每日安全简讯(20161128)

1、研究人员剖析10种常见勒索软件加密算法
2、爱尔兰数万宽带猫存在可被远程控制漏洞
3、黑色星期五邮件被用于向亚马逊客户钓鱼
4、Akamai发布2016年第三季度攻击分析报告
5、UberCENTRAL工具漏洞可致用户数据泄露
6、黑客组织Hazaristan攻击阿富汗国家安委会

【安天】搜集整理（来源：freebuf、freebuf、reporter、easyaq、securityweek、sputniknews）

1、研究人员剖析10种常见勒索软件加密算法
{CHN}
标题：分析与总结常见勒索软件的加密算法

作者信息：2016-11-27 By zzz66686

//BEGIN
勒索软件(ransomware)是一种运行在计算机上的恶意软件，通过绑架用户文件，使用户数据资产或计算资源无法正常使用，并以此为条件向用户勒索钱财。这类用户数据资产包括文档、数据库、源代码、图片、压缩文件等多种文件。赎金形式通常为比特币，少数为真实货币或其他虚拟货币。
按照已有资料考证，早在1989年，第一款勒索软件就已经问世，但这与本文内容关系不大，不做讨论。而近期的勒索软件是从2012年开始流行，并于2013年引起了广泛的重视。截止至当前，勒索软件的受害者已有上千万用户，这也使得勒索软件日益猖獗。

//END
过去的勒索软件对于各种加解密算法的使用，或多或少的都存在一些问题。但随着勒索软件的版本更新，这些问题越来越少。一旦勒索软件的作者完全掌握了正确地使用这些加解密算法时，按目前的计算水平来看，想还原这些被加密的文件可以认为是不可能的。所以，针对于勒索软件的问题，笔者建议是以防范为主。即时地备份自己的个人文件，对于一些关键的文件，更要采取一些额外的手段进行保护。而一旦真的感染了勒索软件也不要惊慌，更不要盲目的购买并支付比特币，咨询一些专业人员可以得到更为科学的处理手段。
此外，可以针对勒索软件的主要特征订制一些防御手段，如设置蜜罐文件等。相信通过这些方式可以有效地遏制勒索软件的传播。

点评：不管怎么变形和加密，对于一般用户，最基础的手段建议还是对重要文档、资料和数据等备份备份再备份。

2、爱尔兰数万宽带猫存在可被远程控制漏洞
{CHN}
标题：爱尔兰数万宽带Moderm存在漏洞可被远程入侵控制 (备注：正文和标题的英文单词应为Modem)

作者信息：2016-11-27 By clouds

//BEGIN
Eir，爱尔兰最大的ISP提供商，其为数万客户提供使用的Eir D1000 宽带调制解调器存在漏洞，可被远程入侵控制，导致全国大面积网络面临被攻击威胁。
背景
本月初，名为“kenzo”的安全研究员针对Eir D1000 modem进行了分析，发现其中开启了与TR－064和TR-069两种协议相关的端口号7547。

//END
1、就像2015年初，由于CVE-2014-9222影响固件的“Misfortune Cookie”漏洞一样，这些bug虽然不是单纯的软件漏洞，但也需要及时修补；
2、爱尔兰国内还有上千台由Vodafone和其它ISP提供商管理使用的moderm仍然存在该漏洞；
3、Eir公司另一种型号调制解调器P-660HN-T1A_IPv6同样存在此漏洞；
4、利用shodan可以发现爱尔兰将近有70,378台此类moderm受该漏洞影响。
原文：https://devicereversing.wordpres ... en-to-being-hacked/
Eir’s D1000 Modem Is Wide Open To Being Hacked.
Background

The Eir D1000 Modem has bugs that allow an attacker to gain full control of the modem from the Internet. The modem could then be used to hack into internal computers on the network, as a proxy host to hack other computers or even as a bot in a botnet.

点评：SHODAN这个搜索引擎以后可能会多次提及；而MODEM这个单词的拼写把一些知名业内的公众账号也带沟里了....

3、黑色星期五邮件被用于向亚马逊客户钓鱼
标题：Amazon customers warned over Black Friday phishing campaign

作者信息：24 November 2016 By Matt Smith

//BEGIN
Scammers are taking advantage of consumers' Black Friday excitement with a new Amazon email scam. Get Safe Online warned that cyber criminals have sent thousands of emails to customers claiming there is a "problem" with their orders from the retail website.
网络欺诈者又出新花招了：他们借助人们在购物高峰来临的季节开始行动，滥发钓鱼邮件给潜在受害者，声称客户的订单出现了技术问题，请用户点击附件或者正文的钓鱼URL链接进行处理。

//END
It warned consumers to be suspicious of emails asking them to update their details or resolve problems with their accounts, and to check the URL in their address bar to confirm they are on an official website before entering any information.
网购达人一般是安全小白的几率较大，安全专家建议用户不要轻易点击邮箱中的链接，应该仔细核对相关信息，留意URL是不是官方的等等。谨防上当受骗。

