每日安全简讯(20170104)

1、猎豹移动发布“微信支付大盗”样本分析报告
2、黑客Gh0s7入侵泰国政府网站回应逮捕行动
3、美国特种作战司令部11G明文员工数据泄露
4、研究者将建立网站连接白帽子和潜在受害者
5、研究人员盘点2016年五大致命银行恶意软件
6、研究人员称Android产品2016年发现漏洞最多

【安天】搜集整理（来源：freebuf、securityaffairs、easyaq、darkreading、ibsintelligence、bleepingcomputer）

1、猎豹移动发布“微信支付大盗”样本分析报告
{CHN}
标题：微信支付大盗”来袭，有人被盗近万元

作者信息：2017-01-03 By 渔村安全

//BEGIN
近日，猎豹移动安全实验室捕获到一类高度危险的盗取微信支付资金类的手机病毒，多款手机ROM和APP中均捆绑了该病毒。中毒后，微信帐号随即被盗，严重威胁微信支付钱包及微信支付关联的银行卡资金安全，目前已有上千名用户中招。
据某中招用户回述：
前几个月将手机进行了刷机。12月11日，突然弹出一个提示框，显示微信未登录，登陆后就继续玩游戏没管。晚上发现手机已死机，第二天重刷后发现微信被盗。然后直接申诉找回，发现绑定的qq和手机全被解除，绑定微信的一张建设银行储蓄卡里面8330被消费完了。联系微信客服后，对方回应无法赔付。

//END
病毒传播渠道：
猎豹移动安全专家紧急提醒网民高度警惕这个专门针对微信的盗号木马，一旦中招，后果十分严重。该病毒感染后，还会申请ROOT权限，假如受害者已将手机ROOT，而后又错误地将ROOT权限分配给病毒程序，就需要通过刷机来彻底清除病毒。
猎豹移动安全实验室监测到这个仿冒微信的盗号木马会通过若干个墙纸应用、一键转移应用到SD卡、Google应用下载器、一键卸载大师等传播，在部分非官方刷机包中也有植入。
微信消息频繁的用户受害概率较低，如果你正在使用微信，你的帐户在其他设备登录时，会收到安全警告提醒。如果是web微信，会立刻被踢下线。

点评：Android手机安全建议安装AVL Pro!

2、黑客Gh0s7入侵泰国政府网站回应逮捕行动
标题：#OpSingleGateway – Gh0s7 hacked Thai Government website in response to the recent arrests

作者信息：December 31, 2016  By Pierluigi Paganini

//BEGIN
#OpSingleGateway – The hacker Gh0s7 hacked the Thailand’s National Statistical Office (http://nso.go.th) in response to the recent arrests operated by the Government.
进行报复行动的这些黑客看来属于这个活动SingleGateway的一个分支。其主要成立的目的是为了阻止泰国政府将所有的该国的互联网国际出口集中在一起，形成了一个单一的出口，显然这样做的目的是为了监控网民的上网行为，因此遭到了所谓黑客Anonymous的报复。原因是近期政府相关部门逮捕了9名青少年，他们被指控参与了针对政府网站的攻击行为。最新的政府目标网站是国家统计局。

//END
Back to the Gh0s7’s hack, the leaked archive includes usernames and hashed passwords alongside other CMS data. The hacker told me that he hacked the server and gained root access.
“My hacks are secret as usual but I exploited their server, and gained root access.” he told me.
这个黑掉国家统计局黑客声称，其拿下了该网站，同时获取了其用户名、密码（带hash）以及一些其他的内容管理系统CMS的相关数据。黑客声称已经拿到了该服务器的根权限。

点评：黑客就可以公然对抗国家，这在以前是不可想象的，网络时代这种现象成为了可能，或者常态？

3、美国特种作战司令部11G明文员工数据泄露
{CHN}
标题：美国特种作战司令部11G明文员工数据被泄

作者信息：2017-01-03 11:30 By E安全   

//BEGIN
E安全1月3日讯 据国外媒体报道，美国政府承包商泄露了美国特种作战司令部（Special Operations Command，SOCOM）医疗专业人员的姓名、地址、社保号和薪资。
泄露的数据库为11Gb，均为明文，且可公开访问，其中还包含至少2名特种部队专家（经绝密忠诚调查）的姓名和地址；以及心理学家和其它SOCOM医疗工作人员的工资标准、住处和住宅。

//END
Vickery表示，“不难想象好莱坞电影出现类似的情形，其结果会导致某人被绑架勒索。希望我是唯一获取该信息的局外人。”
泄露的数据还包括Protomac Healthcare Solutions的财务和会计信息。

点评：11G是泄露数据库的大小，但是没披露共有多少人员的信息泄露。目测这是个Big Data.

