每日安全简讯(20161030)

1、Mirai僵尸网络感染设备涉及164个国家
2、实验型僵尸网络Rex开始引入Mirai组件
3、安全厂商发布银行木马Gootkit C2分析
4、通过搜索引擎访问恶意链接的数量上升
5、iOS漏洞被用于向911系统发动DDoS攻击
6、澳大利亚红十字会120万捐血记录泄露

【安天】搜集整理（来源：securityweek、softpedia、securelist、softpedia、softpedia、easyaq）

1、Mirai僵尸网络感染设备涉及164个国家
标题：Mirai Botnet Infects Devices in 164 Countries

作者信息：By Ionut Arghire on October 28, 2016

//BEGIN
Mirai, the infamous botnet used in the recent massive distributed denial of service (DDoS) attacks against Brian Krebs’ blog and Dyn’s DNS infrastructure, has ensnared Internet of Things (IoT) devices in 164 countries, researchers say.
最近臭名昭著的Mirai（未来）僵尸网络据说由来自164个国家（前十名的国家是：越南12.8%；巴西11.8%；美国10.9%；中国8.8%；墨西哥8.4%；韩国；台湾省；俄罗斯；罗马尼亚以及哥伦比亚。另外可能您很少听说的国家也榜上有名，比如黑山共和国、塔吉克斯坦以及索马里等）的物联网设备IoT组成，攻击了DYN公司的DNS解析服务器，而稍早前还对Krebs的网络发起过同样的攻击。
值得关注的点有：10月初Mirai的源代码被泄露在网络上，当时已经发现有30万IoT设备感染（8月份时的数量是49，657台，其中大多是CCTV监控设备）；源代码泄露后不久就发生了多次DDOS攻击事件。安全专家在分析后发出警告，大约有50万台的IoT设备都存在弱口令，从而能轻易被该僵尸网络利用。

//END
Earlier this week, researchers at Corero Network Security warned of a new zero-day DDoS attack vector leveraging the Lightweight Directory Access Protocol (LDAP) protocol, which could result in terabit-scale DDoS events if combined with the power of IoT botnets such as Mirai. The attack has been already used in small but powerful incidents, the researchers said.
研究人员发现Mirai的控制服务器C2采用的是GO语言编写，而僵尸网络采用的是C语言编写。对泄露的僵尸网络源代码分析发现，其主要的功能是两个：首先搜索可能能够感染的IoT设备；其次是一旦感染成功，接受指令并发起DDOS攻击。搜索是对目标主机的两个TCP端口：23和2323端口进行，很显然如果想要阻止该僵尸网络的继续传播，就可以直接禁止对这两个端口的扫描。另外一方面，该僵尸网络针对的是具有弱口令的IoT设备，而根据安全公司赛门铁克的统计该僵尸网络的攻击字典一共有62组用户名和弱口令。攻击者其实不是无差别扫描，为了避免被发现，该僵尸网络不扫描以下目标：美国邮政局、国防部、互联网地址分配组织IANA、惠普以及通用公司等。
僵尸网络的作者据说是来自俄罗斯，不过来自其他国家的黑客也可能参与了其代码修正、升级与变种。
在本周早些时候，安全公司的研究人员发现了采用LDAP泄露的新的DDOS攻击，如果与Mirai的僵尸网络相结合的话，它可以导致T级别的攻击流量。而且已经发现了这些攻击苗头了。不过目前的对象和目标都还比较小。

点评：164个国家？好像世界大战的感觉，只是不知道被攻击方该如何反应&反制。

2、实验型僵尸网络Rex开始引入Mirai组件
标题：The Super-Dangerous Rex Botnet Has Only Around 150 Bots
Rex incorporates some features from the Mirai malware

作者信息：Oct 28, 2016 20:15 GMT  By Catalin Cimpanu

//BEGIN
The Rex Linux malware is not as widespread and efficient as initially thought, and currently, the multi-featured Rex malware is only in command of a tiny botnet of around 150 devices.
目前Rex僵尸网络只有150个感染节点，显然不如预期的传播那么广、同时传播的效率也不及预期。

//END
Despite the effort put into porting features from a more successful IoT/Linux malware, Rex failed to match Mirai's capabilities, and according to his data, Benkow says that at the moment, the Rex P2P botnet only has around 150 bots, a laughable botnet statistic for a group that threatens companies with DDoS attacks.
Because of these and many other coding snafus, Benkow is not convinced that Rex is the threat that he believed to be in August, when he released his first research.
"Regarding how the bot master uses this botnet, we can easily conclude that it may not be part of a big cyber gang, Rex Botnet looks more like an experimental botnet," the researcher said.
研究人员根据代码编写的质量以及实际的效果看，这个Rex看起来更像是一个实验室级别的僵尸网络。

点评：虽然有点东施效颦的意思，但是一旦Rex他们学成，不会是好消息。

3、安全厂商发布银行木马Gootkit C2分析
标题：Inside the Gootkit C&C server

作者信息：October 27, 2016 9:25 am By Alexey Shulmin和Sergey Yunakovsky

//BEGIN
The Gootkit bot is one of those types of malicious program that rarely attracts much attention from researchers. The reason is its limited propagation and a lack of distinguishing features.
Gootkit是一个低调的恶意代码（由僵尸网络组成的银行木马）：首先其传播范围有限，安全厂商较难发现其踪迹；另外即使传播也表现平平，没啥显著的特点。因此一直游离于安全厂商的视线之外。

//END
It should also be noted that the users of NodeJS as a development platform set themselves certain limitations, but simultaneously get a substantial degree of flexibility and simplicity when creating new versions of the Trojan.
Kaspersky Lab’s security products detect the Trojan GootKit and all its associated components under the following verdicts:
Trojan-Banker.Win32.Tuhkit (the initial downloader distributed via emails);
Trojan.Win32.Yakes (some modifications of the main downloader);
HEUR:Trojan.Win32.Generic (the bot’s main body, some modifications of the downloader).
综上分析：该网银木马采用的NodeJS作为开发平台，使用范围有限制，同时非常简单同时灵活：易于产生变种。但是其主要由三部分组成：第一部分通过邮件发送的下载器；第二部分下载器的主要变种；第三部分是其主体，下载器的变种。

点评：银行木马选择了更加务实的传播方向....

