每日安全简讯(20170102)

1、安全厂商发布Darkleech组织行动报告
2、美国公布灰色草原网络攻击报告摘要
3、学者称黑客是美俄非军事化战争起点
4、研究者称去年网页加密流量显著增加
5、Firefox借鉴Tor引入防指纹跟踪功能
6、媒体回顾2016年最严重黑客入侵事件

【安天】搜集整理（来源：paloaltonetworks、easyaq、youth、slashdot、solidot、wired）

1、安全厂商发布Darkleech组织行动报告
标题：Campaign Evolution: pseudo-Darkleech in 2016

作者信息：December 30, 2016 at 5:00 AM By Brad Duncan

//BEGIN
Darkleech is long-running campaign that uses exploit kits (EKs) to deliver malware. First identified in 2012, this campaign has used different EKs to distribute various types of malware during the past few years. We reviewed the most recent iteration of this campaign in March 2016 after it had settled into a pattern of distributing ransomware. Now dubbed “pseudo-Darkleech,” this campaign has undergone significant changes since the last time we examined it. Our blog post today focuses on the evolution of pseudo-Darkleech traffic since March 2016.
漏洞利用EK是一种重要的传递恶意代码的方法。不同的漏洞利用方法被赋予不同的行动代码，比如这里讲的代号为Darkleech(黑色水蛭)的漏洞利用行动。它持续了至少5年左右的时间。在这几年的时间里，采用了不同的漏洞利用方法，传送了不同的恶意代码。这里的恶意代码主要指的是不同的勒索软件。
2016年一年的时间里，与Darkleech(黑色水蛭)或变种相关的恶意活动列表如下：
2016年1月份，漏洞利用EK采用的是Angler，传递的勒索软件是CrytoWall。
2016年2月份，漏洞利用EK采用的依然是Angler，但传递的勒索软件变化为TesleCrypt。
2016年4月份，漏洞利用EK采用的依然是Angler，但传递的勒索软件变化却再次变化为CryptXXX。
2016年6月份，漏洞利用EK改变为Neutrino，传递的勒索软件依旧是CryptXXX。
2016年8月份，漏洞利用EK依然为Neutrino，但传递的勒索软件变化为CryMIC。
2016年9月份，漏洞利用EK变化为Rig EK，传递的勒索软件依然为CryMIC。
2016年10月份，漏洞利用EK依然为Rig EK，但是传递的勒索软件变化为Cerber。
从这一年来的情况来看，恶意攻击者不断变换其攻击姿势，以图达到其恶意目的：勒索！

//END
Conclusion
With the recent rise of ransomware, we continue to see different vectors used in both targeted attacks and wide-scale distribution. EKs are one of many attack vectors for ransomware. The pseudo-Darkleech campaign has been a prominent distributer of ransomware through EKs, and we predict this trend will continue into 2017.
Domains, IP addresses, and other indicators associated with this campaign are constantly changing. Customers of Palo Alto Networks are protected from the pseudo-Darkleech campaign through our next-generation security platform, including Traps, our advanced endpoint solution that prevent EKs from compromising a system. We will continue to investigate this campaign, inform the community of our results, and further enhance our threat prevention.
不管是定向攻击还是广撒网式的攻击，勒索软件的编制者不断变换其攻击策略和方式。这其中漏洞利用EK是一个最重要的方式。这些在2016年中变现得比较明显，可以预测的是2017年这个趋势将会持续。安全研究者将密切关注其一举一动，以保护用户的安全和利益。


点评：对付勒索软件，建议采用备份备份再备份的3B原则：Backup、Backup、Backup（Beifen、Beifen、Beifen）。

2、美国公布灰色草原网络攻击报告摘要
{CHN}
标题：美国DHS公布俄罗斯“灰色草原（Grizzly Steppe）”网络攻击活动报告摘要

作者信息：2017-01-01 11:30 By E安全

//BEGIN
E安全2017年1月1日讯  本周四，美国总统奥巴马签署了一项总统行政令，决定驱逐总计35名俄罗斯外交官，并授权对俄罗斯政府的多个民事与军事情报机构进行新一轮经济制裁。12月30日中午起，美国禁止俄罗斯外交官进入领事馆。美国关闭俄罗斯驻马里兰和纽约的领事馆，其原因是这些领事馆似乎从事情报工作。奥巴马将驱逐的俄罗斯外交官称作“间谍”。此举是为了回应俄罗斯方面对本轮美国总统选举的干涉。

