每日安全简讯(20161105)

1、安天发布方程式组织多平台样本深度分析报告
2、安天AVL团队发布勒索拦截马“Trick”分析报告
3、英国NHS网络因恶意代码感染取消手术和预约
4、GitLab未授权访问漏洞可导致远程命令执行
5、Mirai僵尸网络欲搞垮利比亚国家网络基础设施
6、以色列研究人员展示利用智能灯泡传播蠕虫

【安天】搜集整理（来源：antiy、leiphone、securityaffairs、freebuf、securityweek、timesofisrael）

1、安天发布方程式组织多平台样本深度分析报告
{CHN}
标题：从“方程式”到“方程组”EQUATION攻击组织高级恶意代码的全平台能力解析

作者信息：2016年11月4日 10时00分 By 安天安天研究与应急处理中心（Antiy CERT）

//BEGIN
安天从2015年2月起，陆续公布了两篇针对方程式攻击组织的分析报告，分析了其针对Windows平台的恶意代码组件构成、对硬盘的持久化能力和对加密算法的使用。本报告则将首次公布安天对方程式攻击组织针对Solaris平台和Linux平台的部分样本分析，我们也可以自豪的说，这是业内首次正式证实这些“恶灵”真实存在的公开分析。事实上，安天的相关工作完成于数年前。
安天的分析工程师们从2012年起，已经关注到超级攻击组织，力图将其载荷能力覆盖一切可以达成入侵和持久化的场景，在这些场景中，各种服务器操作系统，如Linux、Solaris、FreeBSD等是其高度关心的目标。这些载荷不是寻常的脚本木马，而是组件化、具备Rootkit能力、具有超强加密抗分析能力、严格进行加密通讯的二进制组件。在安天工程师一直将类似超级攻击组织发起的攻击称为A2PT，并把恶意代码载荷的全平台覆盖能力作为A2PT组织的重要标志。

//END
当前，超级攻击组织的全环节覆盖能力，已经引发了全球用户‘一切均不可信’的安全焦虑。”去年部分国内媒体对方程式攻击的报道中，将攻击者针对高价值目标节点硬盘固件实现攻击持久化的植入，解读为当前主流的硬盘都带有后门，这固然是一种误解，但也不能不说当一个超级攻击组织的能力强大到了只能猜测和想象的程度时，就不可能不引发恐慌，从而导致对超级大国产生“滥用供应链和信息流优势”的严重质疑。
而近期的方程式攻击代码泄露事件以及此前“ANT”装备体系的曝光，则又使我们看到了相关的Exploit储备和攻击思路流入到网络犯罪组织、甚至恐怖主义组织的可能性。鉴于网络攻击技术存在极低的复制成本的特点，当前已经存在严峻的网络军备扩散风险。因此，超级大国能否合理控制自身网络军备发展的速度和规模，并对因自身未有效履行责任而使网络领域发生可能的军备扩散，进行有效地的干预和控制，是我们能达成一个更安全的网络世界的关键因素。
我们期待一个更安全的网络世界，我们为之努力！

//下载： 方程式-20161104-安天Cert.pdf (2.51 MB, 下载次数: 1021)

2016-11-5 12:09 上传

点击文件名下载附件

文件名：方程式-20161104-安天Cert.pdf
文件大小：2，628，461 bytes
MD5     : 236145C373635102E4432BD72E1435B0

点评：解n次方程组。

2、安天AVL团队发布勒索拦截马“Trick”分析报告
{CHN}
标题：追踪 | “中国移动”App 竟然是锁机病毒，幕后主使是一名高中生“黑客”

作者信息：2016-11-04 11:44 By 安天AVL移动安全团队

//BEGIN
近期，安天AVL移动安全团队和小米MIUI安全中心发现一款携带勒索功能的拦截马Trick，经过样本溯源发现，该病毒竟出自国内一名高中生之手。该病毒伪装成中国移动，以免费获取话费的短信诱惑用户下载安装。