4、通过搜索引擎访问恶意链接的数量上升
标题：Number of Malicious Links Accessible Through Google & Twitter Goes Up
Search engines failing at detecting and flagging malware

作者信息：Oct 28, 2016 13:20 GMT By Catalin Cimpanu

//BEGIN
Twitter, Google, and other search engines such as Bing, Yandex, and Faroo are increasingly flooded with malware, according to trends tracked by the AV-TEST laboratory.
根据AV-TEST发布的数据显示知名搜索引擎Google,Bing,Yandex,Faroo甚至还包括社交应用Twitter越来越充斥着恶意代码：
2013年检测了4千万网站，发现了5060个站点含有恶意代码；
2015年检测了8千万网站，发现了18280个站点含有恶意代码（Google标注恶意的有9725个，占比9725/18280=53%）；
2016年检测了8100万网站（与2015年的8000万不同），发现了29632个站点含有恶意代码（Google标注恶意的有19794个,占比19794/29632=67%）。
从恶意代码的分类来看，主要分为五种，按照排名先后分别是：EXE可执行文件下载；ZIP压缩文件、RAR压缩文件；SWF Flash文件和MSI安装文件等。

//END
"It is important to point out that search engine operators are not virus hunters," said Maik Morgenstern, CTO of AV-TEST GmbH. "It is an additional job that they do not perform entirely on a voluntary basis."
作为一个测试机构，AV-TEST指出，搜索引擎主要的任务是快速帮助用户找到他们想要的东西，分清哪些是恶意的其实并不是其首要任务，而且目前看是一个志愿性的工作。

//从2015年1月到2016年8月期间的搜索引擎传播恶意代码的图示比例


点评：研究对象好像少了一个角色.

5、iOS漏洞被用于向911系统发动DDoS攻击
标题：Bug Bounty Hunter Launches Accidental DDoS Attack on 911 Systems via iOS Bug
Man behind attack is an 18-year-old iOS bug hunter

作者信息：Oct 28, 2016 01:35 GMT  By Catalin Cimpanu

//BEGIN
The Maricopa County Sheriff's Office Cyber Crimes Unit arrested Meetkumar Hiteshbhai Desai, an 18-year-old teenager from the Phoenix area, for flooding the 911 emergency system with hang-up calls.
美国十八岁少年因为利用iOS的漏洞对911紧急电话系统发起攻击（看起来并不像是蓄意，而是炫耀和测试其代码）而被捕。911系统是美国1968年开始运转的紧急呼叫系统，属于美国16个关键基础设施之一。

//END
The researcher paper titled 9-1-1 DDoS: Threat, Analysis and Mitigation offers more information about the attack and possible mitigation procedures for US authorities.
The study was put together by scientists from the Cyber-Security Research Center at the Ben-Gurion University of the Negev in Israel.
以下的论文由以色列的几位专家撰写：关于911电话系统可能存在的风险进行了分析，并提出了针对性的解决办法。文中的结论可以参考：只要6000部智能手机就能DDOS攻击911系统，而击垮整个美国全境的911紧急电话系统，则只需要20万部智能手机！

//论文下载： 911 DDoS Threat, Analysis and Mitigation.pdf (2.18 MB, 下载次数: 303)

2016-10-30 19:12 上传

点击文件名下载附件

文件名  ：911 DDoS Threat, Analysis and Mitigation.pdf
文件大小：2，282，577 bytes
MD5     : A71B5B2A0F365CB97F55FC1C4791E0EC

点评：想想国内Android手机的感染率，我们该研究一下110电话系统了....

6、澳大利亚红十字会120万捐血记录泄露
{CHN}
标题：120万份澳大利亚红十字会血液捐献记录遭泄露

作者信息：2016-10-29 00:05 By cnbeta  

//BEGIN
澳大利亚红十字会血液部最近遇上了件麻烦事，它的120万份献血记录遭泄露，共涉及约550000位献血者的个人信息。泄密网站Have I Been Pwned的创始人Troy Hunt称，造成此次泄露的是一个数据库备份文件，该文件被发布在一个可公开访问的Web目录中。发布者是在偶然间将文件发给Hunt的，当他发现事情结果后，立即告诉了澳大利亚红十字会血液部有关情况。

//END
这份1.74GB大小的数据库备份文件共包括1286366份献血记录，泄露信息涉及约550000位献血者的姓名、性别、电子邮件地址、家庭住址、电话号码、出生日期、出生国、血型，以及是否曾经献血过，捐赠的日期、捐赠种类（血浆，血浆<重复了：转者注>、血小板、单采血小板、全血）和献血者的调查问题答案。
Hunt目前正在和澳大利亚计算机应急响应小组合作来对已遭泄露的信息进行加密，而澳大利亚红十字会血液部则将逐一通知遭信息泄露的献血者。

点评：备份处理不当....