每日安全简讯(20161125)

1、滥用Telegram API勒索软件TeleCrypt被破解
2、麦迪逊广场花园公司支付数据被恶意软件窃取
3、InPage软件0day漏洞被用于攻击亚洲金融机构
4、FBI史上最大规模网络行动，入侵120个国家
5、美国海军遭黑客入侵，13.4万士兵信息泄露
6、访问恶意视频链接可导致任何iOS设备死机

【安天】搜集整理（来源：solidot、securityweek、securelist、easyaq、easyaq、solidot）

1、滥用Telegram API勒索软件TeleCrypt被破解
{CHN}
标题：滥用 Telegram API 的勒索软件被破解

作者信息：2016年11月23日 20时04分 星期三 By pigsrollaroundinthem

//BEGIN
名叫 TeleCrypt 的勒索软件滥用 Telegram API，将流行的即时通讯软件作为CC指令控制中心。该勒索软件针对的是俄罗斯用户，用Delphi编写，大小3MB，感染之后会向受害者勒索5000卢布。幸运的是， TeleCrypt 使用的加密并不强，Malwarebytes的研究人员发现它的加密方法十分简单，因此开发出了破解程序，帮助受害者解密加密的文件。破解程序需要 .NET 4.0。

//END

点评：与[20161111]的第一条新闻类似。

2、麦迪逊广场花园公司支付数据被恶意软件窃取
标题：Madison Square Garden Discovers Payment System Breach

作者信息：November 23, 2016 By Eduard Kovacs

//BEGIN
The Madison Square Garden Company (MSG) informed customers on Tuesday that their payment card data may have been stolen by cybercriminals who installed a piece of malware on its payment processing system.
本周二，一个位于美国的MSG公司（麦迪逊广场花园公司）通报其消费客户，在一个特定时间段内的刷卡客户其信用卡和借记卡的信息可能已经被盗，提醒用户注意防范。被盗是有人通过恶意代码的方式，进入了该公司的支付系统而造成的。线索是发卡公司发现并报告了异常交易信息，并报告给MSG公司。于是MSG公司与安全公司合作调查。调查的结果显示黑客从去年的11月份就已经进入了该系统，到目前为止大约持续了1年的时间。搜集的用户信息包括用户的卡号、持卡人姓名、过期日、验证码等关键信息。影响的时间段具体为：2015年11月9日到2016年10月24日。影响涉及多个经销食品和饮料的商户。虽然目前已经清除了该恶意代码，但是详细的调查还在继续进行中，以找出预防类似事故再次发生的办法，同时已经将此事上报给国家执法部门。有安全专家指出：在网络攻击面前，没人能够幸免。对于这样的商户来说，他们既无能力发现此类攻击，也无能力对其做出任何有效的响应。

//END
“Far too many organizations focus on checklist goals and meeting their latest PCI compliance audit instead of actively monitoring payment card networks for indicators of compromise that may be indicative of a breach. The bottom line is simple: attackers don’t care that you passed your last audit,” Henderson added.
Several major companies reported suffering a payment card breach in the past months, including HEI, Kimpton Hotels & Restaurants, Noodles & Company, Hard Rock Hotel & Casino Las Vegas, Eddie Bauer and Omni Hotels.
而更加残酷的现实是：大多数公司只满足于合规，每年花钱去审计了事。而不是去花大力气来监测支付系统的异常情况，特别是对一些可能的高风险进行预警，这样的话，被攻破是迟早的事。这不，过去的几个月中，其他的几个大型的连锁机构的支付系统也被爆出现支付卡泄露的情况。

点评：细节未透露：恶意代码是如何进入支付系统的；何种系统；何种恶意代码。但是监测预警真的很重要！网安法第51条：国家建立网络安全监测预警和信息通报制度。 意思是虽然我可能不能100%防住恶意攻击，甚至不能阻断其成功得手，但是即使这样，预防方最低可以及时发现造成的危害，这就是监测预警的涵义吧。

3、InPage软件0day漏洞被用于攻击亚洲金融机构
标题：InPage zero-day exploit used to attack financial institutions in Asia