//END
Trick病毒伪装成中国移动，以免费获取话费的钓鱼短信诱导用户下载并安装病毒。该病毒运行后窃取用户的短信内容并上传至指定邮箱，同时向联系人群发钓鱼短信进行恶意传播。此外，该病毒通过短信指令远控执行恶意行为，后续可能进一步形成僵尸网络。
Trick病毒虽然没有窃取用户账户密码的恶意功能，但从恶意开发者邮箱内的短信内容可以合理推断出该恶意开发者极有可能通过其他渠道获取用户的QQ、微信、甚至银行账户等隐私信息，后续通过解绑、改密的方式登录用户账户，对用户财产造成极大的安全风险。
一个出自高中生之手的病毒技术如此高明，让我们深感如今高中生信息技术水平之高的同时，也警醒我们应该加强对网络安全感兴趣的年轻人的正向引导，将他们的技术天赋应用在对抗网络攻击上，而不是开发病毒窃取别人的隐私、财产，否则黑客最终将会受到法律制裁。

//下载： 勒索拦截马Trick分析报告-20161104-AVL.pdf (803.72 KB, 下载次数: 932)

2016-11-5 12:10 上传

点击文件名下载附件

文件名：勒索拦截马Trick分析报告-20161104-AVL.pdf
文件大小：823，009 bytes
MD5     : 66DCDFD431B14AD999236C3C41C1BC04

点评：从高中起步，这起点有点低呀....

3、英国NHS网络因恶意代码感染取消手术和预约
标题：Hospitals of the National Health Service (NHS) network were paralyzed by a malware

作者信息：November 3, 2016  By Pierluigi Paganini

//BEGIN
A malware compromised the NHS network, hundreds of scheduled operations, appointments, and diagnostic procedures have been canceled.
一个恶意代码袭击了位于英国的国家卫生服务系统National Health Service NHS,导致一家医院原本计划中的手术、预约看病以及例行的诊断被迫取消。很多都被转移到其他附近的医院。目前还不清楚这个恶意代码具体是什么，但是有专家预计可能与勒索软件有关。在当前的网络形势下，医院可能不像网上银行等受到极大的关注，安全防护相对滞后和薄弱，因此成为了黑客们眼中的猎物：医院有完整敏感的病人个人信息和隐私记录；同时还有一套完整支付系统，这些都是黑客们的比特币。

//END
Back to the NHS Trust case, there is no news about the type of malware that hit the system, someone speculated the malicious code could likely be a ransomware that has previously targeted other hospitals and healthcare facilities.
Cyber security for critical infrastructure, and in particular for hospitals is a must for the cyber strategy of any government.
目前还未调查出来是谁制造了这起事件以及其真实的目的，不过目前该医院的大部分工作已经恢复正常运行。对于政府主管部门来说，加强关键基础设施的安全，特别是医疗机构的安全防护是十分重要的。

点评：医院（疗机构）是黑客们特别是勒索软件作者眼中的肥肉！

4、GitLab未授权访问漏洞可导致远程命令执行
{CHN}
标题：【漏洞预警】GitLab未授权访问漏洞可导致远程命令执行

作者信息：2016-11-04 By ArthurKiller

//BEGIN
GitLab是一个利用Ruby on Rails开发的开源应用程序，实现一个自托管的Git项目仓库，可通过Web界面进行访问公开的或者私人项目。2016年11月3日，美国众测平台HackerOne公布了GitLab的目录遍历漏洞。漏洞的发现者为Jobert Abma，同时表示该漏洞可导致远程命令执行。

//END
从GitLab 8.9开始，GitLab允许用户导入或者导出他们的TAR文件。在8.13.0版本之前，这个功能是只有管理员才可以使用。8.13.0版本之后，这个功能开放给的用户进行使用，只要有管理员许可。由于GitLab没有检查符号链接（symlinks），因此经过身份验证的用户可以检索任何GitLab账户中的文件，甚至是secret tokens等敏感信息。因为该漏洞可以访问到secret tokens，有了secret后，cookie可以在GitLab中被marshalled和resigned，所以该漏洞又可以导致远程命令执行。
漏洞编号CVE-2016-9086。

