每日安全简讯(20161201)

1、安天联合电信云堤分析Mirai传播新手段
2、远控木马NetWire回归，窃取支付卡数据
3、安全厂商称劫持无人机或成网络新威胁
4、火狐浏览器0Day漏洞被用于攻击Tor用户
5、Win10系统更新时会关闭BitLocker功能
6、斯诺登最新泄露：AT&T大厦或为NSA基地

【安天】搜集整理（来源：qq、threatpost、securityweek、securityweek、freebuf、freebuf）

2016年11月【安天每日安全简讯来源统计】：
统计时间段和范围：2016年11月1日到11月30日，每日6条新闻，一共180条。
主要来源:softpedia+securityweek+securityaffairs

==============

文件： 安天201611每日简讯集.pdf
MD5：  06DC9F7B4A912B3237FF9448892FD6CC
大小： 495,397 bytes
下载： 安天201611每日简讯集.pdf (483.79 KB, 下载次数: 912)

2016-12-1 06:16 上传

点击文件名下载附件

1、安天联合电信云堤分析Mirai传播新手段
{CHN}
标题：安天追影小组分析Mirai变种新传播方式

作者信息：2016-11-30 By 安天&电信云堤

//BEGIN
安天联合电信云堤发布针对Mirai新变种威胁分析报告，利用捕风蜜罐捕获到Mirai新变种，该变种采用最近公布的7547端口漏洞,并对公布漏洞的payload进行了修改使之可以下载执行Mirai。通过互联网流量监控发现了大量IoT设备进行7547端口扫描，这些设备已经被新Mirai变种攻陷,目前监测到超过30万IoT设备感染。
近期披露的D1000TR064 服务器 TCP 端口 7547漏洞，通过发送某些 TR 064 命令，可以指示运行该服务的设备打开防火墙上的 80端口。允许从互联网访问设备的web 管理界面。
D1000 的默认登录密码是默认 Wi-fi 密码,也可以通过另一个TR064指令获取。该漏洞关键代码是向端口7547发送TR 064命令，设置新NTP服务器的方式，在NewNTPServer1中采用指令iptables -IINPUT -p tcp --dport 80 -j ACCEPT解除防火墙对80访问限制。以下是重要的代码片段：

//END
通过电信云堤抽样流量分析获得如下信息：
确认被感染具有7547扫描能力的节点主要通过包括扫描节点自身是IoT设备，扫描节点多次使用相同端口扫描，扫描节点发出攻击漏洞方法进行发现。
确认感染设备总数：306778
感染设备主要开放服务或设备信息包括RomPager/4.07、DVRDVS、TR069 Connect Request Server、DHT Nodes、HuaweiHomeGateway。

点评：互相合作 互利共赢

2、远控木马NetWire回归，窃取支付卡数据
标题：NetWire RAT Back, Stealing Payment Card Data

作者信息：November 29, 2016 , 3:40 pm by Chris Brook

//BEGIN
The remote access Trojan NetWire is back and this time making the rounds pilfering payment card data. The move is a shift for attackers behind notorious NetWire, that was once thought to be the first multi-platform RAT.
远控木马NetWire以多平台感染的方式强势回归，其目标是感染支付平台，并盗取其关键信息。

//END
The holiday season is perpetually marred by credit card fraud. Three years ago the now infamous Target hack affected customers who shopped at U.S. Target stores during this pivotal span of time, between November 27 and December 15. The same malware that hit Target’s point of sale terminals, BlackPOS, was ultimately tied to the even bigger hack of Home Depot that following summer, although that connection was disputed by some experts.
随着年关将近以及西方圣诞节日的来临，信用卡的诈骗等行为会越来越多。已经有案例：美国著名的连锁店Target的POS机等，当然还有报道称与另外的黑客攻击相关。

点评：传播还是传统的方式：钓鱼邮件和挂马等方式。

3、安全厂商称劫持无人机或成网络新威胁
标题：'Dronejacking' May be the Next Big Cyber Threat

作者信息：November 29, 2016 By AFP

//BEGIN
A big rise in drone use is likely to lead to a new wave of "dronejackings" by cybercriminals, security experts warned Tuesday.
安全专家预测明年的无人机威胁可能更多。

