每日安全简讯(20170126)

1、安天更新方程式EQUATION DRUG平台分析报告
2、安全厂商在谷歌市场发现勒索软件Charger
3、安卓远控木马Spynote伪装Netflix应用程序
4、Shamoon所用被盗证书疑由GreenBug组织提供
5、暗网市场AlphaBay因漏洞泄露21万私人消息
6、研究人员发现Linux systemd本地提权漏洞

【安天】搜集整理（来源：antiy、checkpoint、threatpost、securityweek、bleepingcomputer、bleepingcomputer）

1、安天更新方程式EQUATION DRUG平台分析报告
{CHN}
标题：方程式组织EQUATION DRUG 平台解析

作者信息：2017 年1 月25 日 14 时30 分 By 安天安全研究与应急处理中心（Antiy CERT）

//BEGIN
安天在此前发布的报告版本的基础上，增加了一个方程式组织主机作业的模块积木图。这个积木图初步展示了一个将主机情报作业按照“原子化”拆分的模块组合的拼装，在本版本中安天CERT 也细化了对部分模块的分析，尽管目前的分析只覆盖这些模块的一少部分。
在数天前，安天CERT 把这份暂时称为“提纲”的未完成分析结果发布出来，这并非因为我们期望“速战速决”，而草率地发布一点粗浅的进展，而是我们需要获得更多的建议和批判。所幸的是，在上一版本发布后，获得了业内专家中肯而尖锐的批评，让安天认识到，在面对这组2007~2008 年的攻击模块集合时，分析小组再次出现了和当年分析“火焰”时一样的迷茫（尽管安天曾经一度以为自己比那时更清晰）。这些庞杂的模块展开了一组拼图碎片，每一张图上都是有意义的图案，但如果逐一跟进进去，这些图案就会组成一个巨大的迷宫。迷宫之所以让人迷惑，不在于其处处是死路，而在于其看起来处处有出口，但所有的
砖块都不能给进入者以足够的提示。此时，最大的期待，不只是有一只笔，可以在走过的地方做出标记，而是插上双翼凌空飞起，俯瞰迷宫的全貌。当然这是一种提升分析方法论的自我期待，我辈当下虽身无双翼，但或可练就一点灵犀。
目前安天的积木还原工作还刚刚起步，对于能够在中国的传统节日春节前，发布出分析报告的新版本，安天还是有些许欣慰的。网络安全注定是一个需要永远保持警惕和勤奋的行业，我们的分析工作会持续进行下去，即使是在焰火升腾，鞭炮响起的时刻，依然需要有紧盯反汇编代码和威胁态势的眼睛。
感谢业内专家同仁对安天的关注和支持，感谢安天客户对安天产品与服务的信任，祝大家新春快乐！

//END
我们警惕，但并不恐惧。对于一场防御战而言，除了扎实的架构、防御和分析工作之外，必胜的信念是一个最大的前提。
无形者未必无影，安天追影，画影图形。

//下载： EQUATION_DRUG-updated.pdf (1.15 MB, 下载次数: 313)

2017-2-1 17:10 上传

点击文件名下载附件

文件名：EQUATION_DRUG-updated.pdf
文件大小：1，210，505 bytes
MD5     : 10A8C193ED0302CDF0F6862FDE4C7F27

点评：丁酉年贺岁篇.

2、安全厂商在谷歌市场发现勒索软件Charger
标题：Charger Malware Calls and Raises the Risk on Google Play

作者信息：2017/01/24 By Oren Koriat,Andrey Polkovnichenko  

//BEGIN
Several weeks ago, Check Point Mobile Threat Prevention detected and quarantined the Android device of an unsuspecting customer employee who downloaded and installed a 0day mobile ransomware from Google Play dubbed “Charger.” This incident demonstrates how malware can be a dangerous threat to your business, and how advanced behavioral detection fills mobile security gaps attackers use to penetrate entire networks.
Google Play市场中的APP被发现了勒索软件，该勒索软件被命名为Charger.原因在于该勒索软件隐藏在名为EnergyRescue的APP中，并在Google Play市场中供不知情的用户下载安装。
这个消息是几周前，由CheckPoint安全分析与应急响应小组发现并报告的，当前该APP已经被移出Google Play商店。
勒索软件制造者的视线正从传统的PC转移到移动设备，特别是手机上。该勒索软件通过威胁公开用户的联系人以及短信通信记录来进行勒索。
Charger勒索软件的赎金大约相对于180美元，价码比通常的15美元高很多。
和很多其他的恶意代码带有地域性特征一样，该勒索软件会检查移动设备的本地区域设置，当发现区域设置为乌克兰、俄罗斯以及白俄罗斯这三个国家时，则不会加密受害者的设备。从这一点可以看出也许该恶意代码的作者就来自这三国中其中之一，目的是为了防止在其本国被抓，或者在这三国间见被抓、引渡或者起诉。
为了躲避检测，该恶意代码采用了以下三种高级技术：
a 将其字符串转码成二进制数组存储，使得采用常规检测字符串的办法很难检出；
b 执行过程为动态加密，这样使得很多检测引擎很难动态解包查杀。而且这些动态执行代码被灌满了一些垃圾代码，将一些真正的恶意代码行为隐藏在一大堆垃圾中，检测难度陡然增加；
c 在执行其真正的恶意代码前，会进行模拟器的检测。如果发现其运行环境有模拟器时，会自动终止其运行。当然这是从其PC恶意代码学习借鉴而来的，不过该技术正在移动恶意代码中流行起来。

//END
Check Point’s Analysis and Response Team (ART) disclosed the finding to Android’s Security team who took the appropriate security steps to remove the infected app and added the malware to Android’s built-in protection mechanisms.
Android安全小组收到了CheckPoint安全分析与应急响应小组的报告，作为回应，Android的安全小组采取了相应的措施，并改进了其内置的安全机制以抵御类似的恶意代码的攻击。

点评：Android安全推荐AVL Pro!