//END
JAR报告中囊括了俄罗斯情报部门用于在各已入侵设备间执行命令与控制活动、发送鱼叉式钓鱼邮件以及窃取凭证所使用的全球各计算机、服务器与其它设备之相关信息。此份JAR报告对各台设备的互联网协议（简称IP）地址进行披露，这组数字作为每台计算设备的“地址”存在并被用于实现各计算机间的数据传输。由于俄罗斯情报部门目前正利用他人网络实施恶意行动以隐藏其真实身份，因此此次披露的计算机IP地址通常来自合法托管网站或者其它互联网服务。其中一部分基础设施已经被网络安全社区发现并关注。而其它基础设施相关信息则刚刚被美国政府完成解密。图三所示的地图显示了新近解密的各IP地址所在的60个国家。本份JAR文件还包含俄罗斯情报部门通常如何实施恶意活动的相关信息。这部分信息能够帮助网络防御方了解对手的运作方式，从而进一步识别新型攻击活动或者破坏俄罗斯方面正在执行的现有入侵行为。

点评：与[20161231.3]中提到的报告相同。

3、学者称黑客是美俄非军事化战争起点
{CHN}
标题：美学者：美俄已非军事化开战 黑客只是第一步

作者信息：2017-01-01 08:40:00 By 澎湃新闻

//BEGIN
新战争形态，更具体地说，“非对称战争”在刚刚过去的2016年无疑是西方防务界热议的话题。最近，随着美国大选结束，美俄两国围绕网络黑客攻击而不断展开指责，对于新战争形态的反思不断深入展开。今起，澎湃防务栏目推出“新战争论”系列文章，对这一话题展开持续关注。本系列以新美国安全中心副研究员Alexander Velez-Green的“美俄已经开战”论调作为开篇，旨在展现本主题的紧迫性和现实性，以及美国安全分析人员的分析方法和视角。不过，作者默认对美国大选的网络攻击是俄罗斯所为，但实际上俄罗斯官方并未承认美国的这一指控，美国也尚未公开直接的决定性证据。文中作者观点不代表澎湃新闻立场。美国同俄罗斯已经开战了。这场战争不同于以往的冲突，它主要采用非军事化的方式在进行。但需要注意的是，它并没有因手段的改变而减少对美国战略利益的损害。俄罗斯正以一种规避美国对战争的传统认知的方式对美国发起进攻，并借此削弱美国，分裂北约，以填补美国留下的战略空白。美国当选总统特朗普的就职典礼或许会给这一对抗降温，但是这取决于华盛顿能否适应莫斯科独特的战争方式。

//END
对此，美国应多面下注，采取多种方式阻止俄罗斯对西方社会腹心之地的攻击。美国的政策制定者必须充分认识俄罗斯的赌局，它包括削弱美国、分裂北约、掌控其周边地带等意图。美国还需要认识到非军事化武器的破坏性潜力，它们在莫斯科不断发展的战争概念中的重要地位，以及它们被用来侵蚀自由秩序的使用方式。在未来，对俄罗斯冒进行为的慑止最终取决于美国战略家对俄罗斯新型战争方式的适应能力。

点评：战争从现实走向虚拟，又会从虚拟继续映射现实！

4、研究者称去年网页加密流量显著增加
标题：2016 Saw A Massive Increase In Encrypted Web Traffic

作者信息：Sunday January 01, 2017 By David

//BEGIN
EFF's "Deeplinks" blog has published nearly two dozen "2016 in Review" posts over the last nine days, one of which applauds 2016 as "a great year for adoption of HTTPS encryption for secure connections to websites." An anonymous reader writes:
In 2016 most pages viewed on the web were encrypted. And over 21 million web sites obtained security certificates -- often for the first time -- through Let's Encrypt. But "a sizeable part of the growth in HTTPS came from very large hosting providers that decided to make HTTPS a default for sites that they host, including OVH, Wordpress.com, Shopify, Tumblr, Squarespace, and many others," EFF writes. Other factors included the support of Transport Layer Security (TLS) 1.3 by Firefox, Chrome, and Opera.
EFF发布了2016年的全面回顾总结，一共分了23分类，这些报告是在近10天内发布的。其中之一是关于互联网上的网络采用HTTPS协议，而不是向以前传统的HTTP。并且其比例呈现大幅增长的趋势。增加的网站总数大约有2100万个，这些网站大多首次采用HTTPS。原因是很大一部分的网站提供服务商（包括OVH, Wordpress.com, Shopify, Tumblr, Squarespace等）将
HTTPS作为默认设置导致的。

