每日安全简讯(20161218)

1、安卓银行木马Tordow具备root设备能力
2、BlackEnergy黑客组织攻击乌克兰银行
3、研究者发现Facebook聊天记录窃取漏洞
4、Nagios监控程序核心代码被发现RCE漏洞
5、分析表明WordPress官方插件两成有缺陷
6、Cryptolulz欲向政府网站发动DDoS攻击

【安天】搜集整理（来源：softpedia、easyaq、360、threatpost、securityaffairs、securityaffairs）

1、安卓银行木马Tordow具备root设备能力
标题：Android Phones Under Attack As New Malware Can Root Devices, Steal Passwords
Comodo warns of new version of Tordow Android malware

作者信息：Dec 16, 2016 08:55 GMT  By Bogdan Popa

//BEGIN
Devices running Android are being targeted by a new version of the Tordow malware, which was originally discovered earlier this year and attempts to obtain root privileges to perform a series of actions, such as stealing passwords.
安全公司发现一个Android木马的Tordow最新变种2.0：当前主要是感染俄罗斯的用户，当然只要愿意，它可以感染任何其他的地区的“用户”。
由于其具备Root功能，因此能干的事情其实很多：
拨打电话；读取短信；下载并安装程序；盗取登录验证码；访问用户的通讯录；加密文件；访问指定网页；访问用户的银行登录数据；卸载安全软件；重启手机；给文件改名甚至可以装扮成勒索软件的样子。
尽管如此，当下该木马的主要功能还是作为网银木马的面目示人。
感染该木马其实必须有用户的直接参与并允许才能进行：通常是通过在一些不正规的第三方所谓APP商店中被感染。经过监测发现：热门游戏Pokemon Go、社交工具Telegram,以及日常应用Subway Surfers等都被植入了该木马。用户应该特别小心。
这些大多是通过APK文件的形式来传播和感染的，因此用户在进行社交活动或者访问不知名网站时要特别注意：谨记从正规的APP应用商店下载各种流行应用。

//END
How it works
Once installed with a malicious app, the Trojan attempts to gain root privileges and then connect to a command-and-control center to wait for more commands.
Afterward, attackers can do anything they want, but for the moment, it appears that bank accounts are primarily targeted, as cybercriminals want financial information from Russian users.
Removing Tordow from an infected device is particularly difficult since it gets root access, so flashing a new firmware might be the best way to do it, as
deleting the source app that led to the infection does virtually nothing.
由于该APP具备Root功能，因此一旦感染清除是非常困难的，除非重新刷机。即使删除感染的源头APP也无济于事。

点评：Android下的安全推荐AVL Pro！

2、BlackEnergy黑客组织攻击乌克兰银行
{CHN}}
标题：去年攻击乌克兰电网的黑客组织变身TeleBots攻击乌克兰银行

作者信息：2016-12-16 11:45 By E安全

//BEGIN
E安全12月16日讯 一年前， BlackEnergy黑客组织对乌克兰电网发起网络攻击，而这次BlackEnergy变身为“TeleBots”组织攻击乌克兰银行。

//END
“宏的主要目的是利用explorer.exe文件名释放恶意二进制，之后执行二进制。释放的二进制属于木马下载器家族，旨在下载并执行另一恶意软件。这个目标下载器用Rust程序语言编写。”
TeleBots黑客能完全劫持设备并在目标网络加以扩散。专家注意到，该组织还能在目标设备上植入KillDisk恶意软件，使目标设备显示FSociety Mr Robot（《黑客军团》地下黑客组织FSociety）为主题的标识之前无法启动。
专家肯定，TeleBots威胁攻击者旨在实施网络破坏攻击。很显然，俄罗斯是头号嫌疑。
http://www.welivesecurity.com/20 ... e-killdisk-attacks/

点评：鱼叉式邮件攻击是其源头，谨记不要点击不明URL或者打开来路不明的各种邮件附件：xls文件、doc文件、pdf等等。

3、研究者发现Facebook聊天记录窃取漏洞
{CHN}
标题：【国际资讯】Facebook聊天记录窃取漏洞，影响十亿Messenger用户(含视频)

