每日安全简讯(20161107)

1、美国总统大选在即，政府称其网军严阵以待
2、安全研究员发现Gmail严重漏洞，可轻易破解
3、新型DDos攻击：利用LDAP服务器放大攻击
4、MalwareTech绘制Mirai等僵尸网络地图
5、银行行长泄露密码导致257万个人信息被盗
6、统计表明Chrome访问https加密网页占半数

【安天】搜集整理（来源：securityaffairs、cnbeta、freebuf、malwarebenchmark、sohu、threatpost）

1、美国总统大选在即，政府称其网军严阵以待
标题：The US Government is ready to hack back if Russia tries to hit Presidential Election

作者信息：November 5, 2016  By Pierluigi Paganini

//BEGIN
Documents and testimonials collected by the NBC news confirm US Government cyber army is ready to hack back if Russia tries to disrupt Presidential Election The alleged interference of Russian state-sponsored hackers into the 2016 Presidential election is triggering the response of the US.
据称俄罗斯政府支持了针对美国大选的网络入侵行为，美国网军已经准备随时“给予有力”的还击。

//END
“I think there’s three things we should do if we see a significant cyber-attack,” he said. “The first obviously is defending against it. The second is reveal: We should be publicizing what has happened so that any of this kind of cyber trickery can be unmasked. And thirdly, we should respond. Our response should be proportional.” Retired Adm. James Stavridis told NBC News.
Brown  highlighted the lack of an exhaustive and shared  doctrine around cyber warfare.
“Cyber war is undefined,” Brown added. “There are norms of behavior that we try to encourage, but people violate those.”
虽然网络战争到目前为止还没有严格的定义，但是有美国权威人士建议：针对俄国或者其他国家的明显的网络攻击行为的三个反馈步骤：首先是反击。其次是揭露，披露对方究竟对美方都干了些什么，揭露其采用的伎俩，以防止再次被利用。最后是反应，适度的反应。

点评：CyberWar要打响了....

2、安全研究员发现Gmail严重漏洞，可轻易破解
{CHN}
标题：[视频]安全研究员发现Gmail严重漏洞：账号可遭到轻易破解

作者信息：2016-11-06 08:51:30 By cnBeta.COM

//BEGIN
据外媒报道，日前，来自巴基斯坦的一名学生、安全研究员在Gmail上发现了一个严重的漏洞，它能让邮箱账号遭到轻松破解。据了解，该漏洞跟Google的Gmail主账号和其他邮箱账号绑定处理方式有关，在Google修复该问题之前，黑客只需采取几个步骤就可能拿下某位用户账号的使用权。如果黑客知道了某位用户跟Gmail账号绑定的二级邮箱账号，那么他只需要向特定收件人发送一封账号验证邮件即可获取主账号。

//END
发现者Ahmed Mehtab列出了详细的漏洞利用条件：
收件人的SMTP处于离线状态；
收件人已停用其邮箱；
收件人不存在；
收件人存在但已屏蔽发件人。
在HackRead上Uzair Amir分享了该种攻击具体的实施过程：攻击者企图通过向Google发送邮件获取某一邮箱账号的所有权。Google会向被目标邮件地址发送一封认证邮件。但由于该邮箱账号无法收取该封邮件，于是账号就会发回到实际发送者（即黑客）手中，（此时）邮件中则还提供了验证码。黑客就可以利用这个验证码并获得该账号的所有权。
Mehtab则以更加具体的形式解释说明了该攻击过程：
攻击者试图获取xyz@gmail.com的所有权；
Google向xyz@gmail.com发送确认邮件；
由于xyz@gmail.com无法收取邮件，于是邮件被退还至Google系统；
Google向黑客发送失败通知邮件并且在当中提供了验证码；
黑客获得验证码然后拿下了xyz@gmail.com的所有权。

点评：一帮帽子准备试试了....

