每日安全简讯(20161031)

1、意大利开发支持IPv6的新型IoT僵尸网络
2、对美国DNS服务提供商Dyn攻击或为误伤
3、安全团队发布商业木马盗神分析溯源报告
4、新型勒索软件强迫用户填写在线调查表
5、欧盟勒令Facebook停止使用WhatsApp数据
6、前员工爆料：NSA安全防范技术滞后10年

【安天】搜集整理（来源：securityaffairs、freebuf、freebuf、vice、36kr、easyaq）

1、意大利开发支持IPv6的新型IoT僵尸网络
标题：Exclusive: MalwareMustDie spotted a new IoT Linux/IRCTelnet malware made in Italy

作者信息：October 29, 2016  By Pierluigi Paganini

//BEGIN
Exclusive: The security researcher MalwareMustDie has found a new Linux/IRCTelnet malware– made in Italy – that aims IoT botnet connected by IRC and Telnet. It is able to generate an IPv6 DDoS and performing NEW dangerous capabilities that Mirai was unable to cover.
In  a brief interview to Security Affairs @unixfreakjp of MalwareMustDie group explains which are the main characteristics in order to be able to fight against this new malware with a proper security awareness.
安全专家首次发现恶意代码利用物联网IoT设备采用IPv6协议进而发起DDOS攻击。从代码的分析来看，该ELF恶意代码很像出自意大利。僵尸网络是通过IRC以及Telnet进行连接的。与风头正紧的Mirai(未来）IoT恶意代码相比，这个恶意代码填补了其空缺。本文诠释了一些常见问题，以便能采用合适的安全策略来对付这个新的恶意代码。目前该恶意代码被临时命名为：Linux/IRCTelenet。

//END
First question:
Do you think that Linux/IRCTelenet is more dangerous than Mirai?
Mirai is dangerous in its own way. With new DDoS attack functions, low awareness, and hard to fetch the sample. Also with AV that was not using MIRAI as the new name but sticks with an old name of malware…it is lowering the security alert response. So when it hit hard, people get surprised.

Second Question:
What are the capability of the “IP spoof option in IPv4 or IPv6”?
When an infected IoT is performing attack, in example, via UDP6 or TCP6, Linux/IRCTelnet is having a option to spoof the source IP of the attacker (itself’s IP) for not revealing the original IP in the generated packet used to flood the target

Third Question:
How do you know that the usable bot in this new botnet is about 3500?
A. I show you a figure:

Fourth Question:
Q. Do you think this malware is originally coded?
A. After further analysis comparing the overall done reversed code to the historically detected ELF malware botnet, we found a very good match, that confirms the source code used for this botnet is based on the root of Aidra botnet. I was not so sure about this until I reversed the whole source code and comparing the overall done reversed code to the historically detected ELF malware botnet libraries. And I found a very good match, along with several modifications and overhaul on original Aidra code. Built based on old codes of legendary Aidra bot, added with new logic of Torlus/Gayfgt’s for telnet scanner and using the Mirai’s leaked vulnerable IoT device’s login credential, is driving a high infection speed of Linux/IRCTelnet, so it can raise almost 3,500 bot clients within only 5 days from the firstly its loader detected. Indeed, the spoofing and IPv6 used was designed and trade mark of Aidra botnet family, and to make a new version of this botnet based on the recent vulnerable threat landscape is really inviting a bad news.. All of the reversed details stayed. I was reversed the malware BEFORE I even know this fact . It is very surprising to see a new type of Aidra botnet in this era, and this botnet is really a re-designed and modified of old Aidra to be a brand new threat landscape that we will face now.
This is the log of the IRC Server, as you see 3486 “users” were connected at that time.

