每日安全简讯(20170201)

1、安全厂商发现恶意代码Shamoon针对沙特组织
2、研究人员发现北约成员国成为鱼叉式钓鱼目标
3、Downeks和Quasar远控木马近期针对政府攻击
4、打印机尚未修复旧漏洞可被用于入侵企业内网
5、研究者发现NETGEAR路由器可泄露管理员密码
6、调查显示三分之一中国网民愿为折扣透露隐私

【安天】搜集整理（来源：fortinet、securityaffairs、paloaltonetworks、securityweek、securityweek、cnbeta）

文件：安天201701每日安全简讯集： 安天201701每日简讯集.pdf (526.61 KB, 下载次数: 752)

2017-2-3 14:06 上传

点击文件名下载附件

1、安全厂商发现恶意代码Shamoon针对沙特组织
标题：Saudi Organizations Targeted by Resurfaced Shamoon Disk-Wiping Malware

作者信息：Jan 30, 2017  By  Artem Semenchenko

//BEGIN
FortiGuard is currently investigating a new wave of attacks targeting Kingdom of Saudi Arabia organizations that use an updated version of the Shamoon malware (also known as DistTrack.) We described this malware in detail a few months ago in a previous article.
来自美国安全厂商Fortinet的FortiGuard小组当下正在调查一波新的针对沙特王国的攻击，其采用的恶意代码是Shamoon（也称为DistTrack）的最新变种.该恶意代码的原始版本几个月前的2016年11月就已经被分析过了。新版本的恶意代码与之前版本的有些变化。Shamoon会用一个图像文件来覆盖感染系统的所有文件，这个图像文件就是著名的溺水叙利亚幼童Alan Kurdi的照片，只不过照片的大小从2016年11月的349*286大小变成了现在的700*577。除了图像大小不同外，恶意代码的编译时间也不同，虽然看起来都像是假的；最后就是该恶意代码采用了静态的认证编码进行传播，不仅可以感染实体机还可以感染虚拟机。这个默认的认证来自华为的FusionCube虚拟机产品。

//END
The biggest current mystery is how the developers initially obtained valid credentials that have been used in Shamoon attacks. FortiGuard will continue to investigate these attacks and provide updates as new information develops.
-= FortiGuard Lion Team =-
当下最大的疑惑就是恶意代码Shamoon的开发者最开始时是如何获得的有效的认证证书的，进而能越过众多的检查关口。

点评：Lion Team小组牛呀。

2、研究人员发现北约成员国成为鱼叉式钓鱼目标
标题：A sophisticated spear phishing campaign is targeting NATO Governments

作者信息：January 30, 2017  By Pierluigi Paganini

//BEGIN
Researchers from Cisco’s Talos security intelligence and research group.discovered a sophisticated spear phishing campaign on NATO Governments.
思科的Talos安全情报和分析小组的研究人员最近发现了一个专门针对北约NATO成员国的鱼叉式攻击。攻击手法还很高级以及隐秘。具体体现在其采用看似平常的垃圾邮件，不过邮件内容足以乱真：其正文为DOC格式，其内容也来自NATO官方的文件，内容本身也没有任何问题。出现问题就在于其用来携带的Flash，正是这里出现的漏洞。这个攻击行动出现在人们安全意识相对淡薄的圣诞节以及新年期间。文档文件的主题还很标准：Statement by the NATO Secretary General following a meeting of the NATO-Russia Council，一般人很难将其与钓鱼邮件联系起来。
由于其攻击方式的层次复杂性，研究人员称呼其为“俄罗斯套娃”式的攻击构架，而且该攻击还会检测感染环境，如果存在虚拟机以及沙盒的话，则会停止其恶意活动。
成功运行后，攻击者会搜集目标的基本信息：包括操作系统版本、Adobe Flash的版本已确定是否攻击该机器。搜集的数据能使得攻击者能确认该机器是沙箱还是虚拟机。最终利用的攻击代码是Flash的漏洞。
有意思的是，Talos安全情报和分析小组的研究人员从1月16日开始发现了大量与该恶意代码C&C服务器相关的网络请求，分析其来源发现这些请求主要来自安全公司！
显然攻击者也注意到了这一点，然后它们就会隐藏其真实的恶意行为，进而取代的是一些垃圾数据和代码，这样就能干扰主要的安全公司的分析和研究。

//END
“It’s important to note that the actor realized security researchers were poking around their infrastructure and then rigged the
infrastructure to create resource issues for some security devices. These are the characteristics of reasonably advanced attackers who have designed an efficient minimalist framework that was able to adapt purposes on the fly.” states the analysis.
值得注意的是攻击者非常清楚安全公司的研究人员一直在密切关注着他们的一举一动，因此这些攻击者，特别是一些高级的攻击者，会非常注意观察自己的一举一动是否被监控、被分析，一旦发现有异常，就会改变策略、减少被发现的几率。这些策略都是在其设计之初就已经考虑并成熟的。

点评：有点网络战的意思了。

3、Downeks和Quasar远控木马近期针对政府攻击
标题：Downeks and Quasar RAT Used in Recent Targeted Attacks Against Governments

作者信息：January 30, 2017  4:00 PM By Mashav Sapir, Tomer Bar, Netanel Rimer, Taras Malivanchuk, Yaron Samuel 和 Simon Conant

