每日安全简讯(20161120)

1、安全团队发布勒索软件HadesLocker分析报告
2、勒索软件Ransoc借社交网络威胁受害人声誉
3、研究者发布Geinimi木马家族相似性分析报告
4、调查表明300万安卓手机OTA升级机制有隐患
5、Moxa和Vanderbilt监控设备发现远程接管漏洞
6、意大利政府网站被黑，4.5万用户信息泄露

【安天】搜集整理（来源：freebuf、securityweek、malwarebenchmark、securityweek、securityweek、softpedia）

1、安全团队发布勒索软件HadesLocker分析报告
{CHN}
标题：直面冥王：最新爆发的C#敲诈木马HadesLocker解读

作者信息：2016-11-19 By 腾讯电脑管家

//BEGIN
近日哈勃分析系统捕获到一类由C#语言编写的新的敲诈勒索木马。之前出现 的C#语言编写的木马只是简单地调用了一些C#库来辅助开发。与之相比，这次的变种增加了多层嵌套解密、动态反射调用 等复杂手段，外加多种混淆技术， 提升了分析难度。
木马加密文件时使用AES256算法， 在特定条件下可以还原加密的文件。
背景简介：
HadesLocker是10月份新爆发的一个敲诈勒索类木马，会加密用户 特定后缀名的文件，包括本地驱动器和网络驱动器， 加密后文件后缀为.~HL外加5个 随机字符，然后生成txt，html、png三种形式的文件来通知用户支付 赎金，桌面背景也会被改为生成的png文件。

//END
加密完文件后，对于原始文件木马并没有 马上直接删除，而是先生成随机数进行填充 ，并且篡改了文件的创建时间、最后访问时间等，最后再进行删除 。这样做的目的是防止使用一些文件恢复工具进行恢复， 从中也可以看出此木马为了获取非法利益给受害者造成了非常大的破坏。

//下载： HadesLocker技术分析报告.pdf (1.27 MB, 下载次数: 48)

2016-11-20 17:10 上传

点击文件名下载附件

文件名：HadesLocker技术分析报告.pdf
文件大小：1，327，260 bytes
MD5     : 5D64E5CB2F7ABBFF655A8F360AF1E183

点评：habo官网好像没发布这个HadesLocker：https://habo.qq.com/news/index

2、勒索软件Ransoc借社交网络威胁受害人声誉
标题：Ransoc Ransomware Blackmails Victims

作者信息：November 18, 2016 By Ionut Arghire

//BEGIN
A newly observed piece of ransomware isn’t targeting files to encrypt as most threats in this category do, but rather scrapes Skype and social media
profiles for personal information to encourage victims to pay the ransom.
勒索软件已经调整其单一策略了！一个名为Ransoc的新型勒索软件不再加密系统的文件，而是当发现用户的计算机中出现了一些非法的内容后，会吓唬用户因违反了三条法律规定而必须限定时间支付款项。奇怪的是这个款项是通过刷卡的形式支付，而不是通过比特币这种不易追溯的方式，可见勒索者对自己的信心是多么爆棚：他们认定受害者会因为顾忌自己的声誉而不会选择报警。勒索软件会声称用户违反的三条法律包括：第一发现严厉禁止的儿童色情内容；第二发现了违反知识产权的内容；第三其他的一些可疑行为。并声称用户的机器的所有行为均被录音和录屏。

//END
This theory is also sustained by the fact that this piece of malware is distributed via malvertising on adult websites and because the penalty notice is
displayed only if Ransoc encounters potential evidence of illegally downloaded media and certain types of pornography. The ransom note also claims that money will be sent back if the victim is not caught again in the 180 days.
另外这个敲诈者信心爆棚还有一个原因是，该软件是通过在一些色情网站上做广告的形式传播，而且它还会监测到用户主机的一些非法下载活动以及色情图片。因此勒索者认为一旦条件成立，受害者一般都会承认而选择默认。当然勒索者还会声称半年内如果受害者没被抓的话，会全额退款。

点评：勒索者很狡诈呀，他们更明白个人声誉也是钱！

3、研究者发布Geinimi木马家族相似性分析报告
{CHN}
标题：Android Geinimi家族恶意代码相似性分析

作者信息： 2016-11-19 By Khan

//BEGIN
本次小编带来的是Android Geinimi类型样本的分析。这次分析的是该家族分别包含在“魔音”、“赛车晋级”、“HardcoreDirtBike”等应用中。
Android平台上的恶意软件有很多都是以窃取用户隐私为目的的，本次带来分析的这种类型的样本就是窃取隐私的木马。这种木马是作为合法软件的重打包版本的一部分进入用户设备的，即在合法的软件中加入了恶意部分，重新打包发布，在一些第三方平台上供不知情的用户下载，导致用户中招，泄露隐私。

