每日安全简讯(20161230)

1、KillDisk变种或将勒索软件引入工控领域
2、安全厂商发现黑产的受害主机一站式商店
3、FDA为联网医疗设备制定网络安全防护指南
4、ZyXEL定制路由器被发现远程代码执行漏洞
5、安全团队揭示声波入侵物理隔离系统方法
6、IHG假日酒店被PoS恶意代码窃信用卡数据

【安天】搜集整理（来源：securityweek、securityaffairs、cnbeta、securityaffairs、freebuf、softpedia）

1、KillDisk变种或将勒索软件引入工控领域
标题：Destructive KillDisk Malware Turns Into Ransomware

作者信息：December 28, 2016 By Eduard Kovacs

//BEGIN
A recently discovered variant of the KillDisk malware encrypts files and holds them for ransom instead of deleting them. Since KillDisk has been used in attacks aimed at industrial control systems (ICS), experts are concerned that threat actors may be bringing ransomware into the industrial domain.
曾经在乌克兰停电APT攻击中被使用的一个恶意组件代码KillDisk最近发生了一些异动：不删除文件，而改变策略为直接加密文件，并勒索那些潜在的目标。赎金还不低，多达222比特币（大约21万美刀），看样子在钓大鱼呢。
勒索看样子这是要进军工控领域呢！

//END
Experts pointed out that industrial organizations can be an ideal target for ransomware for several reasons, including the fact that cyber-disruptions can result in physical safety risks and production outages, network operations typically cannot be easily shut down, data backup processes may not cover all the required data, and the employees of industrial organizations might be less aware of cyber threats.
“Enterprises are more likely to quietly pay the ransom because of concerns that going public with cyberattacks will invite greater scrutiny from regulators, and possibly fines (environmental, safety, etc.),” said Phil Neray, VP of industrial cybersecurity at CyberX.
专家点评说：工控领域可不同于简单的个人的文档、资料以及一些网银、隐私等等，这属于关键的基础设施，一般都与实体的经济生活密切相关，主动长时间关闭或者停用是不现实的，而且数据备份不大可能迅速及时、恢复也不能瞬间完成，再加上本身工控领域里的网络安全防范意识要相对滞后，不少人还抱着这样的观点：我这是一个封闭的网络，不会感染恶意代码，更不会有啥勒索软件盯上！
更有安全专家指出工控领域的软肋：一般如果工控企业遭到勒索，那么大多会乖乖的交钱了事，否则可能会招来监管部门的更多的处罚、甚至罚款（这些肯定比勒索的赎金带来的损失还要高得多。）

点评：对付勒索软件，建议采用备份备份再备份的3B原则：Backup、Backup、Backup（Beifen、Beifen、Beifen）。[这招ICS领域好像不太灵，权做参考]

2、安全厂商发现黑产的受害主机一站式商店
标题：Kaspersky discovered a One-stop-shop for hacking goods

作者信息：December 29, 2016  By Pierluigi Paganini

//BEGIN
Security experts from Kaspersky Lab discovered an interesting one-stop-shop for purchasing hacking goods while investigating activity of a popular RAT.
卡巴的安全专家们在对一个流行的远控木马RAT进行分析时发现了一个有趣的事：一站式的购买黑客物品的“商店”，明码标价：这还是一个前店后厂的模式：界面上是能购买的信息，后台则是偷取来的各种密码、账户信息等等。当然这些商店中能接受的货币都是些比特币类似的虚拟货币。它们并不容易追溯到其真实身份。
而且这些后台的数据保存得并不严密，存在一个严重的安全漏洞，安全专家正是通过它，已经容易得获取了其后台的“商品”，当然还发现了更多的意想不到的信息。

//END
The analysis of affected users revealed they are mostly located in APAC (i.e. Japan, Thailand, and India) and Eastern Europe (i.e. Russia and Ukraine).
经过对受害用户的分析发现，大部分受影响的用户在亚太以及东欧：亚太主要是日本、泰国以及印度；东欧则是俄罗斯和乌克兰等。

点评：木马制造者眼里只有一个字：钱！

3、FDA为联网医疗设备制定网络安全防护指南
{CHN}
标题：为防止心脏起搏器被入侵：FDA制定了一份安全防护指南

作者信息：2016-12-29 10:21:31 By cnBeta

//BEGIN
在汽车和家电都越来越智能、且依赖互联网连接的大环境下，医疗设备的安全性也不得不提上议事日程。虽然联网可以带来诸多便利，但其脆弱性也在更大范围中被曝光。好消息是，美国食品和药物管理局（FDA）已经完成了一份面向医疗设备（比如心脏起搏器）的《网络安全防护指南》，建议制造商们切实制定提升医疗设备网络安全性能的方案。

