每日安全简讯(20170127)

1、为防勒索软件Gmail下月起阻止使用JS类型附件
2、研究人员剖析金融类恶意代码隐蔽VNC通讯模块
3、研究发现众多Android VPN应用含恶意间谍软件
4、安全厂商发现数千Linux设备感染木马Proxy.10
5、施耐德工业实时数据库产品发现默认口令问题
6、西数云产品存在远程命令注入和登录绕过漏洞

【安天】搜集整理（来源：securityweek、securityintelligence、solidot、securityaffairs、threatpost、securityweek）

1、为防勒索软件Gmail下月起阻止使用JS类型附件
标题：Gmail to Block JavaScript File Attachments

作者信息：January 26, 2017 By Eduard Kovacs

//BEGIN
Google’s G Suite team announced on Wednesday that, for security reasons, Gmail will soon stop allowing users to attach JavaScript (.js) files to emails.
处于安全考虑，Google的G安全小组在近期宣布将在Gmail中阻止用户发送带有js的附件。其实当前这已经不是第一例了，目前已经被阻止的文件类型有超过20多种，包括常见的可能被恶意利用的文件类型有：exe、jar、sys、scr、bat、com、vbs、cmd等等。js文件格式的阻止配置将从2017年2月13日其生效。
如果确实需要的话，Google官方建议用户采用别的途径来分享：Drive、云存储或者其他的文件分享工具。
促使Google修改阻止清单的原因是JavaScript文件格式越来越多的被恶意代码利用，特别是最近猖獗一时的勒索软件.比如Locky、Ransom32、RAA。同时垃圾邮件利用JavaScript也屡见不鲜。也许这两者的叠加效应是Google最终做出了此决定。

//END
Google made several security improvements to Gmail in the past year: it enhanced security alerts, it started flagging unauthenticated messages and potentially dangerous URLs, and it disabled support for the RC4 cipher and the SSLv3 protocol.
其实最近几年中，Google一直在Gmail中做出了一系列的安全更新和改进：主要是增加了安全提醒，并且标记未经认证的信息以及一些可疑的URL链接，同时不支持RC4密码以及SSL v3协议。

点评：虽然只是一点点改进，也可能获取大大增加攻击者的资源投入。

2、研究人员剖析金融类恶意代码隐蔽VNC通讯模块
标题：Anatomy of an hVNC Attack

作者信息：January 25, 2017  By Lior Keshet 、Limor Kessem

//BEGIN
Top-tier financial malware like Dridex, Neverquest and Gozi offer a wide range of malicious capabilities, such as form-grabbing, screen capture, webinjections and more. One notable capability is the hidden virtual network computing (hVNC) module, which allows attackers to gain user-grade access to an infected PC. It’s no secret that banking Trojans contain remote control capabilities, but how exactly they operate them is not well-known.
Hidden virtual network computing is a tactical means for malware to control a machine without the victim’s knowledge. To illustrate, we will use our detailed technical analysis of the Gozi Trojan’s hVNC module.
IBM的X-Force研究小组最近发现了一种隐秘的VNC通讯模块被用于各种高级金融类恶意代码，比如Dridex,Neverquest以及Gozi等，进而能获取用户的屏幕截图、网站Web注入以及更多。
本来这个VNC-Virtual Network Computing是个正常的功能，但是加上了前缀hidden就变成了hVNC就容易被恶意利用了：它能在用户毫不知情的情况下，偷偷监控用户的一切行为。

//END
Conclusion
Hidden VNC is one of many hallmarks of financial malware. Although not new, it is still popular and common in online banking fraud today. Cybercriminals use remote control in a variety of fraud scenarios, with and without actual malware on the victim’s endpoint. We plan to explain more about this hVNC capability and show a demo of it in upcoming security conferences.
In the meantime, banks and financial organizations can protect customers from remote control-enabled fraud with tools such as IBM Security Trusteer Rapport and about IBM Security Trusteer Pinpoint Detect.
Relevant IOCs
MD5 of the VNC module we analyzed: c24800a5d619b555f93e42845417a5e5
Relevant Gozi Trojan MD5: 3CDA89FB87EC5CC6DFE7099A71612B8F
金融类恶意代码有很多特性，hVNC是其中之一。虽然这并不是什么革命性的技术，但是到目前为止还非常流行以及普遍，它们常常被用在在线网银欺诈中，有了它的支持，黑客们甚至都不用在受害者的机器上安装任何恶意代码就可以实现自己的欺诈、盗取钱财的目的。针对该技术的研究还在继续。

