每日安全简讯(20161026)

1、研究人员发现利用安卓硬件漏洞的Drammer攻击
2、勒索软件Locky新变种使用新的加密文件扩展名
3、移动恶意软件GM Bot变种可绕过系统安全机制
4、研究人员发现OpenSSL存在“红色警戒”DoS漏洞
5、研究人员发现绕过PayPal双因子验证的简单方法
6、研究人员发现利用语音邮件漏洞窃取激活码方法

【安天】搜集整理（来源：softpedia、softpedia、scmagazine、360、softpedia、securityweek）

1、研究人员发现利用安卓硬件漏洞的Drammer攻击
标题：Rowhammer Attack Can Now Root Android Devices
After Windows & Linux, Rowhammer takes over Android as well

作者信息：Oct 24, 2016 21:10 GMT  By Catalin Cimpanu

//BEGIN
Researchers have discovered a method to use the Rowhammer RAM attack for rooting Android devices, and can even be combined with existing Android vulnerabilities such as Bandroid and Stagefright.
研究者已经发现了一种使用Rowhammer进行RAM攻击的方法来Root Anroid设备，同时有时甚至与目前Android系统中已经存在的漏洞结合起来使用。比如说Bandroid以及Stagefright等。这里提到的名字RowHammer，其实是一种攻击技术，它用来描述的是最近2年来被黑客们采用的技术：利用它来对RAM内存卡（比如DDR3和DDR4内存卡）的内存，按照地址循序进行频繁读和写的操作，这会导致会出现一种电磁场，这个电磁场能将内存中的0和1进行异位bit flipping：0变成1；1变成0。

//END
The team of scientists from three universities from Holland, the US, and Austria, said they informed Google of their researcher in late July.
Google has notified Android OEMs of Drammer in October and prepared a patch to prevent attacks, which it will release in Android's November Security Bulletin.
Researchers said they don't plan to release the exploit code that weaponizes the Rowhammer attack in order to root Android devices. Below are videos recorded by researchers showing Drammer attacks on Android smartphones.
由来自荷兰、美国和奥地利三国大学的科学家组成的专家团队已经在今年7月下旬将本研究成果通知了Google公司：Android系统开发和提供商。
Google方面的回应是：10月份通报给了Android的OEM厂商，告知他们关于Drammer的漏洞利用情况以及预防措施，这些将在11月份的Anroid例行安全公告众发布。专家团队并不打算发布漏洞利用概念代码PoC，以防止被恶意利用。但是发布了一个视频，展示了如何攻击Android系统的智能手机。

//下载： Drammer Deterministic Rowhammer Attacks.pdf (594.32 KB, 下载次数: 392)

2016-10-26 22:37 上传

点击文件名下载附件

文件名：Drammer Deterministic Rowhammer Attacks.pdf
文件大小：608，579 bytes
MD5     : 0BE59FB08F1D3A489916F4D5FD68E885

点评：移动安全找AVL pro。

2、勒索软件Locky新变种使用新的加密文件扩展名
标题：Locky Adds Support for a New "S**T" Extension
New spam campaign has made victims all over the world

作者信息：Oct 24, 2016 21:35 GMT By Catalin Cimpanu

//BEGIN
Security researcher MalwareHunterTeam tells Softpedia that the infamous Locky ransomware has returned today with a new spam campaign that's spreading a new version of the ransomware.
研究人员发现臭名昭著的勒索软件Locky最近又出现了新的变种了。

//END
For example, a file named photo.png would become [random_characters].shit. Previously, Locky had used extensions such as LOCKY, ZEPTO, and ODIN.
As for the random file names, MalwareHunterTeam said the format is "8-4-4-4-12.shit, where the first 8-4-4 characters are unique for infection, and the last 4-12 is unique for the file."
一旦感染了该勒索软件，受害文件的文件名会变成随机数，扩展名则变成了shit.这与以前的版本不同，以前的版本出现过三种不同的扩展名：LOCKY,ZEPTO以及ODIN等。
至于这里的随机数文件名，也有一些规律可循：采用的是8-4-4-4-12.shit的格式。其中前三部分8-4-4是感染标注；4-12是文件本身的标注。

