每日安全简讯(20161110)

1、研究者分析针对白俄罗斯军事部门APT样本
2、安卓银行木马Svpeng可通过Chrome bug传播
3、研究人员警告：D-Link路由器存在RCE漏洞
4、研究人员发现OAuth2.0漏洞可致账户被接管
5、黑客可以滥用LTE协议关闭手机网络连接
6、德总理称俄方或通过网络攻击影响德国大选

【安天】搜集整理（来源：freebuf、bestsecuritysearch、securityaffairs、securityweek、securityaffairs、easyaq）

1、研究者分析针对白俄罗斯军事部门APT样本
{CHN}
标题：针对白俄罗斯军事通讯社的APT样本分析

作者信息：2016-11-09 By 菠菜

//BEGIN
近日，互联网上出现一起针对白俄罗斯军事网站的渗透活动，攻击者通过电子邮件做为诱饵，在电子邮件的附件中嵌入漏洞利用的文档，在受害者打开文档后，文档中嵌入的shellcode得以执行，实现对目标系统的控制。本文分析的样本的shellcode只是生成pe文件，并将pe文件加入到启动项之中，比较有趣的是，样本并不直接启动这个PE文件，而是在等待受害者重启计算机后执行PE文件。在受害者重启计算机后，通过操作系统的启动项加载PE文件，进行后续的渗透攻击。
从我们最初得到的email来看，攻击者针对是白俄罗斯共和国国防部武装部队军事通讯社进行的定向攻击。

//END
样本下载进一步攻击负载的地址为：aued.kilwwoy.com/bin/System/update.tmp，通过对网上公开的威胁情报分析，没有找到对应的攻击组织。但从样本的代码分析，可以看到这个样本与paloalto公司公布的针对蒙古国政府的攻击应该为同一组织。
这个攻击组织的技术水平总体来看是偏低的，利用的都是已知漏洞，也没有使用其他未知的植入利用技术。但是可以看出攻击者对社工相关的信息做了更用心的准备，同时在攻击过程中可以在等待受害者重启机器后进入进一步的攻击，也显示出攻击组织的耐心与沉静，而这些在一定程度上也提升了植入的成功率。

//下载：
相关的Paloalto公司的报告摘要，非官方版本文件，供参考。 Digital Quartermaster Scenario Demonstrated in Attacks Against the Mongolian Gov.pdf (1.3 MB, 下载次数: 41)

2016-11-10 18:29 上传

点击文件名下载附件

文件名：Digital Quartermaster Scenario Demonstrated in Attacks Against the Mongolian Government.pdf
文件大小：1，363，605 bytes
MD5     : 61A35BB6A4238C9330D5F4FA0DE93E46

点评：APT攻击与恶意代码息息相关。

2、安卓银行木马Svpeng可通过Chrome bug传播
标题：SVPENG ANDROID BANKING TROJAN DELIVERED VIA A GOOGLE CHROME BUG

作者信息： NOVEMBER 8, 2016 BY MARTIN BELTOV

//BEGIN
Criminal hackers are distributing the Svpeng Android Banking Trojan via a security vulnerability in the Google Chrome browser.
The Svpeng Android Trojan Is Distributed via Google Chrome
The Svpengg Android banking Trojan is a malware threat that uses a security flaw in the Google Chrome browser to infect Android devices. The exact vulnerability is related to the way the browser handles file downloads.
安卓网银木马Svpeng正在通过google chrome浏览器的一个安全漏洞传播。该安全漏洞与浏览器处理下载文件的机制相关。该木马想办法下载到手机的SD卡上，而不提示用户，达到“悄悄进村”的目的。

//END
In the past the spyware has also targeted other countries including the USA. Some experts state that this wave is probably a test that the developers are using to see how effective large campaigns can be.
Fortunately the attacks have stopped as experts from Kaspersky Labs alerted Google of Svpeng’s recent appearance. An immediate update was issue which fixes the software vulnerability.
虽然当前流行的木马针对的是俄罗斯的用户，但是以前在美国发现过类似的恶意软件，而从目前来看，这会被认为是测试，或者说真正发起攻击前的演习。幸运的事，该木马的出现被安全公司卡巴捕获并通知了Google公司，而后者迅速做出反应，修补了该漏洞。

//相关联：20161108 https://bbs.antiy.cn/forum.php?mo ... &extra=page%3D1  2、安全厂商分析仿冒流行应用移动木马

点评：赶紧打补丁。

3、研究人员警告：D-Link路由器存在RCE漏洞
标题：CVE-2016-6563 RCE flaw affects D-Link Routers, disable remote admin