点评：该模块技术一旦被恶意作者掌握，将是灾难性的。

3、研究发现众多Android VPN应用含恶意间谍软件
{CHN}
标题：研究发现众多Android VPN应用含有恶意间谍软件

作者信息：2017年01月26日 11时51分 星期四 By pigsrollaroundinthem

//BEGIN
越来越多的国家开始屏蔽盗版网站，也促使越来越多的人寻找VPN之类的工具绕过屏蔽。然而对Android用户而言，使用VPN应用需要谨慎，来自澳大利亚和美国的研究人员发现有大量的Android VPN应用含有间谍软件、病毒和其它恶意的广告软件。在他们分析的283款VPN应用中有38%含有恶意代码，这些应用的下载量有的多达上百万。研究人员发现（PDF），超过80%的
应用会访问用户的敏感信息，如用户数据和短信；五分之一的VPN应用提供商没有加密流量；名叫sFly Network Booster的应用含有间谍软件，能访问甚至转发短信；OkVpn 和 EasyVPN会在其它应用上展示广告；许多不安全的VPN应用已经从商店下架，但还有很多仍然留在应用商店内。

//END

//下载： An Analysis of the Privacy and Security Risks of Android VPN Permission-enabled Apps.pdf (378.73 KB, 下载次数: 332)

2017-2-1 20:19 上传

点击文件名下载附件

文件名：An Analysis of the Privacy and Security Risks of Android VPN Permission-enabled Apps.pdf
文件大小：387，821 bytes
MD5     : 26E10A26240C4D1CB2F10AE41774599A

点评：VPN突然热起来了....

4、安全厂商发现数千Linux设备感染木马Proxy.10
标题：Several thousand Linux devices infected with the Linux.Proxy.10 Trojan

作者信息：January 26, 2017  By Pierluigi Paganini

//BEGIN
According to the security firm Dr. Web , thousands of Linux-based devices have already been infected with the Linux.Proxy.10 Trojan.
根据来自俄罗斯安全公司Dr.Web的报告，数千Linux设备感染了名为Linux.Proxy.10的木马。它被利用来给恶意攻击者隐身。该恶意代码本身并不含有攻击Linux系统的模块，真正起作用的木马是被后来传送到该Linux的，建立的通道是通过SSH通信进行的。登录的用户名和密码是mother和fucker.

//END
Linux users and administrators are recommended to limit or completely disable remote root access via SSH, and monitor the newly generated login users to discover any evidence of infection.
不管是Linux的普通用户还是系统管理员都被建议限制甚至完全取消通过SSH进行远程访问，同时密切监视新产生的注册用户名，以发现被感染的蛛丝马迹。

点评：万马奔腾的时代，不同的马作用不同。

5、施耐德工业实时数据库产品发现默认口令问题
标题：DEFAULT CREDENTIALS FOUND IN SCHNEIDER ELECTRIC WONDERWARE HISTORIAN

作者信息：January 25, 2017 , 3:11 pm By Michael Mimoso

//BEGIN
The Industrial Control System Cyber Emergency Response Team (ICS-CERT) on Tuesday published an advisory warning of a critical vulnerability in Schneider Electric Wonderware Historian, a platform used to capture, store and manage big data.
The vulnerability, CVE-2017-5155, can be exploited to target Historian databases, ICS-CERT said.
一个最新的存在于施耐德工业实时数据库产品的漏洞被发现了，并被编号CVE-2017-5155。其主要原因在于安装过程采用了默认的用户名和口令，导致可能被远程攻破。该数据库产品是一个抓取、存储以及管理大数据的平台。

//END
Logins that are not used should be disabled from the SQL Server Management Studio, and for those in use, passwords should be changed from the supplied default credentials, ICS-CERT said in its advisory.
“For an increased level of security, Schneider Electric and Microsoft further advise that connectivity to SQL Server be accomplished with Windows Integrated Security as opposed to using native SQL logins,” ICS-CERT said.
不用的用户应该及早从系统中删除，特别是从SQL服务器的管理应用包中，对于那些要使用的用户，其密码绝对不能使用系统默认的。施耐德正和微软公司联合行动，在保证数据库联通的同时，提升Windows系统本身的集成安全性，采取诸如不使用默认SQL登录口令等方式。

点评：默认口令的问题虽然看似简单，却具有极强的生命力！

6、西数云产品存在远程命令注入和登录绕过漏洞
标题：Western Digital Patches Vulnerabilities in "My Cloud" Products

作者信息：January 25, 2017 By Eduard Kovacs

//BEGIN
The latest firmware update released by Western Digital for the My Cloud Mirror personal cloud storage product patches serious remote command execution and authentication bypass vulnerabilities.
西数的最新云产品被安全专家发现了两种漏洞：远程代码执行以及登录认证绕过漏洞。该产品涉及到My Cloud镜像个人存储产品。

//END
This was not the first time researchers found security holes in WD’s personal cloud storage products. VerSprite identified a remote command injection vulnerability in My Cloud in September 2015.
这已经不是第一次安全专家发现了该产品的漏洞了。早在2015年的9月份，安全人员就在My Cloud产品中发现了一个远程命令注入漏洞。

点评：username=1和isAdmin=1这种参数绕过方法还能有效？！