一共4个问题：
1 Linux/IRCTelenet是不是比Mirai（未来）威胁性更大？ 答：这两者各有千秋。人们往往会将新出现的恶意代码与以前的恶意代码混淆，因此没有足够的重视。往往直到产生了严重的后果，才意识到：啊，原来这个看起来不起眼的恶意代码，原来如此的厉害。
2 IPv6和IPv4有什么特别的功能：IPv6更容易隐藏自身的真实IP地址，这里只需要简单的采用UDP6和TCP6参数。
3 如何知道目前的感染数量是3500？ 答：直接链接到IRC频道，看一组数字截图:
图

4 Linux/IRCTelenet这个恶意代码是全新的？答：经过仔细分析，发现这个新发现的恶意代码与以前的Aidra非常相似，应该是其变种，而不是全新的。当然结合了最新出现的Mirai恶意代码的一些特性。因此经过这些因素的整合，其感染率明显提升：发现的5天内，感染数量就增长到了3500左右。


点评：IoT这是要风起云涌呀.....

2、对美国DNS服务提供商Dyn攻击或为误伤
{CHN}
标题：上周针对Dyn的DDoS攻击，其实只是一名脚本小子想要攻击PSN，却误伤了Dyn？

作者信息：2016-10-30 By 孙毛毛

//BEGIN
自从上周末大半个美国互联网瘫痪的事件发生以来，作为DDoS攻击对象的DNS服务提供商Dyn可谓是牢牢占据着话题的中心。围绕着Dyn的各方猜测和阴谋论也是层出不穷，究其一点，所有人都想知道到底是谁策划了这次攻击，攻击的目的又是什么？Freebuf对此次事件也一直有追踪报道点击这里。
在Flashpoint最新发布的报告中分析，Dyn很有可能是被误伤的！这次DDoS攻击真正的主角是它的客户PSN。

//END
结合以上因素可以推断出，发起这次DDoS攻击的幕后黑手很有可能是hackforums.net论坛的用户。她说“此次攻击事件的黑客有时候会被称为‘脚本小子’，他们有着自己独特的行为方式，是完全独立于那些黑客激进行为、有组织犯罪、国家背景的黑客行为还有恐怖组织的。”
“只有像脚本小子这一类的黑客才有可能去攻击一个游戏公司。”

点评：歪打正着也是打呀。

3、安全团队发布商业木马盗神分析溯源报告
{CHN}
标题：文档化身商业木马，对“盗神”的分析与溯源

作者信息：2016-10-30 By 腾讯电脑管家

//BEGIN
前言

利用文档进行木马传播的手法，最近一段时间随着敲诈类木马的流行，而被广泛利用了起来。与此同时，这个手法也开始被传统木马所借鉴。近日哈勃分析系统捕捉到一类隐私窃取类木马，也开始利用文档作为自身的传播手段。
据分析，此木马通常定向攻击企业商务用户，目前已经有大量受害者的隐私被窃取，包括黎巴嫩，美国，印度，意大利，马来西亚，韩国，尼日利亚，英国，泰国，希腊，墨西哥，越南等国家，在中国境内也发现有台湾和广东的企业用户被植入该木马，包括邮箱密码、网站密码、聊天记录、桌面截图等在内的大量隐私遭到泄漏。顺着这个线索，哈勃进一步发现了此木马的制作团体以及进行兜售的网站。

//END
在最初分析的带宏文档的属性中可以看到，生成该文档的原始语言为波兰语。
Zip包的下载域名所对应的托管公司也位于波兰。同时，在邮箱中也可以发现一些波兰语的邮件。可以猜测，该木马的传播者也位于波兰。
但是，传播者并不等同于制造者。通过进一步分析可以发现，不同的样本使用的具体手法上有所差别，可以认为是由不同的恶意攻击团体在进行操作。可以想象这些木马是由某一个团体开发，然后交到不同的攻击团体手中，经过个性化修改后再进行传播。
顺着这个思路，我们在网上找到了此木马的最初源头。令人惊讶的是，此木马的制作团体已经开发了一整套完整的商业项目，将此木马在网络上进行兜售，售价从15美元/月到75美元/永久不等。从网站上给出的截图可以看出，木马除了通过邮箱回传信息之外，还支持通过FTP或PHP网页回传隐私信息。
通过网站上的自我介绍以及域名相关查询结果，基本可以确定此木马的制作者是位于希腊的团体。