4、研究者将建立网站连接白帽子和潜在受害者
标题：White Hat Hacker Launches Public Support Site

作者信息： 1/3/2017 07:20 AM By Dark Reading Staff

//BEGIN
With 'Security Without Borders' Claudio Guarnieri aims to connect white hat hackers with potential victims.
A community platform to create cybersecurity awareness has been launched by security researcher Claudio Guarnieri, who has given it the name "Security Without Borders," Motherboard reports. Announcing this at Chaos Communication Congress hacking festival in Hamburg on December 28, Guarnieri says the website’s goal is to allow white hat hackers to help targets and potential victims.
一个安全专家发起了一个行动“安全无国界Security Without Borders” ,其宗旨是将白帽子和潜在的受害者联系起来，在他建立的这个安全无国界的平台上提出需求、解决问题，当然可以是匿名形式的，也可以是公开身份的形式。
需求方只需要登录该网站，点击“我要寻求帮助”按钮，在填写完基本情况的表格后，后台支撑的20-30名各路专家会从后台系统看到用户的这个需求。这些专家来自各行各业，有的还是有正式职业的高级工程师，当然他们可以以匿名的形式给这些受害者提供帮助。

//END
“The idea is to create an external network of people that don't necessarily want to abandon their career path in infosec, but they might be willing to volunteer some time, maybe help out anonymously, maybe not,” Guarnieri says.
举办这个安全无国界的缘起是想将一些有能力为社会提供服务的人组织起来，同时他们也不用放弃目前已经有的本职工作。只要他们愿意就可以为有需求的人提供帮助。

点评：这个“安全无国界Security Without Borders”模式似乎类似暂时关闭的Wooyun？

5、研究人员盘点2016年五大致命银行恶意软件
标题：5 deadliest banking malware found in 2016

作者信息：Dec 31 2016 By IBSintelligence

//BEGIN
We increased our coverage on security and malware this year and 2016 saw quite a few deadly strains appearing across the globe. Here are 5 of the most dastardly.
1. Ripper rips out $350,000
A sophisticated malware attack in Thailand left its Government Savings Bank scrambling to recover. The virus was uploaded to the VirusTotal database from an IP address in Thailand in the same week as a heist that got away with $350,000. Able to disable and control ATMs, Ripper caused havoc before the bank got back control
Read the full story here: https://ibsintelligence.com/ibs- ... d-350000-atm-heist/
排在第一位的是一个名叫Ripper的网银大盗木马。它成功的从泰国官方的储蓄银行盗取了35万美金。该木马采用了复杂的技术手段以及诡秘的传播渠道。严重值得怀疑的是就在被盗的当周，VirusTotal上出现了一个IP源自泰国的疑似样本上报。而这个样本后来被证实就是Ripper!

//END
5. Google Chrome-a-like steals banking info
This malware hoovered up banking information, call logs, SMS data and browser history before sending it on to a remote server for storage. It hid in multiple domains similar to Google update paths.
Read the full story here: https://ibsintelligence.com/ibs- ... from-android-users/
Chome浏览器的网银木马：该木马隐藏在很多与Google升级相关的路径中。能盗取网银信息、通话记录、短信数据、浏览历史等等。

点评：致命倒还不至于，但是很多人可能会因此把工作或者饭碗丢了，这应该是真的。

6、研究人员称Android产品2016年发现漏洞最多
标题：Android Was 2016's Most Vulnerable Product

作者信息：January 2, 2017 07:15 AM By Catalin Cimpanu

//BEGIN
With 2016 officially over, we can crown Android as 2016's product with most vulnerabilities, and Oracle as the vendor with the most security bugs.
This statistic is based on the number of vulnerabilities reported by security researchers in the past year, bugs which have received a CVE identifier.
2016年已经离我们而去，在过去一年中，Android平台被发现是漏洞最多的（一共523个，第二名Debian Linux 319个；第三名Ubuntu Linux 278个），不再是Windows等。
而在软件开发商方面，数据库Oracle被发现的bug数最多。这个统计来源与公开的信息披露统计。


//END
When it comes to software vendors, the company for which the largest number of new CVE numbers have been assigned was Oracle, with a whopping 798 CVEs.
Most of these security bugs have been reported in Oracle products such as MySQL, Solaris, and its custom Linux OS version.
Second to Oracle was Google, with 698 security bugs, with the most being reported in products such as Android and Chrome. Third was Adobe with 548 bugs, with the vast majority of bugs reported in Flash Player and different Reader/Acrobat variants.
The rest of the top 10 is made up of Microsoft (492 bugs), Novell (394), IBM (382 bugs), Cisco (353 bugs), Apple (324 bugs), Debian Project (320 bugs), and Canonical (280 bugs).
另外在软件开发商方面，Oracle公司的漏洞最多，数量高达798个，这些漏洞分布在其不同的数据库产品之中，包括了MySQL,Solaris以及其定制的Linux系统等。
排在Oracle后面的是Google，数量是698个，这些漏洞分布在Android以及Chrome浏览器中。
第三到第十名是依次是Adobe，Microsoft,Novell,IBM,Cisco,Apple,Debian以及Canonical等。

点评：Android平台安全推荐AVL Pro!