3、安卓远控木马Spynote伪装Netflix应用程序
标题： SpyNote RAT Now Disguised As Netflix App

作者信息：January 24, 2017 , 3:26 pm By Chris Brook

//BEGIN
A new version of the SpyNote Trojan is designed to trick Android users into thinking it’s a legitimate Netflix application.
伪装成正规Netflix应用的木马最近被安全公司Zscaler发现，其名被称为SpyNote。其实去年秋，Palo Alto Networks公司也曾发现了一个类似的安卓远控木马Spynote的另外一个版本。

//END
It’s the second attack this month based on tricking Netflix fans. Researchers uncovered a phishing campaign two weeks ago designed to dupe users into giving up their login information, credit card data and social security number.
Netflix的爱好者已经是本月第二次遭遇到这个假冒的恶意木马了：两周前，一个类似的针对用户的钓鱼行动也被曝光过，当时它们欺骗用户输入登录信息、用户的信用卡号以及社会安全号码等。

点评：Android安全推荐AVL Pro!

4、Shamoon所用被盗证书疑由GreenBug组织提供
标题：Shamoon Attacks Possibly Aided by Greenbug Group

作者信息：January 24, 2017 By Eduard Kovacs

//BEGIN
The stolen credentials used in the recent Shamoon attacks aimed at organizations in the Persian Gulf may have been supplied by a threat group tracked by Symantec as “Greenbug.”
攻击组织名称：Greenbug
该攻击组织发起攻击的行动代号：Shamoon
目标：沙特、伊朗、伊拉克、巴林、卡塔尔、科威特以及土耳其等海湾国家的重要基础设施，包括航空、投资、政府以及教育等领域和机构
发现厂家：Symantec、Palo Alto Networks
Shamoon也被称为Disttrack，是一个从2012年就开始流行的磁盘删除恶意代码，当时曾经损坏了35000台沙特石油和天然气公司的计算机。
最新的攻击波分为两批：第一批发起日是2016年11月17日；第二批发起日是11月29日。根据其时间安排以及一些属性可以判断其来源与伊朗。

//END
Saudi Arabia has warned organizations to be on alert following a series of new attacks, Reuters reported on Monday. The country’s labor ministry, a chemicals firm and other companies have been allegedly hit.
根据路透社的消息称：沙特已经给其重要部门发出了警告，声称可能会遭受进一步的攻击。据称该国的劳工部、化工厂等部门曾经遭到攻击。

点评：虽然通篇未提到，但貌似APT攻击！

5、暗网市场AlphaBay因漏洞泄露21万私人消息
标题：Bug Allowed Access to Over 218K Private Messages on Dark Web Marketplace AlphaBay

作者信息：January 24, 2017 09:36 AM By Catalin Cimpanu

//BEGIN
AlphaBay admins announced today they'd plugged a security hole that allowed an attacker to gain access to around 218,000 private user messages.
暗网市场AlphaBay最近宣布其系统存在一个漏洞，导致其用户的私人聊天记录被泄露，影响的范围是218000名用户。通过这些聊天记录，参与人的具体信息可能被曝光。匿名可能不再。
发现这个漏洞的是一个ID为Cipher0007的人。而且他也收到了AlphaBay官方数额不详的奖励。

//END
Shortly after his AlphaBay discovery, user Cipher0007 also found another bug in the Hansa Dark Web marketplace that allowed him to compile a list of Hansa usernames. The bug was reported to Hansa, according to Reddit DarkNetMarkets admins.
这个名为Cipher0007的人不仅仅发现了AlphaBay的漏洞，同时还发现了另外一个暗网Hansa的市场的漏洞，利用该漏洞可以遍历其所有用户的用户名。当然Hansa官方也收到了该报告。

点评：暗网也不再是黑洞，时不时泄露的哪怕是一丁点信息，满足人们的各种好奇心。

6、研究人员发现Linux systemd本地提权漏洞
标题：Linux Systemd Flaw Gives Attackers Root Access

作者信息：January 24, 2017 01:51 PM  By Catalin Cimpanu

//BEGIN
Security researcher Sebastian Krahmer has recently discovered that a previously known security flaw in the systemd project can be used for more than crashing a Linux distro but also to grant local attackers root access to the device.
The issue was first introduced in the systemd source code in November 2015 and was patched two months later, in January 2016, affecting only systemd v228, and receiving a fix with the release of v229.
一个名为Sebastian Krahmer的安全研究人员近期经过研究发现，以前被报告systemd项目存在的安全漏洞不仅能导致Linux系统的崩溃，还能致使攻击者本地提权，并获取根目录权限。
其实这个漏洞早在2015年11月份就在systemd的源代码中被发现，并在2个月后的2016年1月份被修复成功。影响的systemd版本是v228，下一个版本v229则修复成功。只是最近该安全研究人员在仔细分析了该漏洞后，又发现了新的利用途径。

//END
Systemd is a core Linux utility that manages application processes on Linux distros. The vast majority of today's major Linux distributions use systemd as their default init system, including most Linux versions deployed on IoT devices.
Systemd是一个Linux系统下的核心应用，能在Linux下管理应用程序进程。当前发行的大部分Linux版本都将systemd作为其启动的默认系统进程运行。同时它也广泛应用于物联网IoT设备中。

点评：内核级systemd应用，幸亏不能通过网络进行提权。