点评：木马商业化，威胁的新动向。

4、新型勒索软件强迫用户填写在线调查表
标题：New Annoying Ransomware Forces Victims to Take Online Surveys

作者信息：28 October 2016 03:00 PM CET （CET：欧洲中部时间Central European Time） By LORENZO FRANCESCHI-BICCHIERAI

//BEGIN
Tens of thousands of people all over the world have been hit by malware that locks their files and demands a payment to unlock them, creating a cottage—illegal—industry dedicated to spreading this type of threat.
Ransomware, as it’s called, is so lucrative that countless different strains have popped up in the last couple of years. Some are really effective ones, and some are just plain weird. Now, someone is making particularly annoying new type of ransomware. Instead of asking infected users for money, it forces them to fill out tedious online surveys.
勒索软件的受害者目前至少有成千上万：它们加密用户的有价值文件，要求用户支付一定的赎金，然后才提供给用户解密的密码。由于有利可图，勒索软件已经成为了一个集体名词，这几年出现了很多变种，当然也良莠不齐了：有的还能正常运转，而有的纯粹不着调，即使你付钱，它们也不能保证给你恢复文件。这不，最近又出现了一个“实验性”的勒索软件：它迫使用户填写在线调查表。听起来是不是有些怪怪的。

//END
Any any case, Abrams noted that many functions of the ransomware are still to be developed, and, perhaps, this ransomware might never see the light of day. All in all, it seems like relatively innocuous, if really annoying, strain of ransomware. But it also highlights how easy it’s become for anyone to enter the trendy ransomware market.
安全专家在分析后发现，这个所谓的勒索软件的功能还在开发过程中，当然也可能它将永无缘见天日。从另外的角度看，也说明了一个问题：那就是勒索软件这个所谓的行业的进入门槛太低，好像谁都可以进来捞一把。

点评：对付勒索软件，建议备份备份再备份。

5、欧盟勒令Facebook停止使用WhatsApp数据
{CHN}
标题：欧盟勒令Facebook停止使用WhatsApp的用户数据

作者信息：2016-10-28 19:46 By 卢晓明

//BEGIN
曾经温柔的欧盟监管层发怒了。
36氪曾报道，欧盟监管层表示关注Facebook获取WhatsApp的用户数据，并对此展开调查。今天，正在调查此事的欧盟隐私主管勒令，Facebook必须停止使用从WhatsApp的信息服务中获取的数据。
由欧盟28个国家的隐私主管组成的第二十九条工作组（The Article 29 Working Party），对Facebook表示“严重担忧”其将WhatsApp分享出去的用户数据用于某些目的，而这些用途在WhatsApp现有用户当时签署服务条款时是没有说明的。

//END
第29条工作组也表示很担心美国情报部门授意雅虎扫描用户邮件的传闻，还要求雅虎提供此举的法律基础和相关行动在欧盟地区的合法性。雅虎未就此回应。隐私监管层预计将在11月份的执行小组会议上讨论这两起案子。

点评：好像前几天看到一个社交软件隐私保护的排名，Whatsapp排在第一位，也不知道名副其实否？

6、前员工爆料：NSA安全防范技术滞后10年
{CHN}
标题：前员工爆料：NSA安全防范技术滞后10年

作者信息：2016-10-29 17:05 By cnbeta

//BEGIN
今年8月下旬，51岁的马丁在自己的家中遭FBI突袭并被逮捕。根据最新的起诉书称，马丁被指控盗窃了NSA数十几台电脑和服务器内的上万份文件。据悉，在与NSA合作的20年间，马丁偷走的文件、数据容量超过了50TB。

//END
在了解“马丁窃取数据案”后，几乎所有人都将该案与斯诺登案相提并论，因为均不知道两起案件的主谋是如何从NSA系统里获取数据的。但根据一份报告称，多个情报部门消息人士指出，斯诺登窃取数据手段非常简单，只需要“一些拇指大小的U盘，并乐意利用那些陈旧安全系统上的漏洞”即可实现。援引一位消息人士的话称，2013年时，NSA使用的仍是2003年的技术。”

点评：NSA更强调事后的追溯？