每日安全简讯(20170106)

1、恶意软件自动创建电邮草稿可致Mac系统崩溃
2、勒索软件活动针对HR部门企业威胁持续上升
3、黑客攻击MongoDB数据库窃取内容并索要赎金
4、Oracle酒店管理平台RCE漏洞致持卡人数据泄漏
5、FBI网站遭黑客CyberZeist入侵造成数据泄露
6、研究人员称智能电表漏洞可造成网络攻击风险

【安天】搜集整理（来源：softpedia、securityweek、securityaffairs、freebuf、securityaffairs、securityweek）

1、恶意软件自动创建电邮草稿可致Mac系统崩溃
标题：DoS Attack Can Crash a Mac Using Malware Spreading via Email
macOS 10.12.2 already protected against this wave of attacks

作者信息：Jan 4, 2017 18:58 GMT By Bogdan Popa

//BEGIN
Cybercriminals are once again targeting Apple customers, this time using malware that can easily crash Macs by creating draft emails over and over again until the device freezes due to system overload.
不停的创建Draft草稿邮件，也能导致Mac苹果系统的邮件系统崩溃，并停止响应。这是某种意义上的DoS攻击。
实现的方式也是通过发送恶意邮件的方式，而这些邮件以及邮件内容是有一些规律可循的。
不过如果macOS的版本是最新版10.12.2的话，则不会有此问题。但是我们也不能因此而放松警惕，而任意毫无顾忌的点击打开任意来源的邮件地址。
这里提到的邮件的规律是：首先邮件发件人有些共性；另外邮件的正文内容含有一些特定URL网址，而这些网址被挂马。
首先是邮件发件人：如果是以下2者中的任意一个的话，请直接删除，而不要直接打开：dean.jones9875@gmail.com 和 amannn.2917@gmail.com。
另外就是邮件挂马URL有：safari-get[.]com、 safari-get[.]net、safari-serverhost[.]com 和safari-serverhost[.]net.
显然不止以上的2个邮件地址和4个挂马网址值得关注，这里只是提到这个能导致Mac机器崩溃的特定情况。
实际上不能轻易相信而点击任何陌生、可疑的邮件。

//END
Mail should then automatically process all your new emails and remove them automatically should they come from these emails known for spreading malware.
虽然可能不能完全避免导致该问题的出现，但是建议用户可以按照以上描述的2个邮件地址以及邮件正文包括的挂马URL设置邮件过滤规则，以防止用户误点击导致感染。

点评：不能点击或者打开陌生邮件或者附件应该成为标准的安全意识教育。

2、勒索软件活动针对HR部门企业威胁持续上升
标题：Ransomware Campaign Targets HR Departments

作者信息：January 04, 2017 By Ionut Arghire

//BEGIN
Ransomware has long proven to be a major threat for both consumers and enterprises, and a recent campaign targeting corporate Human Resources (HR) departments shows the threat to businesses continues to rise.
各个企业的人力资源部门的同事们得注意了：最近异常火热的勒索软件已经将目标转移到了这些人力资源岗位的员工了！
这些勒索软件往往通过貌似求职者邮件的形式给这些人力资源部门的公开邮箱发送信件，而这些邮件是带有恶意附件的，这些附件只要被主动打开，就是自动释放勒索软件。加密这些人力资源的关键文档数据，特别是一些类似简历等的文档。

//END
GoldenEye usually demands a 1.3 Bitcoins (BTC) ransom, but researchers have observed slight variations (ranging from 1.33 to 1.39 BTC). “We can assume that the actor behind GoldenEye aims to receive $1,000 for each infection, and so the actual ransom amount varies according to BTC price fluctuation,” the security researchers say.
不多不少，这些勒索者索要的赎金的金额大约是1000美金，根据汇率的不同，因此对应的比特币每次可能略有不同。

点评：对付勒索软件，建议采用备份备份再备份的3B原则：Backup、Backup、Backup（Beifen、Beifen、Beifen）。

3、黑客攻击MongoDB数据库窃取内容并索要赎金
标题：Hacker held open MongoDB databases for ransom

作者信息：January 4, 2017  By Pierluigi Paganini

//BEGIN
A mysterious hacker is breaking into unprotected MongoDB databases, stealing their content, and asking for a ransom to return the data.
数据库不只是能被用来攻击后泄露的，还可以被用来勒索！
最近一名神秘的黑客通过获取一些网上公开的数据库，特别是MongoDB数据库，一旦获取其控制权后，他不是向获取其隐私或者机密信息并泄露（这样做其实黑客除了炫技，其实没得到物质刺激。），而是直接进行加密，并对用户进行勒索。

