每日安全简讯(20161027)

1、CNNVD发布IoT漏洞引发网络攻击事件通报
2、安全厂商发现巴西葡萄牙语提示的勒索软件
3、Mac版VMware漏洞，可用于绕过安全机制
4、旧金山博物馆遭钓鱼邮件攻击泄露登录凭据
5、叙利亚网络军对比利时媒体网站发起DDoS
6、新西兰公司Endace产品帮助GCHQ监视全球

【安天】搜集整理（来源：cnnvd、securelist、securityweek、softpedia、softpedia、solidot）

1、CNNVD发布IoT漏洞引发网络攻击事件通报
{CHN}
标题：关于物联网设备安全漏洞引发大规模网络攻击事件的通报

作者信息：2016-10-26 By 中国国家信息安全漏洞库 China National Vulnerability Database of Internet Security

//BEGIN
近期，互联网上披露了有关“大量物联网设备存在弱口令漏洞”的相关情况。北京时间10月21日19:10左右，美国主要DNS服务提供商Dyn Inc.的服务器遭到大规模DDoS攻击，该攻击大部分流量来自于受恶意代码感染的物联网设备，导致美国东海岸地区的大量网站无法访问，引发全球范围的高度关注。国家信息安全漏洞库（CNNVD）对此进行了跟踪分析，情况如下：
        一、事件概述
        此次大规模DDoS攻击事件是由于大量摄像头、DVR以及互联网路由器等物联网设备存在弱口令漏洞，从而被攻击者利用，植入恶意代码、构建僵尸网络，而引发的大规模网络攻击，导致该服务器无法进行DNS解析，造成大量网站无法正常访问，其中受影响网站包括Twitter、Tumblr、Netflix、亚马逊、Shopify、Reddit、Airbnb、PayPal和Yelp等知名网站。

//END
三、对策建议
        建议雄迈科技、大华技术等受影响厂商对其市场中正在使用的设备进行安全排查，确保其未被感染，并及时更新固件、修补漏洞，关闭telnet端口、2323端口，以防后续二次感染。
        建议使用相关物联网设备的用户在产品使用前修改默认口令，增强口令的复杂度，以及在后续的使用过程中跟踪厂商针对使用中的设备的更新固件，及时将使用中的物联网设备固件升级至最新，消除物联网设备的安全隐患。

本报告由中国信息安全测评中心工控安全技术实验室、北京白帽汇科技有限公司、安天实验室提供支持。
        CNNVD将继续跟踪上述事件，如有需要，可与CNNVD联系。
        联系方式：cnnvd@itsec.gov.cn

点评：Mirai在日文状态输入法显示的是“未来”（汉字、日文都是），这命名有些蹊跷。

2、安全厂商发现巴西葡萄牙语提示的勒索软件
标题：The “notification” ransomware lands in Brazil

作者信息：October 25, 2016. 7:57 am By GReAT (Kaspersky Lab's Global Research & Analysis Team)

//BEGIN
It’s unusual for a day to go by without finding some new variant of a known ransomware, or, what is even more interesting, a completely new one. Unlike the previously reported and now decrypted Xpan ransomware, this same-but-different threat from Brazil has recently been spotted in the wild. This time the infection vector is not a targeted remote desktop intrusion, but a more massively propagated malicious campaign relying on traditional spam email.
如果哪怕有一天没出现新的勒索软件的话，都会让安全研究人员感到奇怪。这不，最近又发现了一个全新的勒索软件，不再像刚刚发布分析报告的Xpan勒索软件一样，这次发现的勒索软件采取了传统的垃圾邮件的发送方式，针对不特定目标进行攻击。

//END
Growth of ransomware in Brazil
The growth of ransomware in Brazil has been nothing short of impressive, taking into consideration that during October 2016 alone the popular ransomware family Packed.NSIS.MyxaH.gen family grew by 287.96%, and another of the usual suspects Trojan-Ransom.Win32.CryptXXX.gen grew by 56.96%, (when compared to the previous month in each case.)
In 2016, the 3 most important families of ransomware have been Trojan-Ransom.Win32.Blocker, accounting for 49.63% of the total infections,Trojan-Ransom.NSIS.Onion, 29.09%, and Trojan-Ransom.Win32.Locky, 3.99%.
Currently, Brazil is the eighth most affected country worldwide as far as ransomware infections go for this year, and ranked first in Latin America.
巴西的勒索软件的发展趋势
巴西的勒索软件的增长趋势令人印象深刻，单单这一个月（10月）内，单一的勒索软件家族Packed.NSIS.MyxaH.gen就比上月增长近三倍，而Trojan-Ransom.Win32.CryptXXX.gen则增长了约50%多。整体来讲，2016年的前三甲勒索软件分别是Trojan-Ransom.Win32.Blocker、Trojan-Ransom.NSIS.Onion和Trojan-Ransom.Win32.Locky，所占比例分别是49.63%、29.09%和3.99%。
目前巴西在全世界范围内勒索软件感染排名第八，而在拉美地区则拔得头筹。