作者信息：November 23, 2016. 8:59 am By Denis Legezo

//BEGIN
In September 2016, while researching a new wave of attacks, we found an interesting target which appeared to constantly receive spearphishes, a practice we commonly describe as a “magnet of threats”. Among all the attacks received by this magnet of threats, which included various older Office exploits such as CVE-2012-0158, one of them attracted our attention. This file, which was also uploaded to a multiscanner service in September 2016, had an extension that we were unfamiliar with – “.inp”. Further investigation revealed this was an InPage document. InPage, in case you are wondering, is publishing and text processing software, mostly popular with Urdu and Arabic speaking users.
Since no exploits for InPage have previously been mentioned in public, we took a closer look to see if the document was malicious or not. Further analysis indicated the file contained shellcode, which appeared to decrypt itself and further decrypt an EXE file embedded in the document. The shellcode appeared to trigger on several versions of InPage. We don’t observe any public mentions of such exploit so we consider it a zero-day. All our attempts to contact InPage so far have failed.
乌尔都语和阿拉伯语的用户一般使用InPage来处理文档，其生成的文件扩展名为inp.（类似我们使用Office的Word产生的DOC文档）
从其官方网站上看，其用户大致分布为：加拿大5万；美国10万；英国20万；中东1万；南非5000；欧洲1万；巴基斯坦100万；印度60万；日本2000；孟加拉国5000以及其他用户5000，因此InPage的用户最多的位于印巴地区。
根据安全公司的研究发现，一些目标特别受到黑客们的青睐：这些目标持续不断接到各种钓鱼邮件，老的有利用2012年的漏洞，新的有一个甚至没有见过的inp文件格式（就是上面提到的），这个扩展名的格式吸引了安全人员的注意。从直觉判断，很可能是一个全新的攻击方式、甚至为0day。
果然，经过仔细研究发现，这些看似普通的文档，实则含有Shellcode,它会加密隐藏自身同时还会加密一个恶意的EXE文件。


//END
By all appearances, this newly discovered exploit has been in the wild for several years. In some way, it reminds us of other similar exploits for Hangul Word Processor, another language/region-specific text processing suite used almost exclusively in South Korea. HWP has been plagued by several exploits in the past, which have been used by various threat groups to attack Korean interests.
Despite our attempts, we haven’t been able to get in touch with the InPage developers. By comparison, the Hangul developers have been consistently patching vulnerabilities and publishing new variants that fix these problems. The best defense against exploits is always a multi-layered approach to security. Make sure you have an internet security suite capable of catching exploits generically, such as Kaspersky Internet Security. Installing the Microsoft EMET tool can also help, as well as running the most recent version of Windows (10). Finally, default deny policies, also known as whitelisting can mitigate many such attacks.
The Australian Signals Directorate Top35 list of mitigation strategies shows us that at least 85% of intrusions could have been mitigated by following the top four mitigation strategies together. These are: application whitelisting, updating applications, updating operating systems and restricting administrative privileges.
Kaspersky Lab has technological solutions to cover the first three of these (i.e. all the technology-based strategies) as well as most of the others from Top35 ASD’s list.
从目前的分析结果看，这个所谓的0day漏洞已经存在了多年。分析其原因发现地区性的字符处理软件都可能存在这个类似的问题。比如韩国的HWP(Hangul Word Processor)也是这样情况：基本上只是在韩国使用这个文字处理软件，世界上其他地区的人很少使用这类软件（是不是也类似中国的WPS?）.这就使得这类攻击的传播受到地域限制，虽然这样，但是这同样也给发现增加了难度。与韩国HWP不同，目前的这个InPage的开发者好像还不是很容易联系上，这样对修复其致命漏洞肯定是不利的。预防此类攻击据说有4种方法：第一采用白名单的方式；第二种升级应用程序到最新版，以修补最新发现的漏洞；第三种升级操作系统；第四种限制管理员权限。除了最后一种，前三者通过安全软件或者良好的配置习惯就可以完成。
相关链接：http://www.inpage.com/

点评：APT攻击者肯定喜欢这种方式。

4、FBI史上最大规模网络行动，入侵120个国家
{CHN}
标题：FBI展开史上最大规模网络行动 针对120个国家8000个IP进行入侵

作者信息：2016-11-24 16:31 By E安全

//BEGIN
E安全11月24日讯 今年1月，有文章报道称FBI方面正采取一项“前所未有”的黑客行动，FBI利用一份通缉令向众多包含儿童色情内容的暗网站点部署恶意软件。如今，这项活动已经开始，且具体规模远超预期。

