每日安全简讯(20170207)

1、勒索软件YourRansom基于开源工具包编写
2、安天工程师解读CryptKeeper通用密码事件
3、HoneyWell工控系统被发现远程利用漏洞
4、取证公司Cellebrite工具遭到黑客窃取并公开
5、提供DRM保护技术公司Denuvo发生数据泄露
6、Windows DRM机制或可暴露Tor用户真实地址

【安天】搜集整理（来源：bleepingcomputer、antiy、us-cert、pcauthority、solidot、hackbusters）

1、勒索软件YourRansom基于开源工具包编写
标题：YourRansom Is the Latest in a Long Line of Prank and Educational Ransomware

作者信息：February 4, 2017 10:16 AM By Catalin Cimpanu

//BEGIN
Ransomware infections are problematic enough on their own, even if they aren't the subject of a prank or some condescending programmer trying to "teach" you about the dangers of crypto-ransomware.
勒索软件编写者如果不是出于恶作剧或者“教育”你目的的话，那么染上勒索软件将是一件非常令人烦恼的事。不过，最近几个月来都发现了这两种勒索软件，一种是纯粹的玩笑式勒索软件；另外一种就是教育用户，让用户知道勒索软件的危害。最新的恶作剧勒索软件名称是YourRansom，它是由安全公司Forcepoint的研究人员发现的，并采用开源的勒索软件开发工具包完成的，编程语言为Go。开发者据说来自中国。上个月，其开源代码被发布在共享网站GitHub网站上。这证明了开源的勒索软件已经是，并将继续是，一个未来的巨大的安全威胁。
这个YourRansom勒索软件，目前为止还没有发现大规模传播的迹象，也许真的就是一个在朋友间玩玩的恶作剧而已，不过这也可能只是一种良好的期望而已。也许在不久的将来，这个开源的勒索软件被别有用心的人利用，并制作成专门的网络武器来进攻其敌人，到那时再想防范恐怕就很麻烦了。
目前发现的YourRansom勒索软件会对以下19种常见文件进行加密：.txt, .zip, .rar, .7z, .doc, .docx, .ppt, .pptx, .xls, .xlsx, .jpg, .gif, .jpeg, .png, .mpg, .mov, .mp4, .avi和 .mp3等，被加密后其文件的后缀名被增加字符串youransom。比如如果原来的文件名是test.jpg，那么被加密后其文件名就会变为test.jpg.youransom。但是该勒索软件并不是无差别的对所有系统的目录下的文件进行加密，对类似Windows、Program Files或者System等目录则不会有任何操作。
一直到目前为止，YourRansom勒索软件的动作还与常规的勒索软件一致。但下面的特性就有些不同了：
YourRansom勒索软件不会对外产生网络流量，同时不会连接C2服务器。但是会在被加密的文件的同一目录下，生成以下两个文件:README.TXT和YourRansom.key。其实这个YourRansom.key的文件中包含的就是加密采用的秘钥。要想解密就得把这个文件通过发送邮件的方式发送到勒索软件者处，YourRansom勒索软件者的邮件地址位于另外一个纯文本文件README.TXT中。这也就是说，该勒索软件的解密秘钥并不像其他常见的勒索软件那样存在于C2服务器上，而其实存在于受害者自己的机器上，不过如果不通过勒索者，要想解密还是非常困难的。虽然这种解密是免费的。这也许就是其被称为恶作剧的原因吧：(1)将受害者本地的文件YourRansom.key文件通过邮件的形式发给勒索者；(2)勒索者给受害者返回解密文件YourRansom.dkey；（3）受害者将YourRansom.dkey拷贝到勒索软件二进制程序的同一目录下；（4）重新运行该勒索软件，就可以解密所有被加密的文件了。
一旦用户不小心将YourRansom.key文件当做“病毒”文件给删除了的话，那么要想再恢复文件就很困难了。

//END
A more recent "educational" ransomware is Koolova, which works by activating a decryption button if the user reads two articles about ransomware. Both are better are better jokes when compared to YourRansom.
不过最近还真出现了两种出于“教育”受害者目的的勒索软件，其中之一名字是Koolova。虽然它也是勒索软件，不过如果受害者读完了两篇关于勒索软件的文章后，Koolova就会将会激活“解密”按钮，只要点击 该按钮，那么所有被Koolova感染的文件就会被解密。
另外一个的名字是EduCrypt勒索软件，这个勒索软件更有意思，其Ransom note文件的内容就是将用户随便下载并运行该勒索软件的行为臭骂了一通，但是随后告诉了用户该勒索软件的解密秘钥，并警告用户不要再随便从互联网上下载各种不明来源的文件了。