点评：很快可能还会有西班牙、阿拉伯语版本的勒索软件....对付勒索软件，请备份备份再备份。

3、Mac版VMware漏洞，可用于绕过安全机制
标题：VMware Flaws Allow Security Bypass on Mac OS X

作者信息：October 26, 2016 By Eduard Kovacs

//BEGIN
VMware has patched a couple of moderate-severity information disclosure vulnerabilities affecting some of the company’s Mac OS X products.
虚拟机VMware发布了2个补丁程序，用以修补2个中等威胁级别的信息漏洞泄露，这2个漏洞影响该公司的Mac OS X产品。发现这2个漏洞的是来自中国的腾讯公司，其编号是:CVE-2016-5328和CVE-2016-5329。

//END
In January, VMware announced patching an important privilege escalation flaw and, in August, it disclosed a DLL hijacking issue that could have been exploited for arbitrary code execution.
今年的一月份，VMware发布了一个重要的权限提升漏洞：通过一个DLL劫持可以导致执行任意代码。

点评：企鹅.强。

4、旧金山博物馆遭钓鱼邮件攻击泄露登录凭据
标题：Spear-Phishing Incident Causes Havoc at San Francisco Exploratorium Museum
As usual, a grammar mistake exposes phishing attack

作者信息：Oct 25, 2016 15:00 GMT By Catalin Cimpanu

//BEGIN
One careless employee is all it takes to take down a company, as a recent incident report from the Exploratorium Museum reveals.
一粒老鼠S**T(昨天Locky勒索软件的新变种的后缀，按例隐去2个字母）祸害一锅粥：这不，一个来自旧金山探险博物馆的员工的个人行为险些酿成大祸。

//END
First and foremost, the attacker deleted her contact list. Secondly, he redirected all incoming emails to the trash folder, and third and last, he sent out other spear-phishing emails to all her colleagues, based on what he thought her colleagues would normally expect to receive from the employee.
IT staff said that 54 employees had clicked on the phishing email, but it's uncertain how many had entered their credentials.
A subsequent investigation using the forensic tools from Google Apps revealed that the attackers were based in Nigeria, and had rented a server in North Dakota from where they accessed the employee's Gmail account, and another server in Texas, where they hosted the phishing pages.
该员工点击了一个钓鱼邮件的链接，然后就“中招”了：黑客首先删除了其联系人列表；其次将所有的收件箱的邮件导入到垃圾邮件箱；最后一步，也是最关键的一步：以该员工的名义给其通信录的其他人发送钓鱼邮件，以期望获得更多的Gmail信箱的登录凭证。出于对来自该员工的名字邮件的信任，有54名其同事（通讯录里的成员）点击了该钓鱼邮件的链接，但是目前还不清楚究竟有多少人按照钓鱼邮件的要求，输入了其Gmail的登录凭证。
后期根据Google的取证工具发现，该攻击者来自尼日利亚，他在美国租用了2台服务器：1台用来访问受害者的Gmail的账号；另外1台用来存储钓鱼页面。

点评：来自非洲的钓鱼邮件也这么厉害？

5、叙利亚网络军对比利时媒体网站发起DDoS
标题：Syrian Cyber Army Claims DDoS Attacks on Belgian Media
Syrian hackers angry because Belgium had participated in an air strike on a small village that killed 6 people

作者信息：Oct 25, 2016 13:50 GMT  By Catalin Cimpanu

//BEGIN
The Syrian Cyber Army (SCA), not to be confused with the Syrian Electronic Army, claimed responsibility for DDoS attacks against several Belgian media news outlets that took place yesterday, on October 24.
与叙利亚的电子军不同，叙利亚的网军SCA，本周一公开在其网站上声称其DDOS攻击了比利时媒体网站。理由是其严重失实报道该国的战机在叙利亚境内的军事行动。

//END
Belgian authorities have started an investigation and said they believe SCA members to have close ties with their more infamous counterparts, the Syrian Electronic Army group.
比利时的官方已经启动了调查程序，并称SCA的成员与叙利亚的电子军有千丝万缕的联系。

//附件:网军SCA的网站截图

点评：攻击实名：感叹有“担当”的同时，担心这种网络攻击与现实的攻击的界限会越来越模糊。

6、新西兰公司Endace产品帮助GCHQ监视全球
{CHN}
标题：新西兰公司帮助GCHQ监视全世界

作者信息： 2016年10月24日 11时25分 星期一 By 启明星辰知名不知名部门

//BEGIN
鲜为人知的新西兰公司 Endace 开发了以古希腊神话中蛇发女妖美杜莎名字命名的系统，该系统的主要目的是高速收集海量互联网数据，它的主要客户是英国政府通讯总局GCHQ，其它的政府机构和电信客户来自美国、以色列、丹麦、澳大利亚、加拿大、西班牙和印度。 The Intercept根据通过SecureDrop获得的泄密文件报道，Endace的最大客户是GCHQ。它的设备允许客户监视、拦截和捕捉100%的网络流量。根据泄漏的文件，GCHQ向Endace采购了专为FGA构建的监视技术，FGA代表“友好的政府机构（friendly government agency）”，被认为就是指GCHQ。2013年的一份文档称，一个FGA拥有了一个知名聊天程序的加密密钥，想要解密该程序在一个大网络中24小时内发送的所有数据包，搜索专门的字符串“Domino's Pizza”，因为有情报认为国际恐怖分子非常喜欢这种比萨饼。

//END
无

点评：我也能喜欢这种饼么。555