每日安全简讯(20161122)

1、勒索软件Locky以SVG图像在Facebook传播
2、安卓银行木马利用社会工程绕过Doze机制
3、安全团队发布利用漏洞传播的萝莉蠕虫分析
4、意大利研究人员发布自动化网络钓鱼工具
5、Ubuntu存在声音文件触发的代码执行漏洞
6、谷歌研究员发现PAN-OS任意代码执行漏洞

【安天】搜集整理（来源：securityaffairs、scoop、freebuf、easyaq、freebuf、securityweek）

1、勒索软件Locky以SVG图像在Facebook传播
标题：Watch out, Locky ransomware spread via SVG images on Facebook Messenger

作者信息：November 21, 2016  By Pierluigi Paganini

//BEGIN
Researchers have discovered a new hacking campaign leveraging on Facebook Messenger to spread the Locky ransomware via SVG images.
The Locky Ransomware is spread via a downloader, experts noticed that it is able to bypass Facebook defense measures by pretending to be a harmless  image file.
The campaign was first spotted during the weekend by the malware expert Bart Blaze and by the researchers Peter Kruse.
The SVG (Scalable Vector Graphics) is an XML-based vector image format for two-dimensional graphics with support for animation and interactivity. The SVG images include the definition of their behaviors in XML text files, this feature makes possible SVG image can be searched, indexed, scripted, and compressed. Despite SVG images can be created and edited with any text editor, more often they are created directly with a software that elaborates the images.
When the victim accesses the malicious SVG file it will be directed to a website that appears to be YouTube in design only, but once the page is loaded, the victim is asked to install a codec in order to play the video that is shown on the page.
SVG是Scalable Vector Graphics可扩展的矢量图形的简称，为可以用文件编辑器编辑的XML格式的文本文件，但是实际中一般都是采用软件直接生成。该文件格式支持动画以及与客户交互。可以在该文档中定义其行为。正是由于这些超强的特性使得该格式的文件可能被恶意利用，只要用户访问了含有恶意代码的该文件，就可能被导向一个播放视频的网站，当然视频不会让您能直接播放，需要下载其专用的扩展插件才可以。这个下载安装插件的过程，就是勒索软件进入用户机器的通道。目前传播这个图像文件的是即时通讯工具facebook，传播的勒索软件是Locky.所谓的播放视频的是Youtube.

//END
If the victim installs the Chrome extension as requested on the page, the attack is this spread further via Facebook Messenger. The experts observed that sometimes the malicious Chrome extension installs the Nemucod downloader, which launches the Locky ransomware attack.
The experts warn of several variants of the attack and likely several malicious extensions used to spread malware like the Locky Ransomware.
“Currently, I’m not exactly sure what this extension is supposed to do beside spreading itself automatically via Facebook, but likely it downloads other malware to your machine.” Blaze added in the post.
If you get infected remove asap the malicious extension from your browser.
该勒索软件的变种已经出现，一旦感染，其修复方法，安全专家建议立即卸载安装的浏览器插件。

点评：对付勒索软件，备份备份再备份。

2、安卓银行木马利用社会工程绕过Doze机制
标题：Android banking malware whitelists itself to stay connected

作者信息：Monday, 21 November 2016, 12:11 pm By Symantec

//BEGIN
New Android.Fakebank.B variants use social engineering to bypass battery-saving process and stay active in background
Recent variants of Android.Fakebank.B have been updated to work around the battery-saving process Doze. Variants display a pop-up message asking the user to add the threat to the battery optimisations exceptions whitelist. If this technique works, the malware stays connected to command and control servers even when the device is dormant.
Bypassing Doze
Doze is a power-saving feature in Android 6.0 Marshmallow. When a user doesn’t use an unplugged device for a period of time, the device enters Doze mode. This allows the OS to conserve battery by restricting apps' access to network and CPU-intensive services. This feature is a hurdle for banking malware running in the background and connecting to an attacker’s server to receive commands.
Doze机制其实是手机操作系统Android 6.0为了节省能量而设计的。一旦用户有一小会不用手机，那么Android手机就会自动进入该模式，目的是为了省电，相当于人没事的时候打盹。在该模式下，Android访问网络以及使用CPU资源都受到一定的限制，这个特性也客观上能使得一般的恶意程序（比如普通网银木马等）不能顺利与其C2服务器连接。
但是新发现的Android木马是个例外：它诡秘地利用了该机制，但是实际上就是一个骗人的提示，以使得该木马能逃避省电模式，而能一直活跃着。该木马会显示一个弹出框框，提请用户将自身加入到省电的白名单机制的例外进程中。一旦其伎俩成功，那么即使是手机休眠，该恶意木马依然能够在后台与其C2通信。

