每日安全简讯(20161127)

1、勒索软件Cerber5.0变种使用新IP地址范围
2、360 安全团队发布勒索软件XTBL分析报告
3、黑客利用MailChimp邮件服务传播恶意软件
4、攻击者滥用YouTube推广包含后门钓鱼模板
5、Fancy Bears组织入侵反兴奋剂官员机密邮件
6、黑客组织PGA攻破印度多个高级委员会网站

【安天】搜集整理（来源：securityweek、freebuf、vice、securityweek、theguardian、easyaq）

1、勒索软件Cerber5.0变种使用新IP地址范围
标题：Cerber 5.0 Ransomware Uses New IP Ranges

作者信息：November 25, 2016 By Ionut Arghire

//BEGIN
The cybercriminals behind the notorious Cerber ransomware family have released three new versions of the malware this week, with the most notable change being the addition of new IP ranges in Cerber 5.0.
实际上之所以将这个勒索软件的版本定义为5.0，很大原因在于其修改了C2的地址，IP除了个别外，其余的都是新的。这个名为Cerber勒索软件的显著特点是对于勒索文本的处理：它采用VBScript编写一段脚本，将受害用户要支付等信息读出来（而不是通常的显示出来，用户看起来怪费劲的）。而该勒索软件的命名来源被其加密的文件的扩展名原来会增加的扩展名为CERBER(最新版5.0修改成了4位随机的字母组合）。实际上从该勒索软件的上一个版本开始，就针对数据库文件了。当然它们会首先终止一些流行的数据库进程，然后对这个重要的数据文件进行加密。同时根据安全专家的监测，该勒索软件的升级还很频繁和密集，显示出其勒索的生意还是很火热的：Cerber5.0 本周发现（几个小时后又出现了新版本Cerber 5.0.1）（Cerber4.1.6版本发布后不到24小时）；Cerber4.0大约10月中旬出现；Cerber3.0大约9月中旬出现。

//END
The malware continues to search for databases and files related to them, and can encrypt various database file types, Check Point says. The malware drops a ransom note on the desktop to inform users on the infection, and also drops an interactive .hta file with information in different languages. The rest of the features are unchanged from the previous releases.
该勒索软件的传播方式还是比较传统：通过垃圾邮件和漏洞利用工具Rig-V的EK进行传播。最新的5.0版本的勒索软件的目标依然是数据库以及其相关文件和进程。

点评：对付勒索软件，建议备份备份再备份。另外，这家伙3.0；4.0到现在的5.0短时间密集的生（升），没部门管管^^

2、360 安全团队发布勒索软件XTBL分析报告
{CHN}
标题：服务器的神秘来客：XTBL敲诈者木马技术分析

作者信息：2016-11-24 By 360安全卫士

//BEGIN
0×1前言
XTBL敲诈者是一款专门针对Windows服务器的敲诈者木马，最早出现于2015年，不过当时只在小范围传播，并未大面积影响国内服务器。但自今年六月起，国内不少服务器开始出现XTBL敲诈者感染迹象，而且还出现了多个变种。根据360反病毒中心调查分析，该木马很可能是攻击者利用服务器漏洞入侵后直接运行感染的。

//END
“XTBL”敲诈者对服务器的危害巨大，而造成文档被加密的根源在于服务器遭到入侵，而造成服务器被入侵的可能为登陆密码弱口令，漏洞没及时修补等原因，这些都是服务器主的疏忽造成的。因此对于服务器主而言，提升安全意识特别重要，设置强度高的登陆密码以及及时修补漏洞非常有必要。

点评：对付勒索软件，建议备份备份再备份。从正文的分析看，本地备份不够呀。

3、黑客利用MailChimp邮件服务传播恶意软件
标题：Hackers Are Using MailChimp to Spread Malware

作者信息：November 23, 2016 // 09:10 AM EST By JOSEPH COX

//BEGIN
You probably know MailChimp either as an email newsletter service, or the company that seems to have adverts on every single podcast you've ever listened to. Hackers recently jumped on that popularity, and managed to send out emails containing malicious links to subscribers of various different companies.
喜欢订阅邮件服务的用户应该注意了：几个流行的邮件订阅服务被黑客利用来发送恶意代码，由于冒充正规的服务商的邮件，而且是以发票等比较容易让用户相信的方式进行的。实际上这些邮件的链接以及附件含有恶意代码！

//END
The company would not say what the exact issue was, but MailChimp’s statement also strong encouraged users to setup two-factor authentication, implying that the problem might have been password reuse.
不管这些服务商承认不承认，被攻击和利用应该是事实上的事情。作为服务商和安全厂商能做的就是密切监视可能出现的异常情况，对于往来的压缩包等异常文件进行安全检查。

