每日安全简讯(20161102)

1、中国高校与企业曾为NSA主要攻击目标
2、研究人员调查中国最大Webshell后门箱子
3、恶意代码Nymaim以PS脚本下载攻击载荷
4、CNVD发布Memcached存在高危漏洞预警
5、微软内核整数溢出漏洞可导致本地提权
6、安全厂商发布Q3期间DDoS攻击统计报告

【安天】搜集整理（来源：easyaq、freebuf、securityweek、CNVD、fortinet、securelist）

1、中国高校与企业曾为NSA主要攻击目标
{CHN}
标题：NSA曾入侵49个国家——中国高校与企业成主要攻击目标

作者信息：2016-11-01 11:15 By E安全 / 网络战

//BEGIN
E安全11月1日讯 Shadow Brokers（影子经纪人）团队已经在网络上发布了一份遭受入侵的服务器清单，而攻击方则为来自美国国安局（NSA）的黑客人士。这份清单内包含美国国安局相关Equation Group曾经指向的各历史目标。其日期戳显示各系统遭受入侵的时间在2000年到2010年之间，至少 352 个 IP 地址和 306个域名曾受NSA网络攻击与控制，其中包含 32 个 .edu 和 9 个 .gov 域名。这些 IP 和域名分布在49个国家，主要集中在亚太地区，前10名受影响的国家分别是中国（最多,目前E安全已统计到69个系统）、日本、韩国、西班牙、德国、印度、中国台湾、墨西哥、意大利和俄罗斯。，且其似乎被用于攻击根据地，从而对目标进行监控或者组织其它攻击。

//END
而且在消息发布后，亦有声音指出，此举是为了破坏即将到来的美国总统选举。
不过这种拙劣的争论也引发了讽刺之声。安全专家们质疑此次所泄露目标清单的实际价值——除了所谓网络间谍史学研究范畴之外，其似乎缺少实际意义。安全研究员Kevin Beaumont在Twitter上发表的文章中指出，“这份服务器列表是九年前的。[其中很多]可能不再存在或者已经被重新安装。”

点评：美国会发表声明：绝无此事，USA也是受害者....云云？

2、研究人员调查中国最大Webshell后门箱子
{CHN}
标题：中国最大的Webshell后门箱子调查，所有公开大马全军覆没

作者信息：2016-11-01 By 匿名A

//BEGIN
对这件事情的起因是某天我渗透了一个大站，第二天进webshell时就发现，当前目录出现了新的后门，仔细一查，发现是博彩团伙干的，网站被全局劫持黑帽程序如下代码看上去是针对360的，通过360去搜索site网站赌博相关的关键字出现的结果我惊呆了！！！！居然非常多的站被劫持，而且其中包括我渗透测试的不少站，看上去像是搜索引擎自己控制的排名一样，其实是非法分子利用了搜索引擎的排名算法规则。通过收录时间发现在2014年开始出现的，也就是说这个问题已经存在了多年之久，至今才暴露出来。
接下来我就开展了所有疑问的调查，因为这些东西被利用对社会影响实在太大，不仅仅我是唯一的受害者，而是这个安全圈子的所有人。

//END
目前其实也没什么结论，从何泄漏的全国的所有大马以及各类cms后台后门还是个谜，因为能力太菜了。。。但是我相信这个谜警方可以解开，你们赋有足够的权利和使命去完成打击。否则对网民的危害太大了，那些webshell被拿去做博彩做诈骗危害就很大了，几乎一个菠菜行业一个诈骗行业的黑帽seo源头都来于此，如果不及时阻止危害还会无限扩大。

点评：可以写剧本....