点评：亡羊补牢，快打！

5、Mirai僵尸网络欲搞垮利比亚国家网络基础设施
标题：Mirai Botnet Takes Down Internet in Liberia

作者信息：November 04, 2016 By Ionut Arghire

//BEGIN
Mirai, the Internet of Things (IoT) botnet that has recently fueled multiple large distributed denial of service (DDoS) attacks, is now targeting the Liberian
infrastructure, taking down the Internet for the entire country, researchers warn.
Mirai攻击利比亚，导致其全国的网络1秒钟的暂时停止响应？
显然Mirai“未来”的作者正在测试其攻击能力：上月刚刚报道的诸如博客、DNS等等一直到现在的一个相对小的国家，看来其“远景”正在逐步达成。显然利比亚并不是其最终的目的地。

//END
“If Mirai means “future,” then its arrival certainly leads us to ask what the future holds. I foresee lots of experimentation with evolving attacks using IoT
devices as new devices are infiltrated. I predict lots of knee-jerk reactions in the form of poorly conceived legislation as the government tries to run in front of the avalanche. I see a call toward sanity, building some basic security hygiene into devices and the testing of associated software,” Ivers says.
Just last week, a newly discovered attack vector against the Lightweight Directory Access Protocol (LDAP) protocol was disclosed, which could result in terabit-scale DDoS attacks.
正像其命名Mirai（日语的未来）寓意的那样，可能将来还会出现各种实验室性的攻击，作者这是在测试其效能以及改进可能出现的错误。照此进程预测，可能到今年的年底，就能达到攻击全美的网络，使其断网4小时的目标! 这不，上周已经发现过利用LDAP协议进行的攻击，其DDOS的流量已经达到T级别了。

点评：深挖洞，广积粮。备战备荒。

6、以色列研究人员展示利用智能灯泡传播蠕虫
标题：Israeli hackers show light bulbs can take down the internet
Weizmann Institute researchers use airborne drone to take control of nearby office devices, demonstrate vulnerability of the ‘Internet of Things’

作者信息：November 4, 2016, 10:22 am BY GAVIN RABINOWITZ

//BEGIN
A team of researchers at Israel’s Weizmann Institute of Science has shown how hackers can use the simplest of household devices, like light bulbs, to potentially take down sections of the internet or launch a full-scale attack on a country’s infrastructure.
以色列的安全研究团队已经分析出了利用物联网设备（比如一只灯泡）来攻击一部分互联网或者对一个国家的关键网络基础设施发起攻击的例子。

//END
And they warn that this is only the beginning of the problem. “Within the next few years, billions of IoT devices will densely populate our cities.”
The researchers said that they had been in contact with Philips and provided technical details and suggestions for a fix.
“They have already confirmed and fixed the takeover vulnerability,” they wrote.
目前苗头刚刚出现，也许未来的几年内，世界的各大城市会被无数的IoT物联网设备充斥。本课题的研究者们已经将该漏洞细节提供给了灯泡生产厂家，并提供技术细节，同时也给出了修复方法。而厂家也已经确认该漏洞，同时已经着手解决。

//下载： IoT Goes Nuclear Creating a ZigBee Chain Reaction.pdf (6.68 MB, 下载次数: 21)

2016-11-5 12:17 上传

点击文件名下载附件

文件名：IoT Goes Nuclear Creating a ZigBee Chain Reaction.pdf
文件大小：7，008，701 bytes
MD5     : A809CB5FE2BB81E5CFC063E5F3CEF8C4

点评：一个小小的灯泡可以攻击整个互联网....当下的传说，不是未来会不会变成现实，但愿永远只会停留在实验室的论文中。