每日安全简讯(20161226)

1、勒索软件Cerber变种调整文件加密策略
2、美政府要求入境游客提供社交媒体账号
3、思科警告用户CCO系统存在严重提权漏洞
4、黑客Kapustkiy入侵俄罗斯驻美签证中心
5、黑客入侵香港英文报纸网站并泄露数据
6、工信部新规：手机预装软件必须可卸载

【安天】搜集整理（来源：virusguides、solidot、securityweek、securityaffairs、securityaffairs、163）

1、勒索软件Cerber变种调整文件加密策略
标题：Cerber Ransomware`s Latest Versions Got Upgraded

作者信息：December 23, 2016 By Simona Atanasova

//BEGIN
Microsoft Malware Protection Center and Heimdal Security reported that the latest versions of the notorious Cerber ransomware have received an upgrade as they are now operating in a slightly different way.
臭名昭著的勒索软件Cerber最近出现了一些变种，对其自身的运行策略做了“微调”：
首先：不再删除系统卷影备份服务（Shadow volume）器中的文件，这个微小的变化使得服务器上的自动备份策略将有效对抗该勒索软件的侵害。
其次：故意使一部分加密的文件，能采用一些特殊的文件恢复工具恢复。对一些需要加密的文件进行优先级排序，不是无差别加密所有的文件。比如不再加密exe等可执行文件，而增加了另外50种可能对用户有用的数据文件格式，使得文件格式总数达到493种。
最后：对加密完成后的显示给用户的界面做了些许调整，而且节假日看来这个勒索软件也没有歇息的迹象，反而是更加变本加厉：通过垃圾邮件（其中附件为加密的doc格式文件）传播。

//END
The security companies will continue to keep a close eye on Cerber`s evolution which may lead to founding out its creators, its coding style, which, on the other hand, may speed the process of creating a decryption tool.
为了加速开发能自动解密这个勒索软件的进程，安全公司正密切关注该勒索软件的作者的一些细微动作：包括其编程风格、历史信息等，试图找出元凶。

点评：对付勒索软件，建议采用备份备份再备份的3B原则：Backup、Backup、Backup（Beifen、Beifen、Beifen）。

2、美政府要求入境游客提供社交媒体账号
{CHN}
标题：美国政府开始要求外国游客选填社交媒体账号

作者信息：2016年12月25日 17时32分 星期日 By pigsrollaroundinthem

//BEGIN
今年夏天，美国海关和边境保护署向行政管理和预算局递交请求，允许在外国旅客入境时收集他们的社交媒体帐户。它希望在旅游许可电子系统和非移民免签到达/离开登记表Form I-94W中加入要求旅客输入在线平台身份信息的选项栏。这一要求是出于审核目的，可作为联络人信息使用，以及帮助发现可能的恶意活动。收集社交媒体账号的提议当时引发了争议，批评者认为会给游客带来隐私和安全风险，会威胁到言论的自由表达。尽管如此，本周美国的旅游许可电子系统正式加入了选填社交媒体账号的选项，列出了Facebook、Google +、Instagram、LinkedIn 和 YouTube 等社交平台，用户可以输入这些平台上的用户名。新政策旨在加强美国发现和拒绝与伊斯兰国恐怖组织相关联的人入境的能力。

//END


点评：很快各国的对等策略会陆续推出？

3、思科警告用户CCO系统存在严重提权漏洞
标题：Cisco CloudCenter Orchestrator Flaw Exploited in Attacks

作者信息：December 22, 2016 By Eduard Kovacs

//BEGIN
Cisco has warned customers about a critical privilege escalation vulnerability that has been exploited against Cisco CloudCenter Orchestrator (CCO) systems.
CCO是CloudCenter Orchestrator的简称，是思科的一个云管理服务平台，该平台存在一个严重的漏洞，成功利用能导致攻击者权限的提升。CCO平台的管理端提供接口给其用户以及管理员，而CCO平台能自动进行应用程序的部署和基础构架以及组态的提供。该平台是今年的早些时候CISCO并购而来的。
黑客利用的漏洞是CVE-2016-9223，利用成功后会远程安装一个恶意的Docker 容器Container.
采用命令行netstat -ant | grep 2375 能查看TCP端口2375是否开放以及是否绑定0.0.0.0到本地机器的IP地址。如果是的话，那么系统中安装的CCO系统平台就存在该漏洞被利用的风险。
思科的CERT部门已经发现了该漏洞有被利用的报告。
升级到4.6.2的最新版CCO可以预防该漏洞被利用。另外用户必须严格将Docker Engine 的端口绑定到本地127.0.0.1而不能是0.0.0.0.