//BEGIN
Palo Alto Networks Traps Advanced Endpoint Protection recently prevented recent attacks that we believe are part of a campaign linked to DustySky. DustySky is a campaign which others have attributed to the Gaza Cybergang group, a group that targets government interests in the region.
This report shares our researchers’ analysis of the attack and Remote Access Tool (RAT). We also discovered during our research that the RAT Server used by this attacker is itself vulnerable to remote attack, a double-edged sword for these attackers.
美国Palo Alto Networks公司最近阻止了一个据称名为DustySky的攻击，DustySky可能是一个位于加沙的网络犯罪团伙发起的，他们的目标专门针对该地区。

//END
Downeks has static encryption keys hardcoded in the code. These keys are initialized in the “Defaults” class constructor, suggesting that the author of this malware has great affection for stackoverflow:
Downeks在其代码中含有静态的加密秘钥，这些密码都统一在名为Defaults的类结构中被初始化，这显示出恶意代码的作者对栈溢出的青睐！

点评：万马奔腾的时代，马的用途各不相同。

4、打印机尚未修复旧漏洞可被用于入侵企业内网
标题：Printer Vulnerabilities Expose Organizations to Attacks

作者信息：January 30, 2017 By Eduard Kovacs  

//BEGIN
A team of researchers from Ruhr-Universität Bochum in Germany has analyzed 20 printers and multifunction printers (MFPs) from several vendors and discovered that each of them is affected by at least one vulnerability, including flaws that can be exploited to crash the device or obtain sensitive information that provides access to the organization’s network.
一个来自德国的安全研究小组的分析人员最近分析研究了近20种打印机以及多功能打印机MFP的安全性，发现这些来自不同厂家的打印机不同程度均存在各种各样的安全漏洞，最少的也有一种。如果这些漏洞被成功利用的话，那么轻则搞乱打印机、重的则可以获取敏感信息，为进入使用这些打印机的企业和组织打开了一扇窗。

//END
The researchers have also notified other affected vendors of their findings. However, they pointed out that the old vulnerabilities they had identified affected the latest versions of the firmware. In some cases, the vulnerabilities have been known for more than a decade, which they believe suggests that printer manufacturers don’t take security seriously, or they lack the proper security analysis tools.
研究人员将他们的研究成果通报给了相关的打印机开发商。然而不幸的是，他们发现即使是最古老的漏洞也能影响这些厂家的最新型设备。一些漏洞公布时间竟然长达10年以上，原因无非有两种，一种是涉事的厂商压根就不重视安全问题；另外一种就是重视，但是苦于缺乏相关的安全分析工具，也就不知道这些漏洞的存在，以及这些漏洞到底意味着什么。

//下载： SoK Exploiting Network Printers.pdf (4.75 MB, 下载次数: 1032)

2017-2-3 16:19 上传

点击文件名下载附件

文件名：SoK Exploiting Network Printers.pdf
文件大小：4，980，219 bytes
MD5     : A9A479FF5055FE8289767627FF08F39C

点评：打印机也是计算机，只不过通常不会引起人们的注视。

5、研究者发现NETGEAR路由器可泄露管理员密码
标题：Many NETGEAR Routers Leak Admin Passwords

作者信息：January 30, 2017 By Eduard Kovacs

//BEGIN
NETGEAR has released firmware updates for many of its routers after an expert discovered that they are affected by serious vulnerabilities that can be exploited to obtain the administrator password for the user interface.
路由器生产厂家NETGEAR对其出产的很多路由器产品发布了其固件的最新版本，以修复被安全研究人员发现的最新漏洞。利用该漏洞可以远程获取管理员的登录密码。该漏洞的编号为CVE-2017-5521.

//END
NETGEAR recently announced the launch of a bug bounty program, with rewards of up to $15,000 per vulnerability. The decision to launch the program came after several researchers complained about how the company handled vulnerability disclosures.
NETGEAR公司最近公布了其漏洞发现奖励计划：每个漏洞奖励15000美金！该奖励计划的出台可能是回应部分研究人员抱怨该公司的漏洞披露措施不到位。

点评：有点Mirai的意味....

6、调查显示三分之一中国网民愿为折扣透露隐私
{CHN}
标题：调查：逾三分之一中国网民愿为折扣透露隐私

作者信息：2017-01-31 07:10:05 By 新浪财经

//BEGIN
据俄媒报道，德国消费调研公司（GfK）的多国在线调查问卷结果显示，与其他国家相比，中国的网络用户更愿意为获得折扣等优惠透露个人信息。据俄罗斯卫星网报道称，这份在线调查问卷要求受访者选择他们对以下声明的认可程度：“我愿意分享自己的个人信息（如健康、财政状况、驾驶记录、用电情况等），以此换取低价或个人服务等优惠。”

//END
报道称，38%的中国受访者对此表示完全赞同，表示完全不认可的只有8%。愿意以个人信息换取优惠的网络用户比例居高的国家还包括墨西哥（30%）、俄罗斯（29%）和意大利（28%）。
德国、法国、巴西、加拿大与荷兰的受访者最不愿意透露个人信息。

点评：个人隐私在国内还是越来越受到重视。