//END
下面给出本次分析的第一、第二个样本的控制流图，可以明显看到中间部分类似的部分。

点评：官方的APP被改装，增加了恶意模板后重新被发布，这个怎么破？

4、调查表明300万安卓手机OTA升级机制有隐患
标题：Over-the-Air Update Mechanism Exposes Millions of Android Devices

作者信息：November 18, 2016 By Ionut Arghire

//BEGIN
The insecure implementation of the OTA (Over-the-air) update mechanism used by numerous Android phone models exposes nearly 3 million phones to Man-in-the-Middle (MitM) attacks and allows adversaries to execute arbitrary commands with root privileges.
Android智能手机的升级实现部分爆出中间人攻击MitM漏洞，大约影响300万台安卓手机。其漏洞编号为CVE-2016-6564，成功利用可以导致远程利用，还能以根权限执行任意代码。

//END
Overall, over 2.8 million distinct devices, across around 55 reported device models, were observed connecting to the researchers’ sinkholes. Interestingly
enough, some of the provided device models couldn’t be linked to real world devices, and the security researchers included all of them in an “Others”
category.
受影响的手机大约280万台，分为55个设备型号，但是有的型号竟然没有发现在市场销售。

相关厂家：http://www.ragentek.com/ 锐嘉科集团 RGK Group
关于：相关的漏洞编号CVE-2016-6564官网介绍没有了，但是在Securityfocus中还存在。
https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-6564 (竟然没有了？)
http://www.securityfocus.com/bid/94393

点评：升级机制的安全非常重要，不仅Android平台，其他的也如此。

5、Moxa和Vanderbilt监控设备发现远程接管漏洞
标题：Moxa, Vanderbilt Surveillance Products Affected by Serious Flaws

作者信息：November 18, 2016 By Eduard Kovacs

//BEGIN
Surveillance products from Moxa and Vanderbilt are affected by several critical and high severity flaws that can be exploited by remote hackers to take
control of vulnerable systems.
一共发布的是4个严重的漏洞，涉及到的均是监控设备，由2个厂家出品。发现者中有来自中国华为的未然实验室的研究人员。这些漏洞均可能导致被远程控制或者执行任意代码。
Moxa监控设备漏洞编号：CVE-2016-9333；CVE-2016-8360和CVE-2016-9332
Vanderbilt监控设备漏洞编号：CVE-2016-9155

//END
Vanderbilt Industries completed the acquisition of Siemens’ security products business in June 2015. Since the affected CCTV cameras are Siemens-branded products, the German engineering giant has published a security advisory on its own website.
Vanderbilt在2015年的6月收购了德国西门子公司的安全产品，而这些曝光的中央监控系统CCTV摄像头是西门子的产品，因此这家德国工程巨头公司很快就发布了该漏洞的补丁更新。

点评：这些都可以用来发起DDOS攻击，想起了Mirai(未来）....

6、意大利政府网站被黑，4.5万用户信息泄露
标题：Hacker Breaks into Italian Government Website, 45,000 Users Exposed
Kapustkiy managed to hack another government website

作者信息：Nov 18, 2016 12:22 GMT By Bogdan Popa

//BEGIN
Hacker Kapustkiy just managed to break into another government website, this time in Italy where the target was the Dipartimento della Funzione Pubblica.
黑客这次瞄准的是意大利的公共服务部门，虽然黑客给该网站写信告知其风险，但是直到发稿甚至公开部分信息时，依然没有任何回应。

//END
If remains to be seen if the Italian government issues a similar statement, but judging from their lack of response so far, such a thing is very unlikely.
该黑客利用同样的手段对印度的政府网站进行攻击测试，并通报相关单位，得到的答复是公开的感谢和致谢。这恐怕还是少见的，人们正期待意大利政府部门是否会像印度那样对黑客的行为表示感谢。

//下载： GovofItaly9301.rar (365.73 KB, 下载次数: 47)

2016-11-20 17:18 上传

点击文件名下载附件

文件名：9301.xlsx
文件大小：382，286 bytes
MD5     : F067D37FCA438AD4CBF3F826C37D6BDB
备注：泄露的部分数据，含邮件地址和对应密码。

点评：都公开了要想获得感谢可能有点难度。