//END
根据目前已经公开的消息，这类大规模黑客技术尚被限制在调查儿童色情案件之内。不过随着第41条规则的变化，美国当局很有可能将其适用范畴扩大到其它犯罪活动的调查当中。
加州黑斯廷斯学院法学客座助理教授Ahmed Ghappour质疑称：“真正的问题在于：他们是否会利用灌水型攻击，又是否会利用这些网络调查技术以查处Silk Road、毒品市场或者其它类型非法服务的访问者？”

点评：http://www.un.org/zh/member-states/index.html 显示当前整个世界的所有国家的总数都不到200个呀！120个的概念是60%？

5、美国海军遭黑客入侵，13.4万士兵信息泄露
{CHN}
标题：美国海军遭遇黑客入侵 13.4万名士兵信息泄露

作者信息：2016-11-24 16:37 By E安全

//BEGIN
E安全11月24日讯 美国官方已经确认此次数据泄露事故，并表示其正在调查当中。
根据美国官方今早发布的一份公开声明，美国海军已遭遇黑客入侵，且超过13万4千名士兵的个人细节信息因此失窃。

//END
早在2013年，美国就曾谴责伊朗针对海军计算机设备发动一系列攻击，其中包括用于邮件及内网的非保密设备网络。美国官方表示，该轮攻击由伊朗政府或者受雇于该政府的黑客组织所发起，并强调称并无任何有价值信息遭受窃取。
截至目前，尚无任何迹象或者证据表明此次出现的攻击活动与他国政府或者黑客组织有关。

点评：军事网络====>我国网安法第78条规定：军事网络的安全保护，由中央军事委员会另行规定。

6、访问恶意视频链接可导致任何iOS设备死机
{CHN}
标题：恶意视频链接会导致任何iOS设备死机

作者信息：2016年11月23日 11时37分 星期三 By pigsrollaroundinthem

//BEGIN
苹果iOS系统新发现了一个严重bug，用户只要在 Safari上播放一个.mp4视频（iOS设备不要打开）就能导致任何iOS设备死机，必须硬重启。YouTube视频播客 EverythingApplePro演示了该bug，它会导致系统逐渐失去响应。一种可能的解释是该视频在播放时会导致某种内存泄漏，系统无法正确处理。受影响的iOS版本从iOS 5到iOS 10.2，基本上涵盖了所有的用户使用版本。

//END
Malicious Video Link Can Cause Any iOS Device To Freeze

A new bug in iOS has surfaced that will cause any iOS device to freeze when trying to view a certain .mp4 video in Safari. YouTube channel EverythingApplePro explains the bug in a video titled "This Video Will CRASH ANY iPhone!" 9to5Mac reports:
As you'll see in the video below from EverythingApplePro, viewing a certain video in Safari will cause iOS to essentially overload and gradually become unusable. We won't link the infectious video here for obvious reasons, but you can take our word for it when we say that it really does render your device unusable. It's not apparently clear as to why this happens. The likely reason is that it's simply a corrupted video that's some sort of memory leak and when played, iOS isn't sure how to properly handle it, but there's like more to it than that. Because of the nature of the flaw, it isn't specific to a certain iOS build. As you can see in the video below, playing the video on an iPhone running as far back as iOS 5 will cause the device to freeze and become unusable. Interestingly, with iOS 10.2 beta 3, if you let an iPhone affected by the bug sit there for long enough, it will power off and indefinitely display the spinning wheel that you normally see during the shutdown process. If someone sends you the malicious link and you fall for it, this is luckily a pretty easy problem to fix. All you have to do is hard reboot your device. For any iPhone but the iPhone 7, this can be done by long-pressing the power and Home buttons at the same time. The iPhone 7, of course, uses a new non-mechanical Home button. In order to reboot an iPhone 7, you must long-press the power button and volume down button at the same time.


点评：应该是iOS系统的漏洞，原因还不得而知；有人挂上了实例MP4，但是未证实。