每日安全简讯(20161121)

1、安全团队发布魔波广告恶意病毒分析报告
2、研究人员提供Crypto88勒索软件处理方法
3、俄罗斯起重机制造商发现窃密木马Crane
4、安全团队公开Edge浏览器RCE漏洞技术细节
5、Drupal修复CMS引擎可引起社工和DoS漏洞
6、PlayStation和Xbox等多个Twitter账号被黑

【安天】搜集整理（来源：freebuf、virusguides、securityweek、tencent、threatpost、easyaq）

1、安全团队发布魔波广告恶意病毒分析报告
{CHN}
标题：魔波广告恶意病毒简析

作者信息：2016-11-20 By 腾讯手机管家

//BEGIN
1.病毒介绍
魔波广告恶意病毒通过仿冒浏览器，播放器和一些游戏等进行传播，一旦用户手机不慎被感染，该病毒将立即下载提权文件来获取 root权限，频繁推送广告，监控用户短信记录，私自发送扣费短信，注入大量恶意文件到手机系统用于守护病毒，防止病毒被卸载。
病毒样本的下载来源大多是来自国外的云服务器如cloudfront.net和amazonaws.com ，软件名通常为全英文如WatermelonShare、CalcMaster等，推送的广告内容以及下载的软件也都是国外软件，以此推测此病毒的目标应该是国外用户；从病毒功能及代码注释信息上看， 此病毒是国内制造的，因此推测此病毒是国内制造，国外流行的典型广告木马 ，我们根据感染量较大的一个样本中的一些线索推测木马作 者可能是在福建福州，一家从事app市场的公司。

//END
清除方案
要将此病毒彻底清除需要清理系统中的恶意文件.

点评：魔波病毒好像以前传统PC时代就有叫的....

2、研究人员提供Crypto88勒索软件处理方法
标题：Remove Crypto888 Ransomware

作者信息： November 18, 2016 By Daniel Stoyanov

//BEGIN
I wrote this article to help you remove Crypto888 Ransomware. This Crypto888 Ransomware removal guide works for all Windows versions.
Crypto888 ransomware is a win-locker virus which appears to be a new variant of Petya ransomware. The developers of the clandestine program have given a small clue about their identity. According to the ransom note, Crypto888 ransomware has been developed by a unit of Czech and Russian hackers. The malevolent program targets 196 file types, including the following: .doc, .docx, .xls, .xlsx, .ppt, .pptx, .asp, .aspx, .html, .txt, .pdf, .sql, .cer, .sln, .ini, .dat, .rar, .zip, .rtf, .bdf, .bkp, .csv, .iff, .exif, .ai, .avi, .wmv, .mp4, .mov, .mpg, .mpeg, .asf, .flv, .mkv, .dng, .wps, .eml, .arw, .js, .bat, .lnk, .pak, .m4a, .m3u, .mp3, .wav, .wma, .flac, .mid, .ogg, .sct, .eps, .mkv, .xml, .mdb, .db, .tif, .tiff, .bmp, .png, .psd, .jpg, .jpeg, .gif, .pfx, .qic, .wsc, .crw, .php, .reg, .ps1, .vb, .raw, .odt, .bin.
该勒索软件加密的文件类型有196种。据称是Petya勒索软件的变种，该研究人员称为Crypt888.根据黑客提供的解锁信息，初步推测该勒索软件由捷克和俄罗斯的黑客编写，当然具体的身份到目前为止还不清楚。这里主要介绍的是如何来解锁被加密的文件，该方式适用于所有Windows平台。黑客们提供了一个邮箱用来进行与受害者之间的联系，该邮箱是zaplacenookamzitedesifrujdat@yandex.com。勒索的赎金大约600美元，安全人员并不建议用户支付赎金，即使支付赎金能赎（找）回您的文件，但是谁又能保证其对同一个受害者不再次作案？毕竟他们要的是钱。因此不妥协也许就能帮助对抗勒索软件。该勒索软件给受害者5天的时间来支付赎金，过期可能还会更高。该勒索软件的主要传播途径有2个：第一个是最传统的通过垃圾邮件进行传播。形式则多种多样，为了骗取接受者的信任，它会将邮件编写得看起来十分像正规的厂家或者可信的来源：像是账单啦、推荐函呀、包裹单呀、银行对账单呀、发票呀、法院的正式传票呀等等不一而足。
另外的一个传播途径就是通过捆绑软件的形式：当然最多的就是通过免费、自由软件或者是盗版软件，因此建议用户不要安装一些来路不明的软件，如果确要安装则需要仔细检查设置选项，有的勒索软件会默认捆绑在一些用户通常会安装的软件安装包中。


//END
Crypto888 Ransomware Uninstall
Method 1: Restore your encrypted files using ShadowExplorer
Usually, Crypto888 Ransomware deletes all shadow copies, stored in your computer. Luckily, the ransomware is not always able to delete the shadow copies. So your first try should be restoring the original files from shadow copies.
Method 2: Restore your encrypted files by using System Restore
Go to Start –> All programs –> Accessories –> System tools –> System restore
Click “Next“
Method 3: Restore your files using File Recovery Software
If none of the above method works, you should try to recover encrypted files by using File Recovery Software. Since Crypto888 Ransomware first makes a copy of the original file, then encrypts it and deletes the original one, you can successfully restore the original, using a File Recovery Software. Here are a few free File Recovery Software programs:
Recuva
Puran File Recovery
Disk Drill
Glary Undelete
研究人员在不建议用户支付赎金的基础上，提供了三种修补方式来对付这个勒索软件。
（1）采用软件ShadowExplorer来恢复加密的文件。
（2）采用Windows系统本身的系统恢复功能System Restore。
（3）采用一些免费的修复软件来寻找被加密的文件：原理是这个勒索软件在加密了受害者的文件后，只是简单的删除了原文件，因此存在恢复的可能。

