每日安全简讯(20161224)

1、立陶宛指控俄罗斯向其政府电脑植入间谍软件
2、研究人员警告“非恶意软件”威胁呈上升趋势
3、安全团队深度分析“净广大师”流量劫持手段
4、研究人员发现NETGEAR WNR2000路由器RCE漏洞
5、黑客Kapustkiy入侵哥斯达黎加驻华大使馆网站
6、OurMine组织接管漫威、NFL等更多Twitter账户

【安天】搜集整理（来源：cnbeta、securityweek、freebuf、securityaffairs、easyaq、softpedia）

1、立陶宛指控俄罗斯向其政府电脑植入间谍软件
{CHN}
标题：立陶宛指控俄罗斯在其政府电脑当中种植间谍软件

作者信息：2016-12-23 22:17:35 By cnBeta

//BEGIN
俄罗斯再次被指控攻击外国政府使用的电脑。立陶宛说，它发现了由克里姆林宫种植在其电脑系统当中的间谍软件。在路透社的一份声明中，立陶宛网络安全中心负责人Rimtautas Cerniauskas指控2015年俄罗斯黑客首先试图用间谍软件感染立陶宛政府电脑，同时今年年内又发生了20次类似的尝试。更糟糕的是，间谍软件在被种植6个月后才被发现，这种间谍软件被用来传输文档和密码到俄罗斯间谍机构。目前还不知道是否有任何机密文件或国家机密被盗，但立陶宛官员说，一些被感染的电脑被中低职位的政府官员用于起草政府决策草案。

//END
俄罗斯总统普京的发言人德米特里·佩斯科夫谴责了这些指控，称这些指控是可笑的。他表示，这些间谍软件上有标明“俄罗斯制造”吗？他同时表示，俄罗斯政府才是间谍软件的目标。俄罗斯指责外国情报机构计划本月初对该国进行重大网络攻击，但地方官员说，所有的尝试都成功地被阻止。立陶宛网络安全中心负责人Rimtautas Cerniauskas警告说，俄罗斯正在成为网络安全领域更大的威胁，所有国家必须准备好应对与克里姆林宫政府有联系的团体发起的攻击波。

点评：立国本无名。

2、研究人员警告“非恶意软件”威胁呈上升趋势
标题：Defending Against The Rising Threat of "Non-malware" Attacks

作者信息：December 22, 2016 By Kevin Townsend

//BEGIN
Severe non-malware attacks and ransomware are the two stand-out malicious behaviors of 2016. When combined, as they have been with the PowerWare extortion, the attack can be both dangerous and difficult to detect.
一安全公司的2016年度威胁报告显示：非恶意代码（即采用正常的方式）攻击以及勒索软件是2016年威胁的突出表现形式。这使得一些攻击既危险而且难以检测。
检测这些的方法可以分为两种情况：
第一类：不能只检查文件，还应该检查进程以及运行进程之间的调用关系。一些PowerShell的命令行很长而且采用Base64等编码，这就非常可疑的。关于进程之间的 关系：如果一个Word进程调用Powershell也是很可疑的。当然传统的安全检测只是查看单个运行的程序或者进程，缺乏进程之间的互相关联的监控与分析。
第二类是查看脚本的执行情况：如果一个Powershell开始运行，应该继续监测其后续的运行情况，以确认是否正常。如果它试图在短时间内访问大量的具有一定特征的文件类型的话或者试图往外通讯或者联系的话，那么这些迹象表明很可能正在进行勒索的加密过程。

//END
But as a rule of thumb, the more the user can whitelist processes -- and Johnson and Carbon Black are big supporters of whitelisting -- the stronger will be the defense. As an example, suggested Johnson, "If it is known that the only valid use of PowerShell is a particular script from IT that runs at a set time each night to update applications across the system, then this can whitelisted and allowed, and all other uses of PowerShell will automatically be blocked." In this scenario, PowerWare wouldn't even get out of its macro.
PowerShell本身只是一个脚本工具，完全禁止也不行，这样就可以根据用户的使用场景来设置白名单的条件：比如每日的固定时间点或者时间段正常会进行升级等各种例行操作，那么就可以将此条件设置为白名单。
其他的运行一概禁止。这也是一个保证安全的手段。

//下载： 16_1214_Carbon_Black-_Threat_Report_Non-Malware_Attacks_and_Ransomware_FINAL.pdf (1.33 MB, 下载次数: 43)

2016-12-24 20:08 上传

点击文件名下载附件

文件名  ：16_1214_Carbon_Black-_Threat_Report_Non-Malware_Attacks_and_Ransomware_FINAL.pdf
文件大小：1，397，572 bytes
MD5     : 660DBA3B48BF43E0A5178FFB314EF3F0

