每日安全简讯(20161203)

1、安天移动安全发布企业移动威胁检查工具
2、SmsSecurity变种可由TeamViewer远程访问
3、Shamoon组织使用恶意代码擦除目标主机
4、僵尸程序Proteus具备挖矿和键盘记录功能
5、两巨头预测威胁新趋势：勒索软件成重点
6、俄称外国间谍将对其金融体系发动网络攻击

【安天】搜集整理（来源：avlsec、trendmicro、paloaltonetworks、securityweek、aqniu、securityweek）

1、安天移动安全发布企业移动威胁检查工具
{CHN}
标题：安天移动安全应对“DressCode”威胁，发布企业移动威胁检查工具

作者信息： 2016-12-02 By AVLTeam

//BEGIN
近日，一种名为“DressCode”的恶意代码引起了国内安全行业的关注，该恶意代码以企业员工的移动设备作为跳板对企业内网进行攻击，对企业安全造成严重威胁。安天移动安全公司威胁情报团队对该恶意代码进行了历史公开情报整理，并迅速作出响应，发布针对“DressCode”恶意代码进行检测的企业移动威胁检查工具。

//END
该工具由安天移动安全公司研发，它支持企业移动安全体检服务的在线检测。当用户通过企业内网或者WIFI访问工具时，该工具会自动检测用户内网IP是否遭受威胁（目前首先支持“DressCode”家族信息检测），检测方式支持快速检测和深度检测两种。
安天移动安全公司已发布该工具，访问官方网站https://tools.avlsec.com/enterprise_inspect/

点评：AVL Team进入企业移动安全市场，个人用户建议采用AVL Pro！

2、SmsSecurity变种可由TeamViewer远程访问
标题：New SmsSecurity Variant Roots Phones, Abuses Accessibility Features and TeamViewer

作者信息： December 1, 2016 at 1:17 am By Jason Gu
//BEGIN
In January of 2016, we found various “SmsSecurity” mobile apps that claimed to be from various banks. These apps supposedly generated one-time passwords (OTPs) that account holders could use to log into the bank; instead they turned out to be malicious apps that stole any password sent via SMS messages. These apps were also capable of receiving commands from a remote attacker, allowing them to take control of a user’s device.
今年年初的时候，安全公司就发现了一些假冒银行所谓安全SMS短信的APP.其实他们是恶意的APP。虽然这些APP声称能产生一次性密码OTP，并且声称安装用户可以使用这些密码登录网银账户。但是实际上这些都是骗人的，用户输入的这些信息全部都被传送给了黑客设置好的后台，即使这些密码是通过短信发送的照样盗取不误。这些恶意的APP还能从远端的攻击者那里接受控制命令，控制安装了恶意APP的用户设备：比如手机等。

//END
These new SmsSecurity variants represent an evolution in the capabilities of SmsSecurity. The use of Android’s accessibility features to implement malicious routines is a novel way to carry out automated activity that may well be imitated by other mobile malware families in the future. Security apps like Trend Micro Mobile Security protect against these threats by detecting these malicious apps.
这个新发现的恶意APP可能代表着一个未来的趋势：这些恶意的APP甚至能自动执行一些指令，悄悄地盗取用户的信息。

点评：个人移动安全推荐采用AVL Pro！

3、Shamoon组织使用恶意代码擦除目标主机
标题：Shamoon 2: Return of the Disttrack Wiper

作者信息：November 30, 2016 at 5:20 PM By Robert Falcone

//BEGIN
In August 2012, an attack campaign known as Shamoon targeted a Saudi Arabian energy company to deliver a malware called Disttrack. Disttrack is a
multipurpose tool that exhibits worm-like behavior by attempting to spread to other systems on a local network using stolen administrator credentials. More importantly, its claim to fame is the ability to destroy data and to render infected systems unusable. The attack four years ago resulted in 30,000 or more systems being damaged.
四年前的一个被称为Shamoon组织发布了一个带有蠕虫性质的恶意代码Disttrack，虽然时间过去这么久了，但是最近其又重新活动了。这个称为Disttrack的恶意代码是一个带有蠕虫性质、并能在内网中利用盗取的管理员账号感染其他机器和系统。最新的版本的Disttrack恶意代码据说能够损坏用户的数据并导致系统不能使用。4年前的攻击已经导致了3万个系统不能正常使用。

//END
After a four year hiatus, threat actors likely associated with the Shamoon attack campaign have used their Disttrack malware to target at least one
organization in Saudi Arabia. The current attack campaign has several TTP overlaps with the original Shamoon campaign, especially from a targeting and timing perspective. Also, Disttrack malware used in the recent attacks is very similar to the variant used in the 2012 attacks, which uses the exact same RawDisk device driver as well (down to the same, temporary license key).. The main purpose of the Disttrack malware is to overwrite files and storage partitions in an attempt to destroy data and render the system unusable. To maximize its destruction, the Disttrack tool attempts to spread to other systems on the network using stolen administrator credentials, which suggests that the threat actors had previous access to the network or carried out successful phishing attacks prior to the attack using Disttrack.
经过了四年蛰伏，Disttrack恶意代码至少将其的目标定位为一个来自沙特的组织。新发现的攻击与4年前的类似，表现在其采用的恶意代码相似以及攻击的时间段（休息的时间）选择，并采用了RawDislk的设备驱动程序，其主要的作用是覆盖目标一些有用文件，损坏数据同时导致系统不能正常启动。为了扩大其攻击范围，该恶意代码采用盗取的用户凭证，在感染的内网中横向移动，这显示该攻击组织先前已经采用其他方式攻陷过企业的内网。