//END
The permission required to fire this intent is REQUEST_IGNORE_BATTERY_OPTIMISATIONS which is classified as normal. Marshmallow’s dynamic permission model defines permissions as either normal, dangerous, and above dangerous. Permissions determined as normal are approved automatically and cannot be disabled through appinfo permissions.
The intent causes a pop-up message to appear, as shown in Figure 2. Users may be tricked into allowing the threat to bypass Doze’s restrictions if the malware poses as a legitimate app.
Ignore battery optimizations?
Let app Chrome stay connnected in the background? This may use more battery.
该提示框框之所以很有欺骗性还在于其冒充的是浏览器Chrome！假模假样询问潜在受害者是不是愿意让浏览器总在后台运行。当然一般的用户就会选择YES. 显然这个是经过精心设计的。Android 6.0一共有三种动态权限模式：正常、危险以及超危险。如果权限设置为正常的话，那么即使通过appinfo也不能将其Disable。可见该网银木马对Android运行机制了解之深。


点评：移动网银木马都进化到这个地步啦：以骗进用户白名单的方式给自己打上"好人"的标签！

3、安全团队发布利用漏洞传播的萝莉蠕虫分析
{CHN}
标题：利用《魔兽争霸3》漏洞传播的“萝莉”蠕虫分析

作者信息：2016-11-21 By 腾讯电脑管家

//BEGIN
近日，腾讯电脑管家发现一个可疑脚本被创建为启动项，通过分析和搜索相关信息，发现大量网友反馈，重现了中毒场景。该蠕虫传播原理如下：
1，        蠕虫作者上传带蠕虫的魔兽地图，并以该地图创建房间吸引其他玩家进入房间游戏；
2，        玩家进入房间后，就会自动下载该地图，并进行游戏后，触发魔兽地图里恶意脚本。脚本利用漏洞成功在启动目录创建loil.bat脚本文件；
3，        当玩家重启电脑后，Loil.bat获得执行，通过脚本下载loli.exe执行；
4，        Loli.exe把玩家魔兽目录下的正常地图文件全部感染植入蠕虫。玩家在不知情的情况下，会使用这些被感染的地图创建游戏，感染更多玩家；
5，        接着loli.exe释放魔兽插件War3_UnHack.asi。每当魔兽启动时，会自动加载该插件；
6，        玩家每次启动魔兽后War3_UnHack.asi获得执行权，又重新下载loil.exe蠕虫，使得该病毒难以删除。

//END
通过把该文件放到魔兽争霸redist\miles目录下即可完成安装。War3.exe每次启动就会加载该蠕虫插件。
该蠕虫会下载恶意程序执行。

点评：loli==萝莉？中英文咋就差别忒大。

4、意大利研究人员发布自动化网络钓鱼工具
{CHN}
标题：政府和企业要当心了，PhishLulz高级自动化网络钓鱼工具正式发布

作者信息：2016-11-21 17:30  By E安全

//BEGIN
E安全11月21日讯 上周举办的新西兰黑客大会Kiwicon上，意大利网络安全专家Michele Orru发布了一款自动化网络钓鱼工具。这款网络钓鱼工具为网络安全工程师及黑客提供建议如何通过全世界最热门的攻击媒介成功攻击企业和政府。
这款工具被称为“PhishLulz”，Michele Orru根据自己在网络钓鱼方面的专业知识构建了这款基于Ruby的钓鱼工具。“PhishLulz”为每起钓鱼活动生成新Amazon EC2云实例，结合PhishingFrenzy工具的GUI，并使用BeEF浏览器客户端攻击框架。