点评：对付勒索软件，备份备份再备份。

3、移动恶意软件GM Bot变种可绕过系统安全机制
标题：Revamped GM Bot mobile banking malware spotted in wild

作者信息：October 24, 2016 By Doug Olenick

//BEGIN
The GM Bot mobile banking malware has been revamped to deploy on Android 6 devices effectively bypassing the security put in place on the operating system.
针对网上银行的移动恶意软件GM Bot能在最新的Android 6平台下进行破坏活动，甚至能绕开系统设置的一些安全机制设置。

//END
However, shortly after the release GanjaMan found himself banned from the marketplace where he sold GM Bot due to a customer dispute.
“Since then, GM Bot was believed to have vanished, but we did not expect the author to abandon his misdeeds altogether due to a mere forum ban,” Kessem said.
网上银行的移动恶意软件GM Bot的作者在进行Malware服务出售时，遭到了投诉，因而进行买卖恶意代码的网站禁止了其（指GanjaMan）交易。但是这并不能导致其洗手不干了。

点评：移动安全，特别是Android平台，找AVL pro。

4、研究人员发现OpenSSL存在“红色警戒”DoS漏洞
{CHN}
标题：CVE-2016-8610: “SSL Death Alert”漏洞公告

作者信息：2016-10-25 By 石磊

//BEGIN
来自Qihoo 360 Gear Team的安全研究员石磊（360信息安全部）发现OpenSSL中存在一个影响广泛的远程匿名拒绝服务漏洞，该漏洞被命名为“SSL Death Alert” (即“OpenSSL红色警戒”漏洞)，通用漏洞编号CVE-2016-8610。

//END
“SSL Death ALert”漏洞由来自奇虎360 Gear Team的安全研究员石磊（360信息安全部）发现并报告给OpenSSL官方和相关开源组织，通用漏洞编号为CVE-2016-8610。

点评：无论是DoS还是DDoS都应该引起足够的重视。

5、研究人员发现绕过PayPal双因子验证的简单方法
标题：UK Researcher Finds Stupid Simple Method to Bypass PayPal 2FA
PayPal fixes glaring hole in 2FA login system

作者信息：Oct 24, 2016 21:15 GMT By Catalin Cimpanu

//BEGIN
UK security researcher Henry Hoggard has found a very simple method of bypassing PayPal's two-factor authentication (2FA) mechanism, allowing an attacker to take over PayPal accounts in less than a minute.
来自英国的一个安全研究人员发现了一种非常容易的方法，可以用来破解PayPal支付双因子2FA认证，而需要的时间不超过1分钟。其实利用的就是用户手机没信号的话，无法收到其SMS验证码的情况。

//END
Hoggard reported the issue to PayPal on October 3, and engineers removed the authentication loophole by October 21.
发现这一漏洞的研究人员在今年的10月3日周一将问题报告给了PayPal，该公司在10月21日就修复了该漏洞。

点评：想起了10年前的网银大盗木马，本来是为了方便用户在某些特殊情况下（安全性降低很多）的操作，却有可能被恶意利用。

6、研究人员发现利用语音邮件漏洞窃取激活码方法
标题：Researchers Leverage Voicemail Flaw to Compromise Messaging Apps

作者信息：October 25, 2016 By Ionut Arghire

//BEGIN
Italian security researchers have discovered a vulnerability that can be easily exploited to break into messaging applications such as Telegram, WhatsApp, and Signal.
来自意大利的安全研究人员发现了一个漏洞，利用这个漏洞可以很容易入侵消息服务应用，比如流行的Telegram、WhatsApp以及Signal等。

//END
The security researchers estimate there to be roughly 32 million users at risk on the networks of Wind and H3G. The obvious solution to this issue is to turn off voicemail, though both messaging services and wireless carriers should look into the matter and plug the security flaw.
安全研究人员预计大约会有3200万移动用户可能会受到此威胁的侵害，特别是那些采用Wind和H3G网络的用户。一个最明显的解决问题的办法是关闭voicemail语音邮箱。当然消息服务商以及无线运营商都应该调查此事，并对各自相关的安全漏洞找到合适的解决办法。

点评：坏家伙们无孔不入。