每日安全简讯(20161213)

1、安天揭露一例跨期两年电信诈骗进化史
2、安全团队分析恶意代码Depriz工作机理
3、研究人员发现一例多合一木马攻击场景
4、黑客可利用新工具窃取无钥匙启动汽车
5、普华永道SAP安全工具被发现致命缺陷
6、NSA前局长称负面形象导致NSA人才流失

【安天】搜集整理（来源：avlsec、microsoft、badcyber、cnbeta、securityaffairs、solidot）

1、安天揭露一例跨期两年电信诈骗进化史
{CHN}
标题：病毒四度升级：安天AVL Team揭露一例跨期两年的电信诈骗进化史

作者信息：2016年12月12日 By AVLTeam

//BEGIN
自2014年9月起，安天AVL移动安全团队持续检测到一类基于Android移动平台的间谍类病毒，病毒样本大多伪装成名为“最高人民检察院”的应用。经过反编译逆向分析以及长期的跟踪调查，我们判断这可能是一起有组织的电信诈骗犯罪活动。
　　 2014年9月至今，某诈骗组织持续以涉嫌犯罪为由恐吓受害者，并进行电信诈骗活动。整个诈骗流程大致如下：攻击者首先向受害者的手机发送含恶意应用下载链接的短信，这一步可能是借由伪基站群发短信实现的；攻击者通常以获取“案件号”、“单位代号”、“电子凭证”的短信诱骗受害者点击链接，下载安装恶意程序，最终获取受害者手机的root权限；恶意程序被成功安装到受害者手机后，诈骗者会主动打电话给受害者，并声称将电话转接至检察院确认，但现在大部分人都对这类电信诈骗的防范意识较高，会拒绝对方的电话转接；此时，诈骗分子会主动要求受害者挂断电话，并亲自拨打110确认事件的真伪。当受害者将电话拨出后，安装在受害人手机中的恶意程序将原本拨打给110的电话，劫持之后转为拨打诈骗者的号码，从而让受害者信以为真，完全落入圈套。

//END
通过对该病毒的详细分析，我们发现该病毒迄今已使用了6种不同形态的木马。除去最开始可能用作测试的一种，其它的按照结构、功能等指标大致可以分为四代。早期的木马基本不具备对抗行为，包括短信转发地址的电话号码和隐私数据上传的服务器IP等皆明文硬编码在程序中，较容易被分析追踪和查杀。到2015年9月1日，手机卡实名制正式开始实施，这意味着攻击者信息更容易被侦查。就在同年10月，病毒新变种开始采取混淆等对抗手段隐藏攻击者信息，短信发送地址及短信内容等数据也转而通过从服务器下载获取。到2016年11月，病毒将窃取数据上传服务器的功能实现部分从Java层转移至SO动态链接库，攻击所需的资料更多是从远程服务器下载获取，攻击的危险性与不确定性都有所增强，在一定程度上增加了安全监测和逆向分析的难度。综合来看，该电信诈骗持续的周期较长（持续2年以上），攻击手段不断变换。我们可以推断犯罪分子可能为混迹在港台地区的诈骗组织，具有高度的组织化，其诈骗行为极端恶劣，需要引起足够重视。
　　 另外，纵观至今的诈骗活动周期，高峰往往起始于每年年末（9~11月）并结束于次年年初（2月左右），说明年终岁末通常是电信诈骗的高发期。时值年关，广大手机用户务必当心，谨防受骗。

点评：2年称为史，好像称呼过程是不是更恰当？^^

2、安全团队分析恶意代码Depriz工作机理
标题：Windows 10: protection, detection, and response against recent Depriz malware attacks

作者信息：December 9, 2016 By Mathieu Letourneau

//BEGIN
A few weeks ago, multiple organizations in the Middle East fell victim to targeted and destructive attacks that wiped data from computers, and in many cases rendering them unstable and unbootable. Destructive attacks like these have been observed repeatedly over the years and the Windows Defender and Windows Defender Advanced Threat Protection Threat Intelligence teams are working on protection, detection, and response to these threats.
微软公司的威胁情报小组将化学元素周期表中的元素作为发现恶意组织的代码。最新发现的一个组织被称为Tb代号：序号65 元素Tb 汉字铽 读音tè 英文全称为TERBIUM.该小组开发的恶意代码被称为Depriz,几周以前被发现针对中东的多个组织发起攻击，删除这些被感染电脑的数据，甚至重写硬盘的主引导记录MBR，然后还强制重新启动计算机，显然这将导致机器的不能正常启动、数据不能正常访问。
该组织的活动已经很多年了，看来还是很有目的很针对性的。他们并不是漫无目的的散兵游勇。

//END
Step 4: Rendering the machine unusable
Finally, the following command is used to reboot the system into the intended unusable state:
shutdown -r -f -t 2
When the computer attempts to restart after shutting down, it is unable to find the operating system because the MBR was overwritten in step 3. The machine will no longer boot properly.
执行如下命令：shutdown -r -f -t 2。由于之前的MBR已经被重写，因此机器会不能正常启动。

点评：仅仅从改写MBR这一点来看，想起来了类似CIH等传统病毒呀！

3、研究人员发现一例多合一木马攻击场景
标题：Banking trojan, Gmail webinject, SMS message and malicious APK – all in one attack scenario