//END
为了应对这一威胁，FDA 建议制造商尽快检查其设备中的可能漏洞、制定固件升级计划，以在患者受到伤害之前完成修补。
这份指南着重于制造商可为已发布医疗产品采取的行动计划，但其实早在 2014 年 10 月，FDA 就已经发布了一份早期的指南。Schwartz 写到：“为了解决网络安全的问题，FDA 不会止步于此。我们将继续监测、识别、和解决所有利益攸关的医疗设备的网络安全威胁，并适时调整和更新这份指南”。

点评：物联网的安全是个范围很大的概念。

4、ZyXEL定制路由器被发现远程代码执行漏洞
标题：ZyXEL Customized Routers plagues by multiple vulnerabilities

作者信息：December 28, 2016  By Pierluigi Paganini

//BEGIN
According to the firm SecuriTeam, several ZyXEL customized routers are affected by many vulnerabilities that could be easily exploited by hackers.
安全专家发现定制化的路由器存在RCE远程代码执行漏洞，而且能被利用。漏洞还很多，不止一个。

//END
The sad aspect of the story is that the researchers reported the vulnerabilities to ZyXEL in July, but the company still hasn’t issued any patched neither workaround.
Vulnerabilities in IoT devices, including home routers and SOHO devices, are particularly critic, because attackers can exploit them to compromise the equipment and recruit them in powerful “thingbot “such as the Mirai botnet.
7月份就反馈给了厂家，但是直到现在厂家都未响应更未修补漏洞！
这些路由器的漏洞不管是存在于家用路由器还是存在于企业的SOHO设备中，都是非常严重的事情。黑客们完全可以将这些设备变成僵尸网络的一部分，从而发起DDoS攻击。这个方法虽然古老，但是依然有效，造成的危害还不小。这不，不久前爆出的Mirai未来僵尸网络轰动一时就是一个例证。

点评：与[20161228.3] “3、部分路由器厂商对研究者提交漏洞重视不足”说的是一回事。

5、安全团队揭示声波入侵物理隔离系统方法
{CHN}
标题：Fansmitter ：利用声波入侵物理隔离系统

作者信息：2016-12-28 By ArkTeam

//BEGIN
物理隔离是指通过物理手段将目标系统和因特网以及其他一些不安全的网络进行隔离的一种网络安全措施。在一些需要规避敏感或者关键信息泄露风险的系统中这种措施经常会被采用比如军事防御系统、关键基础设施指挥和控制中心、金融系统等。但即使进行了高度的隔离，近年来一些物理隔离系统被入侵的事件依然屡见不鲜比如Stuxnet、Agent.btz。

//END
物理隔离并非绝对安全利用各种物理介质作为隐蔽信道实现信息窃取已被研究人员证实。本文对Negev网络安全中心研究人员提出的Fansmitter攻击技术进行了较为深入的解读这种攻击方法利用声波作为介质在不需要目标计算机安装扬声器或者对硬件做任何修改的情况下能实现对目标系统信息的窃取。实验显示在1到8米的范围内攻击都可以实现数据传输速率最高可以达到15 bit每秒。利用这种攻击手段黑客可以窃取类似加密密钥、口令等一些其它的敏感信息。虽然这类攻击在实施过程中仍然有诸多限制但是其实现原理和攻击手段需要引起高度重视和深入思考。

点评：[20161113.6]也提到了声波的利用。

6、IHG假日酒店被PoS恶意代码窃信用卡数据
标题：InterContinental Hotels Systems Possibly Breached, Credit Card Data at Risk
IHG currently investigating the breach, the company says

作者信息：Dec 29, 2016 10:21 GMT  By Bogdan Popa

//BEGIN
The InterContinental Hotels Group (IHG) is believed to have suffered a new breach that compromised the company’s payment systems at a number of locations in the United States, possibly exposing the credit card details of an unknown number of customers.
美国国际洲际酒店IHG集团最近据称其支付系统数据出现严重泄露，这些泄露的数据中可能包括很多用户的信用卡信息，但是可怕的是受到影响的用户的数量无法统计。目前只能提醒所有的可能受影响的客户密切关注自己的信用卡账单信息，一有异常情况及时报告。

//END
This isn’t the first time when the InterContinental Hotels Group suffers this kind of breach, as earlier this year, a similar attack was discovered on POS devices used by Kimpton Hotels, also part of the same company.
Malware installed on payment systems between February and July was used to steal credit card information, including the security code, names, and cardholder names, which then allowed to make purchases and unauthorized payments.
这已经不是第一次该集团的数据遭到泄露了，2016年的年初时，该集团旗下的一个另外的酒店也遭到类似的攻击。实际上该恶意代码是从今年2月到7月间就安装到了这些支付系统，被用来盗取用户的信用卡信息：用户的名字、卡号、安全码等。

点评：PoS感染木马被盗信用卡，可怕！安装智甲来防护！