点评：国外虽然没有1111节日，但是有黑色星期五，这个不是别的，而是圣诞节前的购物狂潮！慎点！即使是所谓您订的货出现了点问题的邮件。

4、Akamai发布2016年第三季度攻击分析报告
{CHN}
标题：Akamai报告：2016年第三季度攻击分析

作者信息： 2016-11-25 15:27 By Akamai Intelligent Platform

//BEGIN
领先的云计算平台Akamai Intelligent Platform发布新报告，分析当前云安全和威胁环境，包括深入了解Mirai僵尸网络导致的两起历史最大型DDoS攻击。
•    本季度发生的两起最大型DDoS攻击都利用了Mirai僵尸网络。Akamai观察到这是迄今为止最大规模的DDoS攻击，峰值达到623 Gbps和555 Gbps。
•    2016年第三季度DDoS攻击总量同比增加71%。
•    第三季度，Akamai共缓解4556起DDoS攻击，环比减少8%。
•    第三季度缓解的19起大型攻击峰值流量超过100 Gbps，与2016年第一季的峰值相当。
•    2016年第三季度，攻击者很少选择NTP反射攻击。完全依赖NTP反射的攻击平均规模峰值流量近700 Mbps，相比2014年6月，平均大  幅下降超过40 Gbps。

//END
聚焦攻击向量
•    2016年第三季度，UDP碎片攻击和DNS反射攻击是最常用的攻击向量，占所有向量的44%，同比增加4.5%。
•    应用层攻击在DDoS攻击的占比仅为1.66%，可能是因为实施这类攻击对技术知识水平有要求。基础架构层攻击更易通过点击（point-and-click）工具发起。

点评：又见Mirai未来.....

5、UberCENTRAL工具漏洞可致用户数据泄露
标题：Flaws in Uber's UberCENTRAL Tool Exposed User Data

作者信息：November 25, 2016 By Eduard Kovacs

//BEGIN
Several vulnerabilities have been identified in Uber’s recently launched UberCENTRAL service. The ride-sharing company patched the flaws and rewarded the expert who found them.
Announced in late July, UberCENTRAL provides a dashboard that companies can use to pay for Uber rides on behalf of their customers. UberCENTRAL administrators can add operators (i.e. employees who request rides for customers) based on their email address.
共享出行工具UBER在今年的7月份推出了新的服务UberCENTERAL，这是一个公共服务，通过这个服务可以以乘客的名义给司机付款。它的运行是基于邮件地址的，管理员可以添加操作员的账号来进行管理。该服务推出2-3个月后，先后被发现了严重漏洞，如果这些漏洞被利用，可以盗取乘客的详细信息。发现者向UBER公司报告了这些漏洞，于是这些漏洞得到修补。UBER公司方面也按约给发现该漏洞的安全工作者奖励，但是奖励的具体金额并未公开。

//END
The company says it has paid out more than $700,000 so far, with the average bounty ranging between $750 and $1,000. A researcher earned $10,000 this summer after informing Uber of a critical flaw in a third-party WordPress plugin used on the company’s websites.
Researchers from security consulting and audit firm Integrity informed Uber of 14 flaws, including ones that could have allowed attackers to access the details of Uber drivers and passengers.
UBER公司称到目前为止漏洞报告奖励计划已经支付超过70万美金，具体到单个漏洞的金额平均从750美金到1000美金不等，但是今天夏天一个研究者发现的严重漏洞奖励的金额为10000美金！那是一个WORDPRESS插件漏洞。另外一个安全咨询和审计公司的研究人员给UBER公司报告了14个漏洞，其中一个漏洞如果被成功利用，还能导致黑客访问UBER司机和乘客的详细信息！

点评：UBER的安全，说到底也还是APP以及WEB和数据库的安全！APP安全建议采用AVL Pro!

6、黑客组织Hazaristan攻击阿富汗国家安委会
标题：Hackers Reportedly Attack Afghanistan's National Security Council Website

作者信息：23:26 25.11.2016 By Sputnik

//BEGIN
The website of Afghanistan's National Security Council (NSC) was hacked by the group of hackers who call themselves Hazaristan Cyber Army, media reported on Friday.
MOSCOW (Sputnik) — According to Tasnim news agency, the hackers left a deface page with a brief message, an image of the Islamic State (IS, outlawed in Russia) terrorist group flag along with the pictures of several Afghan officials, whom they accused of supporting terrorists and killing civilians.
攻击的目标是阿富汗国安委的官方网站，其目的带有政治诉求。篡改了其官方网站的首页，修改成了IS的图像、一个简短的声明以及一些阿富汗官方的官员的肖像，这些官员被指控支持恐怖主义以及枪杀平民。

//END
The uploaded photos included NSC Advisor Mohammad Hanif Atmar, head of the Afghan intelligence agency Massoum Stanekzai, commander of Kabul police headquarters Abdul Rahman Rahimi and head of Kabul Garrison Gul Nabi Ahmadzai.
Similar hacker attacks repeatedly happened in the past, though it was the first time when photos of Afghan officials were uploaded.
被挂网的政府官员包括国安委官员、情报部门负责人、首都警察总部负责人、首都警备区负责人等等，这些官员的头像还是首次被挂在被黑网页上。

点评：Kazakhstan 与 Hazaristan有点类似，但是后者好像并不在传统字典中。