//END
In December 2015 the security expert Chris Vickery discovered 191 million records belonging to US voters online, in April 2016 he also discovered a 132 GB MongoDB database open online and containing 93.4 million Mexican voter records.In March 2016, Chris Vickery has discovered online the database of the Kinoptic iOS app, which was abandoned by developers, with details of over 198,000 users.
数据库的公开泄露的资源还是非常巨大的。
根据工控搜索引擎Shodan在2015年12月份公布的数据，MongoDB数据库被泄露的规模达到650T之多！
另外有消息称美国在线选民其中的近2亿条记录被泄露。甚至还有多达20万公民的数据库被随意丢弃在互联网上，无人管理。

点评：对付勒索软件，建议采用备份备份再备份的3B原则：Backup、Backup、Backup（Beifen、Beifen、Beifen）。

4、Oracle酒店管理平台RCE漏洞致持卡人数据泄漏
{CHN}
标题：Oracle的酒店管理平台RCE漏洞以及持卡人数据泄漏（CVE-2016-5663/4/5）

作者信息：2017-01-05 By 鸢尾

//BEGIN
简介
Oracle Opera（原Micros Opera）是一款用于酒店集团订单管理的主流软件。凯悦和希尔顿等酒店就使用该软件来管理订单以及处理付款流程。

//END
持卡人数据解密
结合上述漏洞组合，攻击者可以获得对数据库的认证访问。在数据库中，攻击者可以检索持卡人数据并进行解密。根据Opera knowledgebase，信用卡号和到期日期都以3DES加密格式存储在数据库表中。
对于攻击者而言，获取到3DES的加密密钥就是关键了。OPERA使用DBMS_OBFUSCATION_TOOLKIT程序包执行3DES加密，这个包没有用来存储密钥，其创建一个单独的程序包用来存储密钥以及处理加密函数调用。
PL/SQL的包装工具用来对代码进行混淆处理，且每次更改加密密钥后都会重新生成此程序包

点评：还是数据泄露！

5、FBI网站遭黑客CyberZeist入侵造成数据泄露
标题：FBI website hacked by CyberZeist and data leaked online

作者信息：January 4, 2017  By Pierluigi Paganini

//BEGIN
The notorious black hat hacker CyberZeist (@cyberzeist2) has broken into the FBI website FBI.gov and leaked data on Pastebin.
谁敢黑掉FBI的网站？
还别说还真有敢干的，并且还不止一次，这个黑客名号叫CyberZeist，并以此在网络上叫响。

//END
The hacker is very popular, among his victims, there are Barclays, Tesco Bank and the MI5.
To remain in touch with CyberZeist visit his page on Pastebin http://pastebin.com/u/CyberZeist2
黑掉FBI后，某些代理人试图以各种方式联系他（指号称CyberZeist的黑客）寻求其攻击成功的方式（其实是一个0day），但是他就是不理。其实只是想直接FBI出来，直接谈。

点评：拿下FBI，下一个是NSA？

6、研究人员称智能电表漏洞可造成网络攻击风险
标题：Smart Meters Pose Security Risks to Consumers, Utilities: Researcher

作者信息：January 04, 2017 By Eduard Kovacs

//BEGIN
Serious vulnerabilities in smart electricity meters continue to expose both consumers and electric utilities to cyberattacks. However, some have questioned claims that hackers can cause these devices to explode.
智能电表由于其智能性，而被爆可能存在漏洞被利用，甚至有黑客声称可以通过这些漏洞引爆这些电表，不过有些人对这个说法提出了质疑。

//END
Another member of the audience said Rubin oversimplified and sensationalized the issue, but the researcher claimed he did that on purpose in an effort to get through to people outside the cybersecurity community.
Rubin said Vaultra plans on releasing a smart meter fuzzing tool in the upcoming weeks. A video of the researcher’s talk at 33C3 has been made available by the conference organizers:
虽然有人质疑这些可能会有炒作的嫌疑，但是也有人说，之所以专家们这样讲也是为了让不是安全圈的人，一下子就能明白智能电表的安全性问题。


点评：电力，绝对是国家乃至世界运转的基础设施之一。智能电表可能打开了一扇黑客攻击的大门，成为了一个新的攻击向量。