作者信息： [发表时间未找到，从文中上下文看似乎应是12月份] By BadCyber

//BEGIN
As many banks use SMS 2FA for transfer authorization, malware authors are constantly looking for new opportunities to take over control of PC infection victims’ smartphones. We have identified a new attack scenario that involves both PC and mobile devices infection by leveraging trust people have in Google services.
银行为了对付恶意代码，推出了主要以短信为主的双因子（SMS 2FA）认证方式，而这招果然管用。不过恶意代码的作者一直在寻找一种既感染PC，又同时能接管用户的智能手机的一种方法。最近安全研究人员发现了一种包括了多种攻击场景与系统平台的恶意代码：传统PC平台的网银木马、Gmail的WEB注入、SMS短信劫持以及恶意APK集于一身。

//END
It looks like the security mechanisms implement by banks, in particular webinject detection, became such an obstacle to criminals that they had to invent new ways of forcing users to install mobile malware. We’re looking forward to news scenarios as we believe they will emerge soon.
为了达到跨平台的效果，恶意代码必须想各种招，以达到让客户在其手机上安装的目的。从这个分析来看，将来的攻击面会更加宽广，防御难度也会增加。

点评：流氓的武功很高呀！

4、黑客可利用新工具窃取无钥匙启动汽车
{CHN}
标题：黑客使用新工具偷走无钥匙进入汽车

作者信息：2016-12-11 23:20:06 By CnBeta

//BEGIN
随着汽车越来越依赖于电脑和操作系统，它们也越来越容易受到黑客和其他基于软件的攻击。最新的例子来自美国国家保险犯罪局（NICB），它已经发现了一个新工具，可以允许盗贼解锁配备无钥匙进入功能的汽车，启动引擎并且开走汽车。
关于这个“神秘设备”的知识还不多，但是由保险公司组成的非营利组织NICB表示，它从海外的第三方安全专家那里获得了一个。该机构表示，该设备在欧洲使用，很少在美国使用，
同时也没有警察官方报告确定该设备是汽车盗窃设备。
该设备实际上由两个组件组成。当驾驶员停放和锁定他们的车辆时，站在附近的小偷把握他们手中的部件，第一个用于放大从密钥卡发送到汽车的锁定信号。这个信号然后被传递到第二个组件，这使车辆认为它是正确的钥匙链。配备无钥匙点火的汽车不仅可以解锁，而且可以启动和驱动。

//END
在他们的非正式测试中，NICB发现35辆不同的汽车当中19辆可以解锁，其中18辆能够启动和驱动。其中容易受到黑客攻击的汽车包括2017年丰田凯美瑞，2016年雪佛兰Impala，2015年福特边缘和2013年大众捷达混合动力。
NICB认为该设备采用继电器攻击单元，这本来是汽车制造商用来测试他们车辆网络安全的工具。坏消息是，这意味着没有办法打击这样的设备。然而，好消息是，目前没有关于它在美国成功使用的报告，似乎该设备得之不易。当然，黑客还有很多其他方法用于无钥匙进入车辆系统。

点评：好像已经不是新闻了吧？？

5、普华永道SAP安全工具被发现致命缺陷
标题：Critical flaw in PricewaterhouseCoopers SAP security tool, but PwC tries downplay it

作者信息：December 12, 2016  By Pierluigi Paganini

//BEGIN
A PricewaterhouseCoopers SAP software, the Automated Controls Evaluator (ACE), is affected by a critical security flaw that could be exploited by hackers.
一种被称为ACE的自动控制程序是由PwC普华永道的SAP软件开发，最近被黑客发现了严重的安全漏洞。不过普华永道的发言人断然否认了这种说法，并2次给“发现机构”发出律师函，企图阻止这种做法以及新闻的公开。

//END
Below the Vulnerability Timeline shared by ESNC
19.08.2016 PwC contacted
22.08.2016 Meeting with PwC, informed them about the impact and the details of the vulnerability and responsible disclosure
05.09.2016 Asked PwC about updates and whether a patch is available
13.09.2016 Received a Cease & Desist letter from PwC lawyers
18.11.2016 Informed that 90 days have passed and ESNC is planning to release a security advisory; asked for any details PwC can share about this matter including risk, affected versions, how to obtain a patch
22.11.2016 Received another Cease & Desist letter from PwC lawyers
07.12.2016 Public disclosure
This is a wrong approach to cyber security.
发现组织ESNC公布了该漏洞的发现时间表：从2016年8月19日联系普华永道，一直到2016年12月7日公开漏洞之间的关键事件和时间节点。

点评：有洞没洞还不好确认？

6、NSA前局长称负面形象导致NSA人才流失
{CHN}
标题：NSA人才大量流失

作者信息：2016年12月12日 16时58分 星期一 By Solidot

//BEGIN
前NSA局长 Keith Alexander 将军称，NSA的人才大量流失到私营部门。这一现象是经济和社会因素综合的结果，其中社会上的负面新闻报道被认为影响了NSA雇员的士气。但最主要的因素可能是私营部门开出的薪水更高，Alexander 将军说，部分网络公司向精通数学的年轻人才开出了7位数的薪水，5倍于参谋长联席会议主席，NSA面临很大的竞争。Alexander 将军谴责新闻媒体传播了NSA的负面形象，导致人们相信他们一直被美国政府监视着。他说，真正让我感到困扰的是，NSA雇员拿着微薄的政府薪水在保护这个国家，却仿佛是在做错事。他们是按照国家的要求保护我们，他们是英雄。

//END

点评：还得进行爱国主义教育呀！但是千万别又拿中国说事哈。