每日安全简讯(20161202)

1、勒索软件Cerber通过谷歌链接和Tor2web传播
2、安卓木马PluginPhantom利用插件框架逃避检测
3、Gooligan恶意软件活动导致百万谷歌账号泄露
4、微软将为Windows 10加入反侦察工具SAMRi10
5、微软修复被用于绕过Chrome沙箱机制内核漏洞
6、Sailfish成俄罗斯“替代安卓”计划首选系统

【安天】搜集整理（来源：securityweek、paloaltonetworks、checkpoint、securityweek、threatpost、cnbeta）

1、勒索软件Cerber通过谷歌链接和Tor2web传播
标题：Cerber Ransomware Delivered via Google, Tor2web

作者信息：November 30, 2016 By Eduard Kovacs

//BEGIN
A new version of the Cerber ransomware has been delivered by cybercriminals using spam emails, Google links, the Tor2web proxy service and malicious macro-enabled Word documents.
勒索软件Cerber最近越来越狡猾了：他们通过垃圾邮件传播，该垃圾邮件中的链接乍看起来像Google.com的链接，而实际上如果用户点击的话，会被重定向到一个暗网Tor2web的链接地址.该地址中指向下载一个文档，该勒索软件会提示用户该文档是一个机密文档。一旦用户好奇忍不住点击了，那么Windows的PowerShell会被打开，并下载和执行真正的勒索软件Cerber。该勒索软件的作者最近升级非常勤奋。不仅仅变化C2的IP地址，还在想方设法改变传播方式。
暗网中的恶意文档不像存在于挂马网站的恶意文档，前者很难通过发现的办法来去掉，而后者只要用户及时发现，去掉还是分分钟钟的事情。这就是勒索软件改变其传播通道的重要方式。

//END
In mid-August, researchers discovered a flaw that allowed them to decrypt files held for ransom by Cerber versions 1 and 2, but the weakness was quickly fixed by cybercriminals. Decryption tools for newer versions have yet to be developed.
就在今年8月份，研究人员根据在Cerber勒索软件V1和V2中发现的漏洞，发布了解密工具；但是随后该勒索很快升级了，目前升级到最新的5.0.1版本，到目前为止还未有解密工具发布。

点评：预防和对付勒索软件，建议还是备份备份再备份。

2、安卓木马PluginPhantom利用插件框架逃避检测
标题：PluginPhantom: New Android Trojan Abuses “DroidPlugin” Framework

作者信息：November 30, 2016 1:00 PM By Cong Zheng and Tongbo Luo

//BEGIN
Recently, we discovered a new Google Android Trojan named “PluginPhantom”, which steals many types of user information including: files, location data, contacts and Wi-Fi information. It also takes pictures, captures screenshots, records audios, intercepts and sends SMS messages. In addition, it can log the keyboard input by the Android accessibility service, acting as a keylogger.
谷歌的Android系统下又发现新的木马啦，它属于一个家族系列，被安全专家命名为PluginPhantom。通过合法的插件构架，可以盗取各种用户信息：文件、定位数据、联系人以及Wi-Fi无线连接信息；同时还能够拍图象、截屏、录音、截获并发送SMS短信；另外一个更加传统的方式甚至还能记录Android的键击，类似传统的KeyLogger.

//END
While the Android plugin technology is very hot in the Android app development, it also gives a chance to malware developers to redesign malware in a more flexible way. Like the PluginPhantom family, malware can easily update or add modules by updating or installing plugin apps. In terms of evasion, the plugin malware can hide all malicious behaviors in plugin apps, which can be downloaded and launched to bypass static detection. Additionally, the plugin technology might be a replacement of the repackage technique in the future. The plugin malware only needs to launch the original app as one plugin, and later launch malicious modules as other plugins. Even though the PluginPhantom is the first malware using the legitimate DroidPlugin framework, we will continue to watch and report this threat as attackers may use other plugin frameworks and launch more attacks.
Android的插件技术在APP的开发过程中是非常火的，功能也很强大，以至于黑客们会充分利用其进行活动，这项技术的采用使得跟踪移动恶意代码更加困难：因为它们更容易通过插件的升级接口进行变化自身或者添加新的特性。而且它们还能很好的把自己伪装起来，使得用户看起来一切还像往常一样。目前只是发现了这样一个被利用正规的插件平台，不排除以后会有其他的合法的插件平台构架被恶意利用。


点评：Android移动安全推荐采用AVL Pro!