点评：还是一种社工方式，利用的是人们的信任。

4、攻击者滥用YouTube推广包含后门钓鱼模板
标题：Backdoored Phishing Templates Advertised on YouTube

作者信息：November 25, 2016 By Ionut Arghire

//BEGIN
Scammers are abusing YouTube as a new way to promote backdoored phishing templates and provide potential buyers with information on how to use the nefarious software, Proofpoint researchers warn.
视频播放网站YouTube被用来传播恶意代码：后门程序。该视频网站甚至能告诉用户如何使用这些后门。从这点上可以看出YouTube没有自动扫描、检测和发现有害视频的功能。

//END
The security researchers say that they found multiple samples where the authors included backdoors that allow them to harvest the phished credentials even after other actors purchased the templates to use them in their own campaigns. The victims of phishing attacks suffer the most, because they have their credentials stolen by multiple actors each time the backdoored kits are used.
其实安全专家不止发现了一到二个有害视频，而是多个，这些视频能够教用户如何利用一些后门程序，其实只是一些模板的使用，都比较简单易用，但是一个不能不令人吃惊的是，这些后门的开发者还能在后面悄悄跟踪安装的用户。

点评：开发者和购买者两者都会能偷取用户的机密信息：双重损失！

5、Fancy Bears组织入侵反兴奋剂官员机密邮件
标题：Fancy Bears hack again with attack on senior anti-doping officials

作者信息：Friday 25 November 2016 22.20 GMT By Sean Ingle

//BEGIN
The cyber-espionage group Fancy Bears, which made headlines worldwide when it published the private medical certificates of athletes including Bradley
Wiggins, Serena Williams and Simone Biles, has struck again by hacking into the confidential emails of senior anti-doping officials.
Fancy Bears间谍组织因为披露一些著名运动员服用违禁药品而声名大噪。上次是因为披露一些运动员的个人医疗信息，而这次则是披露了一些高级的WDA反兴奋剂官员的往来邮件！

//END
Previously Fancy Bears have published documents showing that over 100 athletes have taken TUEs. Among them were revelations that Serena Williams had taken the restricted drugs prednisone, prednisolone, methylprednisone, hydromorphone and oxycodone between 2010 and 2015, while Biles was given methylphenidate for attention-deficit disorder and Wiggins was allowed to take the powerful corticosteroid triamcinolone before the 2011 and 2012 Tour de France and the 2013 Giro D’Italia. In all cases, the athletes had been granted TUEs by the relevant international sports federations and national anti-doping organisations and Wada insisted that no wrongdoing had occurred.
国际反兴奋剂WDA声称，黑客们披露的这些邮件只是一些该机构的日常邮件通信往来，并没有什么特别之处，也不存在违规之处。同时表示WDA正在和FBI等调查组织密切配合，试图查出真正的幕后元凶。根据黑客披露的信息，至少有100多名著名运动员以治疗疾病和必须为由，被允许服用了违禁药品。时间跨度对每个运动员并不相同，从2010年到2015年不等。

点评：一切源自钓鱼和社工！

6、黑客组织PGA攻破印度多个高级委员会网站
{CHN}
标题：黑客组织攻破印度多个高级委员会网站

作者信息：2016-11-26 19:05 By cnbeta

//BEGIN
印度再次面临了严重的网络安全问题，这一次，黑客组织Powerful Greek Army攻破了其多个高级委员会网站，取得了数百个用户的登录信息。该黑客组织的一名成员Kapustkiy称，他们使用SQL注入攻击攻破了两个高级委员会的数据库，并得到了近200个账户信息。Kapustkiy称他发动攻击是因为政府官员无视网络安全问题，他曾在发现安全漏洞后联系相关人员，但他们并未修复好这些安全漏洞。
Kapustkiy称：“我曾经联系这些网站的管理员Yatin Patel，他向我保证会认真处理这件事。我不停地向他发电子邮件，但没有收到任何回复。他们声称已经修复好网站安全漏洞，但实际上并没有。”

//END
这次攻击事件后，印度政府方面发布了一个官方感谢声明，称谢谢该黑客组织的安全建议，他们会一项一项地修复好网站存在的漏洞。
印度的网络安全工程师正在对这一攻击事件做进一步调查，希望印度方面能真正修复好其安全漏洞，不会再有用户信息泄露的事情发生。

点评：可能还真不是置之不理，也许不知道如何处理呢。