点评：数据恢复是最后的手段，但是还是最好能做到事先防范。

4、僵尸程序Proteus具备挖矿和键盘记录功能
标题：Multifunctional "Proteus" Malware Emerges

作者信息：December 01, 2016 By Ionut Arghire

//BEGIN
A recently observed piece of multifunctional malware can be used to mine for crypto-currencies, log user keystrokes, and download additional malware onto compromised machines, Fortinet security researchers have discovered.
被称为Proteus的恶意代码功能多种多样：可以挖矿、记录用户键击，同时能下载其他的恶意软件。该恶意软件采用.Net平台编写，并通过僵尸网络传播，其作用是作为一个代理服务。该恶意代码开启6个线程用来执行6个不同的任务：SocksTask:创建一个Socket链接并设置端口转发；MingTask:采用SHA256挖矿；EMingTask:采用CPUMiner和ZCashMiner挖矿；CheckerTask:验证指定的账号；CommandsTask:终止当前进程并下载和执行一个可执行文件；LoggerTask:设置键盘记录器KeyLogger.

//END
“The Proteus botnet has a combination of features including coin miner, proxy server, keylogger, and many more. It is also capable of downloading and
executing a file. All of this in one botnet may be even more harmful than one might first think, as it could download anything and execute it in the infected
host. Our team will continue to monitor this botnet family and provide more information as it comes to light,” Fortinet’s researchers said.
该僵尸网络的功能强大，安全公司正密切监视其动向并将最终让真相大白于天下。

点评：僵尸网络还是很厉害！

5、两巨头预测威胁新趋势：勒索软件成重点
{CHN}
标题：两大杀毒巨头2017年安全威胁趋势预测：勒索软件、云安全、物联网被划重点

作者信息：2016年12月2日 By Martin

//BEGIN
赛门铁克和迈克菲（英特尔安全），这两个全球顶尖终端安全技术与反病毒厂商，近日几乎同一时间发布了对明年的安全趋势预测。
1. 智能汽车和云基础设施或成为勒索软件下一攻击目标
随着智能汽车、无人驾驶等汽车领域新技术的兴起，车联网的安全也开始成为了安全研究者的关注对象。用于控制汽车的手机应用、内部复杂的传感器控制系统、软件漏洞都有可能成为新的风险点。赛门铁克认为，黑客针对汽车发动大规模攻击只是时间问题。除了可能的远程攻击、未授权监控并获取汽车定位数据等信息外，2016年非常活跃的勒索软件也可能通过通过锁死汽车控制系统所要赎金。同时，汽车制造商和车载软件厂商在安全问题的责任划分上，也会对智能汽车的发展产生深远影响。除了智能汽车以外，由于越来越多的企业选择将数据和业务系统迁往公有云或行业云，云基础设施也正成为网络攻击者获利的重要攻击目标。一旦发动勒索攻击者突破云服务提供商对云基础设施的基础性安全保护，没有在云上做额外安全加固的企业数据也可能受到影响。为了避免关键数据的丢失，企业将不得不支付赎金。
可以看出，赛门铁克认为，不只今年勒索软件攻击势头凶猛，明年受勒索软件攻击波及的影响面将更大。而迈克菲则认为，虽然近两年勒索软件的数量一直呈上升趋势，且收入不菲（CryptoWall 3.0这一单个勒索软件系列收入可能超过3.25亿美元），但是随着“停止勒索”等相关计划的展开，安全行业和国际执法机构的联手合作，2017年下半年全球勒索攻击的规模和效果会开始下降。

//END
8. 威胁情报共享将取得实质性进展
虽然之前威胁情报的共享受到“可能无意共享客户隐私信息”、“失去企业竞争优势”以及“公众会知晓哪些组织受到黑客攻击”这三点阻碍，但这些担心目前正烟消云散。Cybersecurity Information Sharing Act已经将美国政府与私营企业间的责任保护，延伸到共享实体的私有企业间的威胁情报共享提供了法律基础。美国企业正在评估相关的威胁情报共享政策。
同时，由美国国土安全部成立的信息共享和分析组织(ISAO)，将在2017年建立根据细分市场、区域并围绕利益相关性建立的ISAO社区，以及允许企业将威胁情报听驾到自己安全系统中的ISAO平台。可以预测，随着ISAO和其它威胁情报共享计划的发展（目前国内也有相关行业联盟），其管理和业务将得到改善，2017年将会看到更多的威胁情报共享。

点评：勒索软件是一种新型的恶意软件。

6、俄称外国间谍将对其金融体系发动网络攻击
标题：Russia Says Foreign Spies Plotted Huge Cyberattack

作者信息：December 02, 2016 By AFP

//BEGIN
Russia on Friday said it had uncovered plans by foreign intelligence services to carry out massive cyberattacks this month targeting the country's financial
system.
俄罗斯情报部门最近获悉：来自俄国境外的情报机构将从12月5日开始对该国的金融网络系统展开大规模的网络攻击行为，目的是使得俄国的金融系统陷入混乱，并使得很多大银行不能正常运行。

//END
The FSB said that "provocative publications" about a crisis in the Russian banking system were planned to appear on social media networks, blogs and mobile phone text messages.
俄罗斯的情报部门说这些信息原来计划在社交媒体、博客以及移动手机短信中进行大规模传播的。

点评：果然，美大选尘埃落定，两国开始了网络论战或者说进入了实质性阶段。