点评：对付勒索软件，建议采用备份备份再备份的3B原则：Backup、Backup、Backup（Beifen、Beifen、Beifen）。

2、安天工程师解读CryptKeeper通用密码事件
{CHN}
标题：CRYPTKEEPER发现通用密码事件分析报告

作者信息：2017年2月2日 15时00分 By 安天安全研究与应急处理中心（Antiy CERT）

//BEGIN
1 事件起因
2017年1月31日，Softpedia网站发布了一篇名为《Cryptkeeper Linux Encryption App Fails at Job, Has One Letter Skeleton Key - "P"》的文章，其中提及，CryptKeeper应用在Debian 9中存在一个BUG，会使得用户为加密文件夹设定的密码被替换为单个字符“p”，从而使字符“p”作为解密由其加密的文件夹的通用密码。
文章引用了Kirill Tkhai于2017年1月26日在debian社区（bugs.debian.org）提交的Bug信息。
安天CERT为验证此消息的准确性，对所涉及模块的源代码进行了分析。

//END
3 事件影响
该事件的影响范围有限，因为：
CryptKeeper的使用人数较少，作者甚至一度停止了维护；
该Bug目前只出现在使用了encfs最新版本(1.9.1-3)的系统上，而此版本并未被很多发行版所采用；
在事件发生后，CryptKeeper作者已从Debian 9的官方源中移除了自己的软件，并将在修复后重新上传该软件。
    不过，对于CryptKeeper的用户来说，该事件的影响却是恶性的。一方面，不知情的用户在解除挂载后，将无法再次访问自己的加密文档；另一方面，用户数据在攻击者面前毫无加密强度可言，隐私数据可以被轻松解密获取。

//下载： cryptkeeper.pdf (509.41 KB, 下载次数: 631)

2017-2-7 22:05 上传

点击文件名下载附件

文件名：cryptkeeper.pdf
文件大小：521，633 bytes
MD5     : 23A87674D9635F01D7FEC1554E61711C

点评：[20170202.5] 五天前有过简讯，不过还是今天的分析更清楚、全面和专业！

3、HoneyWell工控系统被发现远程利用漏洞
标题：Advisory (ICSA-17-033-01)
Honeywell XL Web II Controller Vulnerabilities

作者信息：February 02, 2017 By ICS-CERT

//BEGIN
Independent researcher Maxim Rupp has identified vulnerabilities in Honeywell’s XL Web II controller application. Honeywell has produced a new version to mitigate these vulnerabilities.
These vulnerabilities could be exploited remotely.
工控厂家HoneyWell的XL WebII 控制器应用程序被爆存在漏洞，该漏洞是由一个名叫Maxim Rupp的研究人员发现并报告的，成功利用该漏洞可以实现远控。

//END
BACKGROUND
Honeywell is a US-based company that maintains offices worldwide.
The affected products, XL Web II controllers, are web-based SCADA systems. According to Honeywell, XL Web II controllers are deployed across several sectors including Critical Manufacturing, Energy, Water and Wastewater Systems, and others. Honeywell estimates that these products are used primarily in Europe and the Middle East.
Honeywell公司是一个在世界各地均有办公室的跨国企业，其主要的产品是工控产品，是一套基于Web的SCADA系统。其产品广泛应用在关键基础设施、能源、水利以及废水利用等领域，除了美国外，其客户主要分布在欧洲、中东等地。

点评：国内好像应用也不少？

4、取证公司Cellebrite工具遭到黑客窃取并公开
标题：Hacker publicly releases 900GB of data stolen from Cellebrite