3、恶意代码Nymaim以PS脚本下载攻击载荷
标题：Nymaim Starts Using PowerShell to Download Payload

作者信息：October 31, 2016 By Eduard Kovacs

//BEGIN
A recently discovered variant of the Nymaim dropper brings several new features and capabilities, including new obfuscation and delivery methods, the use of PowerShell, and what researchers call an interesting anti-analysis and anti-detection mechanism.
最近，恶意代码Nymaim以PS脚本下载攻击载荷，代码加密变形，使得分析和检测恶意代码更加困难。虽然Nymaim2013年就开始传播，不过主要是作为配角出现：给勒索软件或者网银木马作为一个下载的渠道，到了今年，其感染率迅速提升63%：得益于与别的恶意代码进行融合、同时加入了网银木马的特性。

//END
“This is another perfect example of how even relatively widespread threats are employing significantly more advanced methods of attack, distribution and obfuscation that not that long ago, would have been found in only the most advanced and targeted threats,” Verint researchers said in a blog post. “This trend is just getting stronger and means that “advanced” threats will continue to affect a wider range of victims than ever before.”
为了扩大传播范围，恶意代码采用了更高级的攻击方法、分发方式以及代码变形方法，这些原本只在高级威胁中才会出现的手法，如今越来越流行了，因此应该特别留心：受害者的范围和广度会越来越广和加深。

点评：宰牛的刀先杀杀鸡，其实其目标不会止于此。

4、CNVD发布Memcached存在高危漏洞预警
{CHN}
标题：关于Memcached存在多个远程代码执行高危漏洞的安全公告

作者信息：2016-11-01 18:49:58 By CNVD  国家信息安全漏洞共享平台 China National Vulnerability Database

//BEGIN
安全公告编号:CNTA-2016-0053
近日，国家信息安全漏洞共享平台（CNVD）收录了Memcached存在的多个远程代码执行漏洞（CNVD-2016-10468、CNVD-2016-10467、CNVD-2016-10466，对应CVE-2016-8704、CVE-2016-8705、CVE-2016-8706）。综合利用上述漏洞，远程攻击者通过发送特制的命令到目标系统，进而可远程执行任意命令，有可能诱发以控制为目的大规模攻击。
一、漏洞情况分析
Memcached是一个高性能的分布式内存对象缓存系统，用于动态Web应用以减轻数据库负载。由于Memcached用于插入、添加、修改键值对的函数process_bin_append_prepend和process_bin_update以及Memcached在编译过程中启用的SASL验证存在整数溢出漏洞。远程攻击者利用漏洞通过构造特制的Memcached命令，可在目标系统执行任意系统命令，获取敏感进程信息，进而绕过通用的漏洞缓解机制，最终可获取系统控制权限。
CNVD对上述漏洞的综合评级均为“高危”。目前，相关利用代码已经在互联网上公开，近期出现攻击尝试爆发的可能。

//END
二、漏洞影响范围
上述漏洞影响Memcached 1.4.31版本。由于攻击者可绕过常规的漏洞缓解机制利用漏洞，可直接在公网访问的Memcached服务受漏洞威胁严重。根据CNVD秘书处普查相关情况，有超过2.8万集成memcache的主机暴露在互联网上（暂未区分版本情况）。按国家和地区分布排名，位居前五的分别是中国（53.2%）、美国（38.9%）、中国香港（3.3%）、英国（2.5%）、德国（2.0%），其中境内IP分布方面，阿里云上承载的服务器主机占比较高，占境内比例约为29.2%。按前端承载容器分布，排名前三分别是：Apache（62.0%）、Nginx（32.3%）、IIS（3.6%）。
三、漏洞修复建议
目前，官方厂商已发布了漏洞修复方案，用户可将程序升级至1.4.33版本。CNVD建议用户关注厂商主页，升级到最新版本，避免引发漏洞相关的网络安全事件。

附：参考链接：
http://www.talosintelligence.com/reports/TALOS-2016-0219/
http://www.talosintelligence.com/reports/TALOS-2016-0220/
http://www.talosintelligence.com/reports/TALOS-2016-0221/
http://www.memcached.org/files/memcached-1.4.33.tar.gz（补丁地址）
http://www.cnvd.org.cn/flaw/show/CNVD-2016-10468
http://www.cnvd.org.cn/flaw/show/CNVD-2016-10467
http://www.cnvd.org.cn/flaw/show/CNVD-2016-10466