//END
While a majority of the severe vulnerabilities found in Cisco products have apparently not been exploited in attacks, exploits targeting the networking giant’s software can be highly useful to threat actors. The company recently learned that the NSA-linked actor known as the Equation Group had several exploits targeting its products, including ones relying on previously unknown vulnerabilities.
针对CISCO的硬件产品的漏洞已经报告了很多，但是实际上被真正恶意利用的还是少数。但是软件系统就可能完全不同了，因此CCO平台的漏洞（能获取Root权限）就吸引了众多黑客的目光。前段时间曝光的NSA也曾经利用了一些CISCO的未曾披露的0day漏洞。

点评：补快！

4、黑客Kapustkiy入侵俄罗斯驻美签证中心
标题：Merry Xmas, @Kapustkiy hacked Russian Visa center in USA

作者信息：December 25, 2016  By Pierluigi Paganini

//BEGIN
The notorious white hat hacker Kapustkiy hacked the Russian Visa Center in the USA and accessed information of around 3000 individuals.
一度声名鹊起的白帽子黑客Kapustkiy又有新动作了：通过SQL注入的方式入侵了俄罗斯驻美签证处，还拿到了3000个申请人的个人详细信息：姓名、电子邮件地址、电话号码、出生日期以及一些其他信息；另外该数据库中还包含有其工作人员的一些信息：全名、用户名、加密的密码、权限以及其他相关信息。当然这个Kapustkiy并没有完全公开这些信息，只是为了证明而发了部分截图。Kapustkiy将情况反馈给了签证处，但是未见答复；另外还将此情报报告给了USCERT。

//END
Recently Kapustkiy targeted several organizations, including the Consular Department of the Embassy of the Russian Federation, the Argentinian Ministry of Industry, the National Assembly of Ecuador, the Venezuela Army, the High Commission of Ghana & Fiji in India, the India Regional Council as well as organizations and embassies across the world.
He also broke into the ‘Dipartimento dellaFunzione Pubblica’ Office of the Italian Government, the Paraguay Embassy of Taiwan (www.embapartwroc.com.tw), and the Indian Embassies in Switzerland, Mali, Romania, Italy, Malawi, and Libya.
最近的Kapustkiy实在是很忙活，多国或者地区的当局网站被其拿下：俄罗斯联邦、阿根廷、厄瓜多尔、委内瑞拉、印度及其驻多国使馆、意大利、台湾省等等网站。

点评：这个Kapustkiy是白帽子？不知道下一站是哪里？

5、黑客入侵香港英文报纸网站并泄露数据
标题：Hackers breached the “The Standard Hong Kong” newspaper

作者信息：December 24, 2016  By Pierluigi Paganini

//BEGIN
The hacker @Cryptolulz666 and his colleague @EvoIsGod have broken into the website of the Hong Kong English newspaper “The Standard Hong Kong” (www.thestandard.com.hk)
The hackers breached the database of the website and uploaded data to Pastebin.
I reached the hackers who confirmed to have hacked the website by exploiting a SQL Injection flaw in their CMS.
通常一度声名鹊起的白帽子黑客Cryptolulz最近黑掉了位于中国香港的一家英文报纸的官方网站:The Standard Hong Kong.利用的漏洞是该网站的内容管理系统CMS存在的SQL注入漏洞。为了证明成功攻破，该黑客上传了其获取的12000名客户信息中的部分，并传到了共享网站。这些信息包括该网站的用户以及其自身职员的一些个人隐私信息。
当被问到为什么这么做时，该黑客表示只是为了提醒这些网站的所有者加强网络安全防护，提高防范意识，并强调其没有恶意行动，更不会将获得的这些所有人信息全部公开。

//END
Cryptolulz ( @Cryptolulz666) is a former member of the Powerful Greek Army, who hacked several government websites, including the one of the Russian embassy of Armenia (www.embassyru.am).
He also launched DDoS attacks against the website http://italiastartupvisa.mise.gov.it/ belonging to the Italian Government and the website of the Russian Federal Drug Control Service liquidation commission.
最近的Cryptolulz也实在是很忙活，多国或者地区的当局网站被其拿下：俄罗斯驻亚美尼亚使馆、意大利政府、俄罗斯联邦药物控制清算中心等等网站。

点评：这个Cryptolulz是白帽子？不知道下一站是哪里？

6、工信部新规：手机预装软件必须可卸载
{CHN}
标题：工信部新规:明年7月起手机预装软件必须可卸载

作者信息：2016-12-25 01:44:16　By 新京报

//BEGIN
新京报讯 昨日，工业和信息化部在其官网发布《移动智能终端应用软件预置和分发管理暂行规定》（下称《规定》），《规定》明确，生产企业和互联网信息服务提供者应确保除基本功能软件外的移动智能终端应用软件可卸载。规定自明年7月1日起实施。
工信部近日印发的《规定》全文一共14条，《规定》要求，生产企业和互联网信息服务提供者应依法依规提供移动智能终端应用软件，采取有效措施，维护网络安全，切实保护用户合法权益。

//END
《规定》还明确了处罚机制，违反本规定的，通信主管部门依据职权责令改正，依法进行处罚，并将生产企业、互联网信息服务提供者违反本规定受到行政处罚的情况记入信誉档案，向社会公布。对涉嫌违法犯罪的应用软件线索，各单位应及时报告公安机关。
据悉，该《规定》自2017年7月1日起实施。

点评：晚网安法后一个月实施，怎么不同一天？