3、新型DDos攻击：利用LDAP服务器放大攻击
{CHN}
标题：新型DDos攻击：利用LDAP服务器实现攻击放大

作者信息：2016-11-05 By latiaojun

//BEGIN
说到网络安全，你一定会想起前不久的DDoS攻击“Mirai”，导致美国半数的互联网瘫痪，你一定会觉得那很牛掰吧，但其实这并不算什么，要让DDoS攻击力更彪悍，现在有一种新方法了。
LDAP
据Corero网络安全公司披露，上周发现一种新型DDoS攻击媒介针对其客户发起攻击。这种攻击技术是一种利用轻量目录访问协议（Lightweight Directory Access Protocol，LDAP）的放大攻击，峰值可以达到Tb级别。LDAP是访问类似Active Directory数据库用户名和密码使用最广泛的协议。它是基于X.500标准的，但是简单多了并且可以根据需要定制。与X.500不同，LDAP支持TCP/IP，这对访问Internet是必须的。

//END
LDAP不是第一个，当然也不会是最后一个被LDAP DDoS利用的协议或服务。之所以会发生诸如此次的攻击事件，就是因为网络上的开放式服务器会对伪造记录请求进行响应。当然，通过正确的方式，也能减少这种攻击的发生。比如，加强检测，在伪造的IP地址进入网络前就识别出来。最常见的做法就是，在路由器配置过程中，采用入口过滤技术根除伪造IP地址，这样将会使反射型DDoS总量减少一个数量级。

点评：又见“未来”Mirai.

4、MalwareTech绘制Mirai等僵尸网络地图
{CHN}
标题：MalwareTech绘制Mirai等僵尸网络地图

作者信息： 2016-11-06 By malwarebenchmark

//BEGIN
话不多说想知道世界范围多种僵尸网络的分布吗？看下面的链接呗！
MalwareTech等发布了僵尸网络地图，可以以每5分钟一次的频率绘制。
敬请，学习参考：
多种僵尸网络
https://intel.malwaretech.com/

//END
MalwareTech的Mapping Mirai报告
https://www.malwaretech.com/2016 ... net-case-study.html

点评：“未来”Mirai还会占据头条一段时间...

5、银行行长泄露密码导致257万个人信息被盗
{CHN}
标题：银行行长泄露密码 257万条银行个人信息被盗取

作者信息：2016-11-05 14:29:58 By 澎湃

//BEGIN
日常生活中，很多人都接到过需不需要贷款之类的骚扰电话，并且很多这样的电话，对方都能直接称呼出我们的姓甚至名字，很明显我们的个人信息泄露了。但如果对方连你在银行曾经贷过多少款？干什么用？信用状况如何，家里存款有多少等信息都清楚，是不是有点吓人呢。

//END
公民个人信息泄露，严重威胁着人民群众的生命财产安全。它的大量泄露无疑为诈骗、绑架等严重犯罪提供了温床。公安机关在打击此类犯罪的同时，更需要银行业加强监管、提高安防等级，为人民群众提供更安全的金融保障。

点评：原来是人民银行的行长干的？

6、统计表明Chrome访问https加密网页占半数
标题：HALF OF CHROME PAGELOADS ARE HTTPS

作者信息：November 4, 2016 , 11:32 am by Michael Mimoso

//BEGIN
First it was Mozilla, and now Google is the latest to confirm that encryption is inching closer toward becoming a standard building block for websites and web applications. Google reported yesterday that more than half of pages loaded on desktop versions of the Chrome browser are being done so over HTTPS.
流览器Mozilla和Google正逐步实施加密举措，针对的对象是网站和WEB应用程序。GOOGLE昨天发布消息称其浏览器CHROME的一半都是通过HTTPS的。

//END
“I just love to think about how much data we’re talking about,” Aas recently told Threatpost. “The reality on the ground is there’s a whole bunch of data that’s encrypted now that wouldn’t have been before. Going from 40 percent (39.5 percent when Let’s Encrypt entered its public beta last December) to 50 percent is a massive amount. It’s hard to imagine what 10 percent of daily transfer on the Internet is like.”
加密通讯从40%增长到50%是一个什么量级！数据量是巨大的。

点评：都加密了，恶意代码是不是就更难查了？