//END
Michele Orru表示，大多数钓鱼邮件需要高度定制。除非目标“是个网络白痴”。作为开源倡导者，Michele Orru邀请有兴趣的安全人员和黑客加入该项目。

点评：真正的安全专家一般称呼普通用户为小白，如果非要增加一个字的话，也只能是鼠。

5、Ubuntu存在声音文件触发的代码执行漏洞
{CHN}
标题：Ubuntu系统中居然存在任天堂红白游戏机的漏洞

作者信息：2016-11-21 By latiaojun

//BEGIN
最近安全研究人员Evans在Ubuntu系统中发现了一个很有意思的漏洞，这个漏洞还跟任天堂当年的8位游戏机（NES，或者叫FC）有关。Evans表示，在Ubuntu 12.04.5版本的多媒体框架中存在一个漏洞，该漏洞可以被红白机播放的声音文件（NSF文件）利用——红白机和Ubuntu系统有什么关系？
这个漏洞的根源实际上在于音频解码器libgstnsf.so，这个解码器原本是用于支持gstreamer 0.10播放NSF格式文件的——而红白机的音乐文件就是.NSF格式——Ubuntu系统在播放这种文件的时候，会实时创建红白机的6502处理器和音频硬件的虚拟环境。这样讲来也很容易理解，漏洞的影响并不算深远，研究人员也只是觉得很有趣才做了深入观察。

//END
虽说这是个0day漏洞，但它造成的影响并不是很严重。 而且该漏洞只存在于Ubuntu 12.04.5系统版本中，这是一个比较老的版本了。要避开这个漏洞也非常容易，只要删除libgstnsf.so即可。而且还不会引起功能的缺失，因为在NES中还有另外的解码器可以播放NSF音乐。

点评：不玩游戏的偶会错过恶意代码的很多历史和当前，还有未来。

6、谷歌研究员发现PAN-OS任意代码执行漏洞
标题：Palo Alto Networks Patches Flaws Found by Google Researcher

作者信息：November 21, 2016 By Eduard Kovacs

//BEGIN
Project Zero researcher Tavis Ormandy has identified several vulnerabilities in Palo Alto Networks’ PAN-OS operating system. An attacker can combine the flaws to execute arbitrary code with root privileges.
Ormandy reported a total of three security holes to Palo Alto Networks in August. The most serious of them, rated critical and tracked as CVE-2016-9150, is related to how the PAN-OS web management server handles a buffer overflow. An attacker with network access to the management interface can leverage this weakness to execute arbitrary code or cause a denial-of-service (DoS) condition.
谷歌的Zero零号工程Project Zero又发布号外了！
他们在网络安全公司平底锅Palo Alto的操作系统（命名为PAN-OS）中发现严重安全漏洞，利用该漏洞可以导致黑客以Root根权限执行任意代码。
今年八月份一共发现了三个安全漏洞，其中最严重的一个是漏洞的编号为CVE-2016-9150。原因在于PAN-OS的WEB管理服务器处理缓冲区溢出漏洞不当导致，一旦被利用可能会执行任意代码同时还可能发起DOS攻击。


//END
The vulnerabilities affect PAN-OS 5.0.19 and earlier, PAN-OS 5.1.12 and earlier, PAN-OS 6.0.14 and earlier, PAN-OS 6.1.14 and earlier, PAN-OS 7.0.10 and earlier, and PAN-OS 7.1.5 and earlier. The issues were addressed last week with the release of PAN-OS versions 5.0.20, 5.1.13, 6.0.15, 6.1.15, 7.0.11 and 7.1.6.
The updates also resolve a post-authentication vulnerability that can allow XPath manipulation, and an OpenSSH flaw. Both of these issues have been rated “low severity.”
Ormandy has discovered serious vulnerabilities in products from several security solutions providers, including Symantec, FireEye, Trend Micro, Comodo, Kaspersky Lab, AVG and Avast.
目前漏洞已经被修补，为了修补该漏洞需要升级到PAN-OS的版本分布是：5.0.20, 5.1.13, 6.0.15, 6.1.15, 7.0.11 和7.1.6以上的系统。


点评：安全公司也不再是个简单开发一个杀毒程序了事，基本形成了独立生态体系：甚至还有OS！