//END
Other predictions in the report included a decrease in so-called "ransomware" attacks as defenses improve, but a rise in mobile attacks that enable cyber
thieves to steal bank account or credit card information.
The report also noted that cybercriminals will begin using more sophisticated artificial intelligence or "machine learning" techniques and employ fake online ads.
该安全专家还预测明年的勒索软件会越来越少，原因是防护措施的逐步加强。但是移动平台的攻击，从而导致信用卡信息的泄露可能会原来越多。
人工智能或者机器学习也可能被恶意利用做在线广告。

点评：2017年的安全趋势预测已经纷纷出台了。。。。不过预测勒索将减弱好像不会有太多的同意的吧？原因是我们的预防措施越来越强？但愿。

4、火狐浏览器0Day漏洞被用于攻击Tor用户
标题：Tor Users Targeted With Firefox Zero-Day Exploit

作者信息：November 30, 2016 By Eduard Kovacs

//BEGIN
A JavaScript exploit leveraging a zero-day vulnerability in Firefox has been spotted in attacks aimed at Tor users. Mozilla and Tor Browser developers are expected to quickly release updates that address the security hole.
洋葱头TOR浏览器以及Mozilla中被发现了0day漏洞，已经通知了其开发商，预计很快就会有补丁出现。TOR浏览器是基与Firefox的，一旦Mozilla发布补丁，那么他们也会很快更进。

//END
While some experts believe that Tor users should disable JavaScript in their browser to avoid falling victim to such attacks, others pointed out that
disabling JavaScript will prevent many websites from working properly. The Tor Project agrees, which is why NoScript is configured to allow JavaScript by default in the Tor Browser.
为了避免漏洞的利用，在还没有补丁的情况下，安全专家建议暂时在浏览器中禁止JavaScript的运行，但是这可能会影响很多网站的正常运行。

点评：还是坐等补丁出台。

5、Win10系统更新时会关闭BitLocker功能
{CHN}
标题：Win10攻击神技巧：系统更新时长按 SHIFT+F10 键可以打开CMD界面

作者信息：2016-11-30 By clouds

//BEGIN
最近，安全专家Sami Laiho发现了一种绕过BitLocker限制，获取Win10系统控制权的方法：当Win10在更新并安装相关系统版本时，长按SHIFT+F10键，将会打开CMD命令行控制界面！而据Sami Laiho透露，这是一个存在很久的问题，微软已于1个月前确认其告知的漏洞并开始制作补丁。

//END
使用者在电脑更新时离开，攻击者可以趁机利用该漏洞执行恶意操作。当然，这种方法，对警察进行计算机取证，或是小偷盗取电脑时，或许都能发挥作用。Laiho强调，因为Windows10的更新是强制进行的，所以对普通用户来说，这确实是一个很大的安全威胁，而针对一些大型企业的长期服务版本（Long TimeService Branch），由于不能自动安装更新，这种攻击威胁的可能性较小。

点评：真有才，这个都被发现了...

6、斯诺登最新泄露：AT&T大厦或为NSA基地
{CHN}
标题：斯诺登最新泄露文档：纽约AT&T大厦可能是NSA进行数据监控的秘密基地

作者信息：2016-11-30 By  clouds

//BEGIN
斯诺登最近向Intercept泄露的绝密文档显示，AT&T的Long Lines大厦很有可能是NSA监控项目TITANPOINTE的秘密基地，在这里，NSA接入AT&T通讯骨干网络，进行电话、传真和互联网数据的窃听监控。
在高楼林立的纽约曼哈顿城区，座落在托马斯大街33号的美国电信AT&T总部Long Lines大厦非常特别，整栋大楼由花岗岩组成，共29层和3层地下室，没有窗户，Long Lines大厦看上去像是一座太空碉堡。大厦始建于上世纪六十年代，项目代号ProjectX，据说能够抵御核爆，并能让1500人生存两周。大厦于1974年完工使用，尽管一直为AT&T公司所有，但其古怪的造型和鲜为人知的目的，更添加了几分神秘感，从此成为了纽约最著名的地标之一。

//END
据斯诺登泄露的文档显示，在美国境内，AT&T至少在59个地点安装了监控设备，NSA雇员可以在任何时间操控这些设备。据一份2013年的NSA机密备忘录显示，NSA技术人员用了将近4天的时间对TITANPOINTE和其它建筑内的专用设备进行了安装部署，但许多在场的AT&T公司员工都没有意识到NSA的存在，有些员工还以为他们是FBI。NSA的行程指导中声称“外人绝对不会想到NSA”.

点评：监控可能无处不在。