点评：针对勒索软件，我们的建议还是预防为主：备份备份再备份。

3、俄罗斯起重机制造商发现窃密木马Crane
标题：New Trojan Used to Spy on Russian Crane Manufacturers

作者信息：November 18, 2016 By Eduard Kovacs

//BEGIN
Researchers at Russian security company Doctor Web discovered a new piece of malware used by malicious actors to target some of the largest construction crane manufacturers in Russia.
The Windows Trojan, dubbed by the security firm BackDoor.Crane.1, has been spotted in attacks aimed at two major companies specializing in cranes and auxiliary equipment. When the malware was discovered, it had been stealing confidential information from infected systems for some time.
BackDoor.Crane has been used to steal financial documents, agreements and internal business correspondence, which has led experts to believe that the attacks are part of a corporate espionage campaign conducted by “unscrupulous rivals.”
来自俄罗斯的安全公司大蜘蛛最近发现了一种针对该国的起重机制造商的特制木马，该木马运行在Windows平台下，截止到发现该木马为止，木马已经盗取了相关的机密信息、内部商业邮件以及合同等等。因此有理由相信该木马也可能是竞争对手故意为之的。

//END
An “about” window left behind by mistake by the malware developers suggests that the first version of BackDoor.Crane was launched in 2015. However, Doctor Web said the samples analyzed by its researchers were compiled in April 2016. The security firm has published a detailed report on how the malware works and the traces it leaves on an infected system.
虽然该木马的作者声称其开发的时间是2015年，但是根据研究发现，其真实的编译时间为2016年的4月份。

//下载： 起重机工业木马分析.pdf (257.62 KB, 下载次数: 32)

2016-11-21 21:22 上传

点击文件名下载附件

文件名：起重机工业木马分析.pdf
文件大小：263，803 bytes
MD5     : 8B619E9E995DC5B10D3211477073018F

点评：俄罗斯的该工业控制系统还是Windows平台的？

4、安全团队公开Edge浏览器RCE漏洞技术细节
标题：A Link to System Privilege

作者信息：2016-11-18 by Daniel King

//BEGIN
A Detailed Description of CVE-2016-0176 and Its Exploitation

Essentials of a Successful Pwn of Microsoft Edge

A successful Pwn of Microsoft Edge consists of two essential parts: Browser RCE(Remote Code Execution) and browser sandbox bypass. Browser RCE is typically achieved by exploiting a Javascript vulnerability, while browser sandbox bypass can be achieved in different ways, logical sandbox escape or EoP(Escalation of Privilege) through kernel vulnerabilities.
微软的最新操作系统的浏览器EDGE的利用分为2个部分：第一个是浏览器的远程代码执行RCE,另外一个就是浏览器的沙盒逃逸。浏览器的远程代码执行RCE是一个典型的JavaScript漏洞利用，而浏览器沙盒逃逸则可以通过各种途径来实现。

//END
Exploitation Code(parts)
利用代码

点评：腾讯的作品，英文和图都画的不错，就是图8不知道跑哪里去了。

5、Drupal修复CMS引擎可引起社工和DoS漏洞
标题：DRUPAL FIXES ‘MODERATELY CRITICAL’ VULNERABILITIES IN CORE ENGINE

作者信息：November 18, 2016 by Chris Brook

//BEGIN
The Drupal Security Team fixed a handful of issues in version 7 and 8 of its content management system core engine this week that could have led to cache poisoning, social engineering attacks and a denial of service condition.
内容管理系统CMS厂家Drupal的安全团队发现了4个漏洞，分布在其CMS的核心引擎版本7和8中，如果这些漏洞被利用的话，则可能导致Cache中毒、社工攻击以及DoS攻击等。

//END
The fixes are the first since Drupal three critical vulnerabilities in its core engine back in September. Those bugs could have affected how a program executes and allowed for the full export of the system’s configuration report without administrative permission, among other outcomes.
自从9月份发布了三个关键漏洞以来，这还是第一次。当时的那些BUG可能导致程序执行，并能在无系统管理员权限的情况下，执行整个系统的组态报告导出。

点评：漏洞好像永不休。。。。

6、PlayStation和Xbox等多个Twitter账号被黑
{CHN}
标题：PlayStation和微软的Xbox等几大推特账号集体被黑

作者信息：2016-11-20 18:35 By  cnbeta

//BEGIN
昨晚，@PlayStation、微软的@XboxSupport、@Viacom、@ICR、 @Money等推特账号被黑。而且，被黑账号上出现了一些帮助用户获取更多粉丝的网站链接。黑客不是直接攻击的上述推特账号，而是攻击了推特的服务器Twitter Counter。黑客获得了登陆这些账号的方法并在其账号上发布信息。
Twitter Counter称其服务器确实受到了黑客攻击，但他们很快做出反应，组织了这些攻击并删除了黑客所发的推特内容，并称该公司将对此事进行深入调查。

//END
另外，遭受此次黑客攻击的还有一些别的推特账号如美国国家运输安全委员会、Charlie Sheen等。现在还不无法得知所有被黑账号的信息，但可以明确的是被黑的都是粉丝数量多的账号。

点评：大V们尤其要看好自己的账号！