//END
Other "2016 in Review" posts from EFF include Protecting Net Neutrality and the Open Internet and DRM vs. Civil Liberties. Click through for a complete list of all EFF "2016 in Review" posts.
其他的回顾主题包括数字版权、公民自由等等。以下是完整的列表(来源https://www.eff.org/，注意是HTTPS)：
Chipping Away at National Security Letters: 2016 in Review
Everybody Wants To Rule The World (Wide Web): 2016 in Review
Fighting for Fair Use and Safer Harbors: 2016 in Review
Secure Messaging Takes Some Steps Forward, Some Steps Back: 2016 In Review
Most Young Gig Economy Companies Way Behind On Protecting User Data: 2016 In Review
Dark Skies for International Copyright: 2016 in Review
Congress Gives FOIA a Modest but Important Update For Its 50th Birthday: 2016 in Review
Our Fight to Rein In the CFAA: 2016 in Review
The Patent Troll Abides: 2016 in Review
DRM vs. Civil Liberties: 2016 in Review
The Fight to Rein in NSA Surveillance: 2016 in Review
The Year in Government Hacking: 2016 in Review
What Happened to Unlocking the Box? 2016 in Review
Top 5 Threats to Transparency: 2016 in Review
Technical Developments in Cryptography: 2016 in Review
This Year in U.S. Copyright Policy: 2016 in Review
Open Access Rewards Passionate Curiosity: 2016 in Review
Censorship on Social Media: 2016 in Review
Defending Student Data from Classrooms to the Cloud: 2016 in Review
Protecting Net Neutrality and the Open Internet: 2016 in Review
U.S. Trade Representative Gets Piracy Website Listing Notoriously Wrong
HTTPS Deployment Growing by Leaps and Bounds: 2016 in Review
Defending the Digital Future: 2016 in Review

备注：本研究是EFF（电子前沿基金会）的研究成果。EFF是Electronic Frontier Foundation (Defending your rights in the digital world)，声称其宗旨是保护网络空间时代的个人权利。岁末年初发布了23项研究成果，对2016年进行了系统回顾。

点评：有空再逐一读读。

5、Firefox借鉴Tor引入防指纹跟踪功能
{CHN}
标题：Firefox 52借鉴Tor浏览器引入防指纹跟踪功能

作者信息： 2017年01月01日 13时57分 星期日 By pigsrollaroundinthem

//BEGIN
Firefox 52将引入新的隐私保护功能，防止网站利用系统字体作为指纹跟踪用户。该隐私保护功能借鉴自Tor浏览器，基于Firefox ESR版的Tor浏览器利用类似的机制阻止网站利用设备上安装的字体识别用户。Firefox 52的beta版本已经激活了该功能，正式版预计将在3月释出。Firefox 52将利用白名单响应网站对系统字体的查询，每个操作系统将返回相同的默认字体列表，使得字体指纹跟踪对Firefox用户不再有意义。Mozilla在去年7月启动了Tor Uplift 项目，利用Tor浏览器的隐私保护机制改进Firefox的隐私保护功能。

//END


点评：不知IE和Chrome的情况如何？

6、媒体回顾2016年最严重黑客入侵事件
标题：The Year’s Biggest Hacks, From Yahoo To the DNC

作者信息：12.31.16 7:00 AM By Wired

//BEGIN
IN MANY WAYS, forces were already in motion to make 2016 the biggest year of corporate and government hacks yet. Company breaches have been on the rise for a decade, and an election year always invites drama. The reality of what hackers—both state-sponsored and independent—delivered in 2016, though, still managed to exceed expectations.
已经进入了2017年，有专业杂志对2016年全年黑客入侵事件导致的数据泄露进行了回顾和总结。
虽然这些黑客事件并不能确认一定发生在2016年度内，但是他们都是在2016年才披露，并为世人所知。
数据泄露的增长趋势持续了近10年，而且每逢大选年（特别是美国的）总会发生一些令人意想不到的事情，具体到网络安全安全领域就是网站被黑、数据泄露等等。在2016年里，国家背景的黑客攻击或者个体户单干等等都纷纷登场，虽然有所预期，但是其结果还是超出了很多人的预期。单从企业侧的数据泄露来说，有好几起数据泄露规模超过了5亿条，另外还有一例是10亿条数据的。另外从政治或者国家层面来讲，以美国为首的西方媒体直接将2016年美国大选的幕后黑手直接指向俄罗斯，并正在演变为严重的外交事件。虽然俄罗斯坚称这些都是无稽之谈。



//END
Dropbox
Another old hack with new repercussions. In 2012, intruders compromised Dropbox and obtained credentials—including email addresses and their associated salted and hashed passwords—of over 68 million accounts. The good news is the passwords all had a layer of protection, and Dropbox automatically made users reset theirs. The bad news? That’s a lot of years in the open, and a lot of users exposed during that intervening time.
其实2012年就已经泄露了Dropbox的数据库，但是直到2016年下半年才被曝光。在这将近4年的时间里，很多无辜的用户的数据被偷偷的下载、分享和利用。被曝光后Dropbox自动设置用户登录必须重新设置密码，算是亡羊补牢吧。

备注：[20161006.5]有相关的报道，同时该数据库被公开（虽然有加密的）。

点评：不同的媒体的总结可能结果不同，但是数据泄露的严重性已经到了非常严重的地步，这个恐怕没有异议。