作者信息：Monday 6 February 2017   By Roi Perez

//BEGIN
Following a breach on the Israeli mobile forensics firm Cellebrite which saw 900GB of its data stolen, the hacker responsible has released what are claimed to be the company's phone hacking tools.
来自以色列的著名手机取证公司Cellebrite工具的数据遭到黑客窃取并公开了其发现的900GB内容。这类取证工具通常是卖给那些执法的政府部门。这些数据是从Cellebrite的一个存在于互联网服务器中下载到的。该事件是上个月被公布的，这些数据来自几种不同的手机类型：有Android的、iPhone的和黑莓的等。这些数据是加密存放的，不过被黑客破解。黑客们表示，即使是执法部门使用的“专业的”取证工具也有数据泄露的风险存在。2016年早些时候，美国的司法部曾经要求苹果公司定制一个操作系统版本，有了这个版本，司法部就能很顺利的进入其想要进入的手机系统。但是该提议遭到了苹果公司的拒绝，最后还诉诸法律。当时就有声音称，一旦该系统被提供，那么就会有泄露手机隐私并公之于众的风险。更进一步，司法部还曾经要求苹果公司协助进入一起案件的嫌疑人的手机，但是同样遭到了拒绝。不过最后司法部最后找到了这家以色列公司Cellebrite，并与其签订了相关合同，才得以成功获取了该嫌疑人手机里的关键文档和信息。

//END
A spokesperson for Cellebrite told Motherboard in an email: "The files referenced here are part of the distribution package of our application and are available to our customers. They do not include any source code."
不过，Cellebrite公司的发言人称这些泄露的900G文件只是该公司分发给其客户的应用程序包，没有任何源代码。

点评：数据泄露。

5、提供DRM保护技术公司Denuvo发生数据泄露
{CHN}
标题：Denuvo网站日志泄漏

作者信息：2017年02月06日 15时57分 星期一 By pigsrollaroundinthem         

//BEGIN
提供DRM保护技术的Denuvo公司最近备受瞩目，原因是使用Denuvo DRM的游戏《生化危机7》上市五天就被破解组织CPY 破解。对此结果该公司表示晚几天破解总比一发布就遭到破解要好。现在，Denuvo被发现对网站的保护十分松懈，其网站的多个私有目录开放了外部访问（如图所示，已关闭外部访问），其中日志目录中一个11MB大小的日志文件Ajax.log泄漏了客户支持邮件的信息。该日志中包括了各类邮件，其中有游戏开发商发来的有意使用Denuvo DRM的商业合作邮件，以及游戏玩家的辱骂邮件。发送邮件的游戏开发商包括了卡普空（生化危机7的发行商），Codemasters、Relic Entertainment、505 Games和Kalypso等，Google安全团队的Jan Newger也发送邮件表示想要评估Denuvo的产品。

//END
Resident Evil 7 Denuvo DRM Cracked Within A Week After Release
Jan 30, 2017 By Aernout
The Resident Evil 7 Denuvo anti-tamper technology has been cracked within a week of the game’s release.

Italian hacking group CPY is responsible for cracking Capcom’s latest title. At the moment of writing, it’s unknown what method was used for bypassing Denuvo, but the speed at which CPY managed to crack the anti-tamper technology suggests that other titles using Denuvo can be cracked just as fast. Until now, it took hacking groups months to successfully crack a game using Denuvo tech.
Recently, Bethesda removed Denuvo from DOOM after being successfully cracked, and Denuvo later stated that the protection was removed as it had “accomplished its purpose”.

“The simple reason why Denuvo Anti-Tamper was removed from Doom was because it had accomplished its purpose by keeping the game safe from piracy during the initial sales window,” Denuvo’s Robert Hernandez told Kotaku. “The protection on Doom held up for nearly four months, which is an impressive accomplishment for such a high-profile game.”

Resident Evil 7 is available now for PC, Xbox One, and PS4.

点评：数据泄露。

6、Windows DRM机制或可暴露Tor用户真实地址
标题：Microsoft's DRM can expose Windows-on-Tor users' IP address
Anonymity-lovers best not watch movies as .WMV files

作者信息：6 Feb 2017 at 07:03 By Richard Chirgwin

//BEGIN
Windows users running the Tor browser can be tricked into uncloaking themselves, with a pretty straightforward trick based on Microsoft's DRM system.
在Windows系统下使用Tor浏览器的所谓匿名用户，很容易被社工利用而泄露其真实的IP地址，这个社工技巧借助的是播放受到微软的DRM系统保护的WMV视频文件时。此消息是由名为Hacker House的黑客发布的，该黑客长期关注利用DRM保护技术来做社工攻击。

//END
It's not the first time people have seen social engineering attacks based on media files: the old “you need a plug-in to play this file” strategy had a Windows DRM variant back in 2013, according to Virus Total. ?
其实这已经不是第一次了。以前曾经出现过这个社工方法：提示用户you need a plug-in to play this file (“你需要一个插件以播放这个文件”)。

点评：Tor用户就要慎播WMV文件了？