作者信息：November 8, 2016  By Pierluigi Paganini

//BEGIN
Carnegie-Mellon CERT warns of a flawed implementation of HNAP in D-Link routers (CVE-2016-6563) that could be exploited for remote execute code.
According to the Carnegie-Mellon CERT the implementation of the Home Network Automation Protocol (HNAP) of D-Link routers is affected by a stack-based buffer overflow vulnerability tracked as  CVE-2016-6563.
The flaw could be exploited by a remote, unauthenticated attacker to execute arbitrary code with root privileges.
美国卡梅隆大学的CERT组织发布警告称:在DLINK的DIR系列路由器中发现了安全漏洞，该漏洞能导致远程代码执行。该漏洞的编号是CVE-2016-6563。漏洞的触发的原因是基于堆栈的缓冲区溢出漏洞导致，如被利用，一个非授权的用户可能会以根权限来执行任意代码。

//END
The D-Link routers affected by the CVE-2016-6563 flaw belonging to the DIR family are:
DIR-823
DIR-822
DIR-818L(W)
DIR-895L
DIR-890L
DIR-885L
DIR-880L
DIR-868L
Ribeiro discovered two methods to trigger the vulnerability, passing to a vulnerable field a string longer than 3096 bytes or overrunning the stack of the calling function, hnap_main, with 2048+ bytes.
This isn’t the first time that experts find a flaw in the D-link implementation  of the HNAP, many years ago experts at SourceSec Security Research discovered similar issues in the service.
受到该漏洞影响的路由器的型号是：DIR-823；DIR-822；DIR-818L(W)；DIR-895L；DIR-890L；DIR-885L；DIR-880L以及DIR-868L等。安全人员发现了两种办法可以触发该漏洞。一种方法是传递一个超长的3096字节的字符串给一个字段；另外一个是采用超过2048个字节覆盖调用函数的堆栈。
这已经不是第一次在DLINK路由器的HNAP实现中发现安全漏洞了，很多年前一个名为SourceSec的安全研究机构也发现了类似的安全问题。

// HNAP:Home Network Automation Protocol 家用网络自动化协议

点评：这个也属于IoT安全吗？

4、研究人员发现OAuth2.0漏洞可致账户被接管
标题：OAuth 2.0 Vulnerability Leads to Account Takeover

作者信息：November 08, 2016 By Ionut Arghire

//BEGIN
A vulnerability in OAuth 2.0 could result in an attacker being able to sign into a victim’s mobile app account and take control of it, security researchers have discovered.
In a recently published research paper (PDF) that was also detailed at the Black Hat Europe security conference, three researchers from the Chinese University of Hong Kong demonstrate the prevalence and severe impact of the vulnerability. According to researchers, 41.21% of the 600 top-ranked Android apps that use the OAuth2.0-based authentication service from Facebook, Google, and Sina, are vulnerable.
来自香港中文大学的3位学者在今年欧洲的黑帽大会上展示了一种基于OAuth2.0的认证漏洞来入侵手机的方法，根据三位研究者发布的论文表明采用OAuth2.0认证服务机制的排名前600位的Android应用中的超过4层的应用APP可能被攻击，这些流行的APP包括耳熟能详的Facebook,Google以及Sina微博等。

//END
“After signing into the victim’s vulnerable mobile app account using our exploit, the attacker will have, in many cases, full access to the victim’s sensitive and private information which is hosted by the backend server(s) of the vulnerable mobile app. For some of these mobile applications, the online-currency/ service credits associated with the victim’s account are also at the disposal of the attacker,” the researchers say.
The researchers suggest that IdPs should provide 3rd-party application developers with clearer and more security-focused usage guidelines for their OAuth 2.0-based SSO APIs. Backend server of a mobile app should trust only information exchanged with the IdP server directly; IdPs should issue private user identifier on a per-mobile-app basis; and IdPs should conduct or insist on more thorough security testing of 3rd party mobile apps, the researchers also say.
这三位研究人员表示：一旦成功入侵用户手机的APP应用，那么攻击者就能拿到完全权限并完全控制那个被入侵的手机,进而获取受害者的身份信息和其他类似各种支付信息和支付币，而其实这些信息很多就不是保存在手机中的，而是保存在其后台支撑的后台服务器的。而这里讲的漏洞其实就是假借受害者的手机，从而完成身份认证，进而获取了用户保存在后台服务器的各种敏感信息、甚至钱财。
为了预防类似的攻击成功，研究人员建议提供身份验证提供商IdP应该给第三方的APP开发机构提供更加清晰和更加安全的验证机制，特别是基于OAuth2.0的单点登录SSO的程序开发接口API。
而对于后台的服务器端来说，应该只能信任IdP服务提供的信息，而且这种信息应该以每个APP为基础。