点评：赶紧打补丁。

5、微软内核整数溢出漏洞可导致本地提权
标题：Microsoft Kernel Integer Overflow Vulnerability

作者信息：Oct 31, 2016  by  Honggang Ren

//BEGIN
Last month I discovered and reported an integer overflow vulnerability in the Windows Registry. Last Tuesday, October 25th, Microsoft released Security Bulletin MS16-124, which contains the patch for this vulnerability, and identifies it as CVE-2016-0070.
This vulnerability could lead to local privilege elevation, and is rated as “Important” by Microsoft. The vulnerability affects multiple Windows versions, and
Microsoft has recommended installing this update immediately.
In this blog I will share the details of this vulnerability.
上个月的某个时候，研究人员在Windows的注册表中发现了一个可以提权的安全漏洞，并将这个漏洞的利用细节报告给了微软。作为回应，10月25日周二微软例行发布了其安全补丁公告MS16-124。其中就包含了对该提权漏洞的修补，同时其对应的编号为：CVE-2016-0070.该漏洞能导致本地用户权限提升，漏洞级别被官方定位：重要。它能影响众多Windows版本，官方还建议用户立即升级并打上该补丁。本文就是披露一些该漏洞的细节。

//END
In summary, this vulnerability is triggered by an integer overflow that results in a heap overflow when performing a memory copy operation. Successful exploitation of this vulnerability could lead to local privilege elevation.
综上分析，该漏洞出现在内存复制过程中，有一个整数型的溢出导致堆溢出。

点评：这个漏洞的披露流程是这样的？发现-->报告-->修复-->公开

6、安全厂商发布Q3期间DDoS攻击统计报告
标题：Kaspersky DDOS intelligence report for Q3 2016

作者信息：October 31, 2016. 8:57 am By Oleg Kupreev, Jens Strohschneider, Alexander Khalimonenko

//BEGIN
Q3 events
Cybercrime as a Service

In the last few months the scale of the global ‘Cybercrime as a Service’ infrastructure has been revealed – fully commercialized, with DDoS as one of the most popular services capable of launching attacks the likes of which have never seen before in terms of volume and technological complexity.
在过去的一个季度中，Cybercrime as a Service （网络犯罪作为一种服务）逐渐商业化。而这其中DDOS攻击是最流行的攻击方式，虽然它很古老，但是我们依然发现了其采用的技术的复杂性以及攻击的流量的巨大性。

//END
‘Classic’ botnet attacks based on widespread malware tools such as Pandora, Drive, etc. have been well researched by analysts who have developed effective and simple methods of neutralizing attacks that utilize these tools. This is increasingly forcing cybercriminals to use more sophisticated attack methods, including data encryption and new approaches to the development of tools used for organizing attacks and building botnets.
Another interesting trend this quarter was the increased activity of DDoS botnets in Western Europe. For the first time in a year the TOP 10 most attacked countries included three Western European countries – Italy, France and Germany. This correlates with the increased number of active C&C servers in Western Europe, particularly in France, the UK and the Netherlands. Overall, Western European countries accounted for about 13% of active DDoS botnet C&C servers.
传统意义上的僵尸网络已经被研究人员分析得比较彻底，而且已经出现了比较有效和简单的方式来化解其风险。这在很大程度上迫使网络攻击者们提高自身的技术水平，同时寻找新的攻击渠道和方式：比如采用数据加密以及采用新的开发工具平台等。另外一个趋势是在西欧的DDOS攻击主机的数量在增加：比如意大利、法国和德国等。2016年的第三季度西欧国家的有效DDOS的C2地址增加了大约13%，这些国家分布在法国、英国以及荷兰等。


//下载： europol_iocta_web_2016.rar (6.52 MB, 下载次数: 360)

2016-11-2 13:18 上传

点击文件名下载附件

文件名：europol_iocta_web_2016.pdf
文件大小：11，676，896 bytes
MD5     : 0E0B6E39869114BC06B3CAE803A36FD2
主要内容：欧盟2016年互联网有组织犯罪风险评估报告

点评：古老的DDOS因为IoT等物联网设备参与而变得热闹起来.....