3、Gooligan恶意软件活动导致百万谷歌账号泄露
标题：More Than 1 Million Google Accounts Breached by Gooligan

作者信息：2016/11/30 by Check Point Research Team

//BEGIN
As a result of a lot of hard work done by our security research teams, we revealed today a new and alarming malware campaign. The attack campaign, named Gooligan, breached the security of over one million Google accounts. The number continues to rise at an additional 13,000 breached devices each day.
安全公司的研究人员已经通知Google的安全小组，称在其Play等服务中发现了账号泄露的情况，目前每天大约有13000个账户泄露。该泄露由恶意代码造成，被命名为Gooligan.泄露的规模超过100万之多。其中超过一半的感染用户在亚洲，小一成的在欧洲。影响的Android的版本为4和5，利用的是这两个版本的Android系统存在的2个漏洞：一个是CVE-2013-6282;另外一个是CVE-2014-3153。成功利用这两个漏洞可以导致安装恶意app的手机被ROOT掉，因此可以被远程控制。由于这个恶意程序可以刷Google Play的榜，因此不要单纯从评价的高低来下载某些软件，一定要仔细验证。

//END
Gooligan has breached over a million Google accounts. We believe that it is the largest Google account breach to date, and we are working with Google to continue the investigation. We encourage Android users to validate whether their accounts have been breached.
这个应该是到目前为止的最大规模的Google账号泄露事件，安全公司的研究人员正在密切与Google方面合作，以调查事件的来源。并提醒那些可能有风险的用户注意防范。

点评：Android的APP安全，建议采用AVL Pro!

4、微软将为Windows 10加入反侦察工具SAMRi10
标题：Microsoft Experts Launch Anti-Recon Tool for Windows 10, Server 2016

作者信息：December 01, 2016 By Eduard Kovacs

//BEGIN
Itai Grady and Tal Be’ery of the Microsoft Advanced Threat Analytics (ATA) research team have released a new tool designed to help security teams harden the Windows 10 and Windows Server 2016 machines on their network against reconnaissance attempts.
该工具其实是一个简单的PowerShell脚本工具，其主要功能是改变安全账号管理器SAM的访问权限，这个设置在Windows 10 和Windows Server 2016中可以被改变，而以前的版本不仅是默认允许，而且不能改变。因此给了黑客攻击一个单点成功后，横向移动的机会。

//END
This is not the only anti-reconnaissance tool released by Grady and Be’ery. In October, they launched NetCease, a PowerShell script that changes
NetSessionEnum function permissions in order to make it more difficult for attackers to obtain information that would allow them to move laterally within a network.
其实这不是研究人员第一次发布这样的预防横向移动的工具软件。以前曾经发布过一个工具NetCease，它也是一个PowerShell脚本，其功能也是能阻止黑客通过网络的横向移动来攻击内网。

点评：对抗“单点突破，横向移动，全网遭殃”的利器？

5、微软修复被用于绕过Chrome沙箱机制内核漏洞
标题：Microsoft Silently Fixes Kernel Bug That Led to Chrome Sandbox Bypass

作者信息：November 30, 2016 , 4:10 pm By Chris Brook

//BEGIN
Microsoft appears to have silently fixed a two-year-old bug in in Windows Kernel Object Manager that could have allowed for the bypass of privileges in
Google’s Chrome browser.
微软悄悄的修补了一个2年前的bug，该bug由Google的Project zero安全小组报告。当时微软的答复是这个所谓的bug不值得修复。该bug据称存在于Windows的内核对目标的管理中。

//END
“The trouble with this approach is there’s never any credit or notification for the fix and so I was under the impression that this issue still existed,”
Forshaw said.
Google的安全研究人员称，虽然目前看这个漏洞已经修复，但是由于没有任何官方的声明和通报，因此可以认为这个bug可能并未真正修复完成。让我们拭目以待。

点评：目测该漏洞还会回来。

6、Sailfish成俄罗斯“替代安卓”计划首选系统
{CHN}
标题：Sailfish OS成俄罗斯政府“替代Android”计划的首选系统

作者信息：2016-11-30 10:49:01 By cnBeta

//BEGIN
为应对由美国企业为主导的Android和iOS移动系统垄断，近年来俄罗斯政府大力推进和扶持开源系统的发展，尝试替代当前政府机构员工所用的移动系统。而在候选系统方面除此前曝光的三星Tizen系统外，来自芬兰Jolla公司的旗鱼系统（Sailfish OS）似乎更受俄罗斯政府的青睐，并成为替代Android系统的首选。

//END
俄罗斯政府表示将逐渐减少对国外移动操作系统的依赖，在2015年Android和iOS系统的市场份额占比超过95%，而政府计划在2025年将这个数字降到50%以下。据悉今年早些时候，名为Open Mobile Platform（OMP）的俄罗斯企业已经获得了旗鱼系统在俄罗斯地区的授权，负责研发用于俄罗斯市场的定制系统。换言之，俄罗斯目前的“Android替代”方案基于旗鱼系统。同其他替代系统有所不同的是，旗鱼系统的优势在于兼容Android应用程序，这意味着能够使用Google Play现有的应用程序（例如Firefox），为政府工作提供极大的便利。

点评：搞OS谈何容易，不说现在的各种自主研发国产操作系统，遥想当年偶国的汉字操作系统.....搞系统不如搞生态。