIN
Yet another year has flown past and, as far as notable infosec happenings are concerned, this is one for the history books. Drama, intrigue and exploits have plagued 2016 and, as we take stock of some of the more noteworthy stories, we once again cast our gaze forward to glean the shapes of the 2017 threat landscape. Rather than thinly-veiled vendor pitching, we hope to ground these predictions in trends we’ve observed in the course of our research and provide thought-provoking observations for researchers and visitors to the threat intelligence space alike.
年年岁岁花相似，岁岁年年人不同。2016年接近尾声，根据2016年的恶意代码的历史数据为2017年的网络威胁发布了十个方向的预测:信标已死。

//END
Forecast for 2017:time to start using Yara rules more extensively as IoCs become less effective
Forecast for 2017:passive implants showing almost no signs of infection come into fashion
Forecast for 2017:growing popularity of short-lived infections,including those using PowerShell
Forecast for 2017:espionage increasingly shifting to mobile platforms
Forecast for 2017:use of intermediaries in attacks against the SWIFT interbank messaging system
Forecast for 2017:'script kiddie' extortionists compromise the idea of paying ransom to retrieve data
Forecast for 2017:lack of security for the Internet of Things will turn it into an 'Internet of Bricks'
Forecast for 2017:the question "Who is your firewall working for?" will become increasingly relevant
Forecast for 2017:rapid evolution of false-flag cybercriminal operations
Forecast for 2017:cybercriminals increasingly turn to social and advertising networks for espionage
第1：IoC信标不再有效，Yara规则将得到更广泛应用
第2：消无声息的植入和感染将越来越普及
第3：恶意代码的感染成活周期会越来越短，包括采用PowerShell技术的
第4：移动平台的间谍会越来越多
第5：SWIFT银行网间攻击越来越多
第6：勒索软件在脚本小子们的手下会越来越猖獗
第7：物联网的安全措施缺乏将导致物和物难以互接
第8：防火墙的用途究竟是什么可能会引起更多的关注
第9：网络犯罪快速进化
第10：利用社工和广告件的间谍网络越来越多。

//下载： Kaspersky Security Bulletin Predictions for 2017.pdf (3.29 MB, 下载次数: 58)

2016-11-18 22:34 上传

点击文件名下载附件

文件名：Kaspersky Security Bulletin Predictions for 2017.pdf
文件大小：3，452，449 bytes
MD5     : 66A35FB8572F349209A31DA6D5C65E66

点评：15年的预测看来不少还成真。