点评：Carbon Black收购了以前的Bit9，因此白名单是其推崇的首选防护方案就不足为奇了。

3、安全团队深度分析“净广大师”流量劫持手段
{CHN}
标题：“净广大师”病毒HTTPS劫持技术深度分析

作者信息：2016-12-23 By 火绒安全

//BEGIN
一、背景
近期，火绒团队截获一个由商业软件携带的病毒，并以其载体命名为“净广大师”病毒。在目前广为流行的“流量劫持”类病毒中，该病毒策略高明、技术暴力，并攻破HTTPS的“金钟罩”，让百度等互联网厂商普遍使用的反劫持技术面临严峻挑战。且该病毒驱动在”净广大师“卸载后仍然会持续加载并劫持百度搜索流量，行为及其恶劣。
我们曾在此前报告（“净广大师”病毒攻破 HTTPS防线 劫持百度搜索流量牟利）中进行过病毒简述，本文中我们将对“净广大师”病毒进行详细分析。

//END
通过上图我们可以看出，无论是病毒的数据特征，还是病毒工程的编译路径都显示该家族的所有病毒样本与“净广大师“病毒一样，都出自同一个人。根据我们收集到样本时间来看，近段时间以来该病毒正在不断地进行迭代更新。从最早期样本运行时会产生日志，再到后来使用多个推广计费号劫持百度搜索，到最后现在版本将病毒数据和病毒动态库以加密方式存放在驱动镜像中。随着病毒的不断迭代，病毒的复杂程度正在不断提升。

点评：分析得很深呀。

4、研究人员发现NETGEAR WNR2000路由器RCE漏洞
标题：A security expert found a 0-Day flaw in NETGEAR WNR2000 Routers

作者信息：December 22, 2016  By Pierluigi Paganini

//BEGIN
An expert found flaws in NETGEAR WNR2000 routers that could be remotely exploited by an attacker to take full control of the affected device.
NETGEAR的路由器WNR2000被发现一个0day漏洞，如果被利用，则会导致远程代码执行，进而完全被控。

//END
Recently experts found NETGEAR R7000, R6400, and R8000 routers affected by a security flaw that could be exploited by hackers to gain root access on the device and remotely run code.
还有其他型号的路由器R7000, R6400以及R8000同样存在安全漏洞，黑客能远程获取这些设备的根权限，进而能运行任意代码。

点评：0day漏洞？！

5、黑客Kapustkiy入侵哥斯达黎加驻华大使馆网站
{CHN}
标题：黑客Kapustkiy入侵哥斯达黎加驻中国大使馆网站

作者信息：2016-12-23 12:15 By E安全

//BEGIN
E安全12月23日讯 知名黑客Kapustkiy继续对世界各地的大使馆网站进行攻击，而最新曝出的受害者为哥斯达黎加驻中国使馆。
17岁的Kapustkiy此次访问的数据库中包含280项用户登录凭证，不过其仅仅在线公布了其中50项以证实攻击活动确实已经成功。在攻击完成后，哥斯达黎加驻中国大使馆网站costaricaembassycn.com已经无法正常访问。

//END
有趣的是，这位黑客在发布的声明中写道：“SQL是互联网上最危险的武器。”
Kapustkiy之所以目前集中攻击大使馆，是因为亚洲的网络安全水平之低惊到他了，而大多数欧洲的大使馆都可以应对这种类型的攻击。Kapustkiy在13岁受到LulzSec黑客组织的启发，开始学习SQL和LFI这样的基础知识。他的动机是想帮助网站管理员修复他们的网站，这样他们可以将网站保护起来。未来，Kapustkiy也想从事安全行业的工作。

点评：一个黑客（一招）就可以包打天下了？....

6、OurMine组织接管漫威、NFL等更多Twitter账户
标题：Marvel, Captain America, NFL Twitter Accounts Also Hacked by OurMine
OurMine hackers breach more Twitter accounts

作者信息：Dec 22, 2016 07:04 GMT By Bogdan Popa

//BEGIN
After hacking the official Twitter account of NetFlix, OurMine managed to breach some other accounts as well, including those belonging to Marvel and the NFL.
继昨天出镜后，OurMine今天继续表演：继黑掉NetFlix后，今天又黑了另外的2个知名社交账号：Marvel和NFL等。

//END
In all their hacks, OurMine only tried to highlight the weak security systems of the impacted companies or individuals, and never tweeted links to malicious content that could compromise the computers of followers. This is exactly what happened in this case as well, so they kind of reached their purpose of making the headlines with so many hacked accounts.
从目前的现状看，这个OurMine看样子只是出于“善意”提醒账号所有者（包括企业和个人）注意安全、提高安全措施。并未像通常的恶意代码那样插入恶意URL等。尽管如此，还是占据了各大新闻版的头条。

点评：出名的目的看来已经达到了。