//IdP:major Identity Providers 用户身份ID提供
//SSO:Single-Sign-On 单点登录

//下载： eu-16-Yang-Signing-Into-Billion-Mobile-Apps-Effortlessly-With-OAuth20-wp.pdf (373.55 KB, 下载次数: 39)

2016-11-10 18:35 上传

点击文件名下载附件

文件名：eu-16-Yang-Signing-Into-Billion-Mobile-Apps-Effortlessly-With-OAuth20-wp.pdf
文件大小：382，513 bytes
MD5     : 14DCF33490C4714046B17F653EBD8C9B
标题是耸人听闻还是言过其实？Signing into One Billion Mobile App Accounts Effortlessly with OAuth2.0 进入10亿部手机的APP轻松，主要利用OAuth2.0

点评：10亿部手机就有10亿个漏洞....这如之奈何？

5、黑客可以滥用LTE协议关闭手机网络连接
标题：Abusing protocols in LTE networks to knock mobile devices off networks

作者信息：November 8, 2016  By Pierluigi Paganini

//BEGIN
A group of researchers from Nokia Bell Labs and Aalto University in Finland demonstrated how to hack protocols used in the LTE networks.
We discussed several times the rule of the SS7 signaling protocol in mobile communications and how to exploit its flaws to track users.
来自芬兰的诺基亚贝尔实验室以及Aalto大学的研究人员发现了一个LTE网络的漏洞，并在今年的英国伦敦的黑帽大会上进行了展示。其实之前曾经讲过多次利用SS7信号协议的漏洞来跟踪用户的通讯等。

//END
In this case, the only way to attach the network again is contacting the mobile operator.
As you can see also LTE networks and Diameter are vulnerable to hacking attack, for this reason, the researchers highlighted the need for further security measures.
For further information give a look at the slides (“Detach me not DoS attacks against 4G cellular users worldwide from your desk“) presented at the BlackHatEurope 2016.
在这个案例中，要想重新入网，就只能联系移动运营商解决。建议LTE网络的运营商加强防范措施以抵御攻击。

//
本文涉及到了很多专用缩写语：
IPX：interconnection network
HSS：home subscriber server
DEAs：Diameter Edge Agents
IMSI：international mobile subscriber identity
SMSC：Short Message service center
MSISDN：Mobile Station International Subscriber Directory Number
CLR：Cancel Location Request
IDR：Insert Subscriber Data Request
IPsec：Internet Protocol Security
LTE：Long-Term Evolution
SS7 protocol

//下载： eu-16-Holtmanns-Detach-Me-Not.pdf (3.46 MB, 下载次数: 40)

2016-11-10 18:37 上传

点击文件名下载附件

文件名：eu-16-Holtmanns-Detach-Me-Not.pdf
文件大小：3，628，259 bytes
MD5     : 14A05394B025F6DE885AA5E42BDB61CF
备注：LTE

下载： SS7 flaw allows hackers to spy on every conversation.pdf (294.9 KB, 下载次数: 36)

2016-11-10 18:38 上传

点击文件名下载附件

文件名：SS7 flaw allows hackers to spy on every conversation.pdf
文件大小：301，982 bytes
MD5     : 8A0BFD8FB09F66246D83C0FD5F86C858
备注：利用SS7漏洞可窃听任何用户通话。此文为非官方版，文章发表于2015年8月以及2014年12月。

点评：前有SS7协议漏洞后有LTE，下一个？

6、德总理称俄方或通过网络攻击影响德国大选
{CHN}
标题：德国总理默克尔：俄罗斯或将通过网络攻击影响德国大选

作者信息：2016-11-09 14:36 By E安全

//BEGIN
E安全11月9日讯，美国指控俄罗斯干扰美国选举后，德国总理默克尔表示，俄罗斯明年可能会通过网络攻击或虚假竞选消息影响德国大选。
当被问及德国是否会遭遇美国白宫曾遭受的网络攻击时，默克尔周二在记者会上表示，“我们从即刻开始必须处理俄罗斯外或源自俄罗斯的网络攻击，或俄罗斯散播的假信息”。他向柏林记者透露，处理这里事务已是“日常任务”。她表示，“也许，这会在选举期间发挥一定作用。”

//END
美国政府上个月正式指控俄罗斯政府入侵美国政治机构，试图“干涉”美国大选，而俄罗斯政府连连驳回指控。
德国情报局在今年早些时候指控俄罗斯实施一系列国际网络间谍和破坏攻击，包括去年德国国会下议院被攻击的案例。
德国计划2017年9月开始投票。默克尔尚未宣布参选，但预计会赢得第四任期竞选。

点评：网络安全和政治怎么连接得如此紧密？