每日安全简讯(20180525)

1 FBI关闭IoT VPNFilter僵尸网络关联域名

美国FBI在思科、网络威胁联盟（CTA）和美国执法机构周二公布IoT VPNFilter僵尸网络之后，周三关闭VPNFilter关联的两个相关域名。FBI认为VPNFilter与APT28有关，另外乌克兰首都基辅将于5月26日举办国际足球比赛，猜测与VPNFilter近期攻击乌克兰有关。


https://www.cyberscoop.com/vpnfi ... -apt-28-fancy-bear/

---

2 TalkTalk路由器存在漏洞可泄露WiFi密码

软件开发公司 IndigoFuzz 的研究人员指出，互联网服务提供商 TalkTalk 的超级路由器 (Super Router) 的 WPS 功能可遭攻陷，从而导致路由器无线密码被盗。虽然早在2014年TalkTalk 就已经获悉这个问题，但直到今天似乎仍然无动于衷。


https://www.secrss.com/articles/2872

---

3 勒索软件Crypton通过RDP服务实施攻击

研究人员发现Crypton勒索软件背后的攻击者通过远程桌面服务实施攻击，一旦攻击者获得计算机访问权限即会执行勒索软件并加密文件，加密成功后将“.ransomed@india.com”作为加密文件扩展名。


https://www.bleepingcomputer.com ... e-desktop-services/

---

4 安全厂商发布IoT VPNFilter僵尸网络分析

安全厂商思科发布僵尸网络VPNFilter利用IoT路由器、NAS网络存储设备攻击活动分析，VPNFilter分为三个攻击阶段，第一阶段通过修改NVRAM然后调用linux定时任务命令crontab建立持久机制，即使IoT设备重启也不会消失；第二阶段的样本不具备持久性，从C2接收指令，安装Tor模块，具备破坏设备和代理功能；第三阶段的样本也不具备持久性，以插件的方式作业，包括流量嗅探和Tor通信等。Talos认为VPNFilter第一阶段的RC4加密代码与 BlackEnergy代码相同，而将攻击者归因于俄罗斯。VPNFilter 利用各国的命令和控制（C2）基础设施，在5月8日感染了很多乌克兰境内及多个国家主机。预估至少有 54 个国家遭入侵，受感染设备的数量至少为 50 万台。受影响的设备主要有小型和家庭办公室（SOHO）中使用的 Linksys、MikroTik、NETGEAR 和 TP-Link 路由器以及 QNAP 网络附加存储（NAS）设备。暂时尚未发现其他网络设备供应商受感染。


https://blog.talosintelligence.com/2018/05/VPNFilter.html

---

5 研究人员披露友讯路由器存在后门账号

安全厂商卡巴斯基的安全研究人员在友讯 DIR-620 路由器固件中发现了后门账号，允许攻击者控制受影响设备。该后门允许攻击者访问路由器的 Web 面板，而用户没有办法关闭这个秘密账号。唯一防止路由器被入侵的方法是避免路由器在 WAN 接口暴露管理面板。好消息是 DIR-620 路由器型号较旧，因此能被利用的设备并不多。大多数设备主要被俄罗斯、独联体和东欧的 ISP 部署使用。


https://securelist.com/backdoors-in-d-links-backyard/85530/

---

6 统计显示私有软件使用开源代码比例增长

Black Duck Software 审计了超过 1000 个商业代码库，发现 96% 含有开源组件，平均每个程序含有 257 个组件，代码库里开源组件的比例从 36% 增长到了 57%，显示私有软件使用开源代码的比例在增长，很多私有程序包含的开源代码比私有代码更多。Black Duck 还发现，78% 的代码库包含至少一个与开源组件相关的安全漏洞，平均每个代码库发现 64 个漏洞。


https://www.solidot.org/story?sid=56587

---