作者信息：2016-12-16 11:18:57 By pwn_361

//BEGIN
在这篇文章中，我们详细讲述一个在Facebook 上发现的服务器安全漏洞，这个漏洞可能会影响数百万CORS(跨域资源共享)中Origin头允许“NULL”值的网站，该漏洞会威胁用户的隐私，恶意实体可以不受限的访问网站。被称为“Originull”的攻击方法，允许黑客访问和浏览到所有经过Facebook Messenger发送的私人聊天记录、照片、和其他附加信息。这个安全问题是由Ysrael Gurt研究团队发现的，目前已经通知了Facebook。

//END
通过Facebook的漏洞奖励计划，这个漏洞已经报告给了Facebook，他们反应很快，几天前已经对这个漏洞进行了修补。

点评：漏洞总是很多！

4、Nagios监控程序核心代码被发现RCE漏洞
标题：NAGIOS CORE PATCHES ROOT, RCE VULNERABILITIES

作者信息：December 16, 2016 11:00 am by Michael Mimoso

//BEGIN
Nagios Core has been updated to take care of two critical vulnerabilities that can be pinned together to attack servers hosting the open source IT infrastructure monitoring software.
Nagios Core的最新版为：4.2.4，其之前的版本均存在漏洞。
其中最近发现的是两个严重的安全漏洞，编号为：CVE-2016-9565 和 CVE-2016-9566.
成功利用这2个漏洞，可以获取Root权限，并能进行RCE远程代码执行。


//END
“Attackers with access to ‘nagios’ group could however bypass the lack of write privilege by writing to Nagios external command pipe (nagios.cmd) which is writable by ‘nagios’ group by default,” Golunski said. Access to the command pipe allows the attacker to bypass a lack of write permission to inject data to the log file, Golunski said, and escalate privileges to root.
默认情况下nagios组的成员具有写入nagios.cmd文件的功能，该文件是一个Nagios的外部命令管道pipe.通过这个就可以将数据注入到log文件，进而提权。

点评：成双成对的漏洞。

5、分析表明WordPress官方插件两成有缺陷
标题：More than 8,800 WordPress Plugins out of 44,705 are flawed

作者信息：December 16, 2016  By Pierluigi Paganini

//BEGIN
Security firm RIPS Technologies has analyzed 44,705 in the official WordPress plugins directory and discovered that more than 8,800 of them are flawed.
WordPress的4万多个插件中的8800个插件存在缺陷。其中的14000个插件由2-5个文件组成，10500个插件内容大于500行，这些大约500行的插件被称为“大的插件“。
统计来看：严重的漏洞有41个，高风险的则有2799个。


//END
69 attacks targeted the Revolution Slider plugin, 46 against Beauty & Clean Theme, 41 against MiwoFTP and 33 against Simple Backup.
All the attacks observed by RIPS involved easy-to-exploit and well-known flaws.
安全公司的蜜罐显示这些漏洞有被利用的迹象，针对的对象分别是：the Revolution Slider插件、Beauty & Clean Theme插件、MiwoFTP以及Simple Backup插件等4种，数量分别是69起、46起、41起和33起。

点评：家族群体性的漏洞群。

6、Cryptolulz欲向政府网站发动DDoS攻击
标题：Cryptolulz666 continues targeting Government websites with DDoS

作者信息：December 16, 2016  By Pierluigi Paganini

//BEGIN
Cryptolulz666 is back targeting government websites to demonstrate that it is very simple for hackers to bring down them with DDoS attacks.
与Kapustkiy有点类似的黑客Cryptolulz专门为了“提高政府部门”的安全意识，而采用DDoS攻击的方法来对付各级政府网站。而且都很容易的就能拿下。

//END
I did it to create awareness among the authorities and users of the website.
He confirmed me that he will target other government websites in next attacks, always for the same reason.
“you see the government don’t care about security so we gonna exploit it hard.”  added Cryptolulz666
到目前为止，政府部门好像都不以为然，因此黑客们还准备加把劲，继续搞。

点评：据说政府网站的安全防护措施以及技术应对水平相对比较低，属于“软柿子”系列？