每日安全简讯(20170107)

1、新型勒索软件FireCrypt集成DDoS攻击能力
2、具备加密勒索能力KillDisk瞄准Linux系统
3、安全厂商发现针对中东木马MM Core新版本
4、Ghost Host技术可绕过恶意域名过滤机制
5、D-Link因路由器等安全问题被美国FTC起诉
6、超声跟踪技术可能被用于辨识Tor用户身份

【安天】搜集整理（来源：securityaffairs、securityweek、securityweek、darkreading、securityweek、solidot）

1、新型勒索软件FireCrypt集成DDoS攻击能力
标题：FireCrypt comes as a malware building kit and includes DDoS code

作者信息：January 5, 2017  By Pierluigi Paganini

//BEGIN
Recently experts from MalwareHunterTeam discovered FireCrypt ransomware, a threat that comes as a malware building kit and includes DDoS code.
命名缘由：被加密的文档文件的扩展名会增加.firecrypt字符串，因此该勒索软件被命名为FireCrypt.这与其他的勒索软件的命名规则基本相同。这个勒索软件不是凭空而来的，而是从Deadly for a Good Purpose Ransomware （好心办坏事？）这个勒索软件变化而来。这其实是一个勒索软件的创建工具包Builder Kit,其中竟然还带有DDoS代码！针对的目标（是URL）还不可更改。

//END
Let’s close with a reflection on the DDoS component, the target URL cannot be modified by the ransomware builder and the DDoS attack is not effective because it requires to infect a huge number of PCs at the same time that would also be connected to the Internet simultaneously.
DDoS部分针对的是巴基斯坦的电信主管部门：Pakistan’s Telecommunication Authority (http://www.pta.gov(.)pk/index.php) 而且这个URL还是不能更改的。但是当前这个DDoS攻击并不是有效的，除非这些感染的机器全部同时上网。

点评：IoT物联网设备具备DDoS攻击能力，同时勒索软件也带着该组件！对付勒索软件，建议采用备份备份再备份的3B原则：Backup、Backup、Backup（Beifen、Beifen、Beifen）。

2、具备加密勒索能力KillDisk瞄准Linux系统
标题：KillDisk Malware Targets Linux Machines

作者信息：January 05, 2017 By Ionut Arghire

//BEGIN
The destructive KillDisk malware previously associated with attacks targeting industrial firms, was recently observed infecting Linux machines as well, ESET security researchers warn.
这里的KillDisk恶意代码与2015年年底的乌克兰电力停电事故中采用的一个模块是相同的，不过最近发现的不是在工控领域里，而是在Linux操作系统的机器中发现的，同时对其破坏策略进行了修改：加入了加密特性，这点上非常像勒索软件。加上其原来本身就有的加密整个磁盘特性，因此单从破坏性看，这个新发现的KillDisk还是非常危险的。

//END
“Whatever the true explanation, our advice still holds – if you’ve become a victim of ransomware, don’t pay up, since there’s no guarantee of getting your data back. The only safe way of dealing with ransomware is prevention – education, keeping systems updated and fully patched, using a reputable security solution, keeping backups and testing the ability to restore,” ESET concludes.
安全厂商对勒索软件提出的建议是：不能支付赎金。支付等于助纣为虐！另外一个角度看，即使您支付了赎金也不能保证一定能获得解密的正确方法。
根本的方式是多教育用户、及时更新系统并打补丁、采用比较可靠的安全软件、及时备份重要信息并确认这些备份的信息能完美恢复。

点评： 对付勒索软件，建议采用备份备份再备份的3B原则：Backup、Backup、Backup（Beifen、Beifen、Beifen）

3、安全厂商发现针对中东木马MM Core新版本
标题："MM Core" APT Malware Now Targets United States

作者信息：January 05, 2017 By Eduard Kovacs

//BEGIN
New versions of an advanced persistent threat (APT) malware first discovered several years ago have been found to target organizations in the Middle East, Central Asia, Africa and the United States.
几年前发现的APT攻击MM Core最近出现了新版本，针对的地区除了中东，还有中亚、非洲以及美国等。

//END
“Ultimately this suggests that MM Core may be a part of a larger operation that is yet to be fully uncovered,” said Forcepoint’s Nicholas Griffin.
经过分析发现，这个MM Core的APT攻击可能只是大规模攻击的一部分，目前被发现的还只是冰山一角。

点评：中东、美国、APT这几个关键词一般都会与另外一个位于中东的小国以色列关联，但是本文只字未提。

4、Ghost Host技术可绕过恶意域名过滤机制
标题：‘Ghost Hosts’ Bypass URL Filtering

作者信息： 1/5/2017 08:31 PM By Jai VijayanJai

//BEGIN
Malware authors have found a way to evade URL-blocking systems by swapping bad domain names with unknown ones.
For some time now URL filtering techniques have provided a fairly reliable way for organizations to block traffic into their network from domains that are known to be malicious. But as with almost every defense mechanism, threat actors appear to have found a way around that as well.
URL黑名单技术是一个比较流行的对付恶意代码的方法：因为在互联网的当下，很多恶意代码无一例外的会从网站下载某些新的破坏组件，而这些网站都是通过URL的方式来进行的，显然如果拦截了这些URL就能方便的阻止恶意代码的传播。
但是最近恶意代码的作者们正在寻找一种新的规避方法:将一些恶意网址转换成一些不知名的域名，或者在这些域名中穿插一些已知的正常的域名，增加检测难度同时混淆安全工作者的视线。


//END
Botnet owners can benefit from the technique in multiple ways. The most obvious one is that URL filtering systems will not block ghost hostnames. Cyren checked to see whether popular URL filtering systems detected the ghost host names, and none of them did.
僵尸网络更会喜欢这种技术。显然必须防范这种新的规避技术，但是经过测试，目前的流行的URL过滤系统无一好用。

点评：URL过滤只能是其中的一个模块，不能全部靠这种方式。

5、D-Link因路由器等安全问题被美国FTC起诉
标题：FTC Sues D-Link Over Failure to Secure Cameras, Routers

作者信息：January 06, 2017 By Eduard Kovacs

//BEGIN
The U.S. Federal Trade Commission (FTC) has filed a lawsuit against Taiwan-based networking equipment provider D-Link, accusing the company of making deceptive claims about the security of its products, particularly IP cameras and routers.
中国台湾IT设备厂商D-Link最近遭到了FTC（美国联邦贸易委员会）的起诉。原因是该厂家的宣传材料商宣称的信息是虚假和不真实的。该公司的宣传声称其IP的摄像头和路由器等都是非常安全的。 但是FTC不怎么认为。

//END
UPDATE. D-Link has responded to the FTC complaint saying that it “denies the unwarranted allegations outlined in the FTC complaint and will vigorously defend the action.”
“The FTC complaint alleges certain security hacking concerns for consumer routers and IP cameras, and we firmly believe that charges alleged in the complaint against D-Link Systems are unwarranted,” said William Brown, D-Link's chief information security officer. “We will vigorously defend the security and integrity of our routers and IP cameras and are fully prepared to contest the complaint. Furthermore, we are continually working to address the overall security features of D-Link Systems' products for their intended applications and to regularly inform consumers of the appropriate steps to take to secure devices.”
对于FTC的指控，DLINK公司很快做出了反应：其声称这些指控毫无根据。同时将采取一些措施来争取自己的权益。
至于设备的安全，也不是FTC指出的那样。

点评：战斗在各个层面展开。

6、超声跟踪技术可能被用于辨识Tor用户身份
{CHN}
标题：超声跟踪可能被用于去匿名Tor用户

作者信息：2017年01月06日 20时28分 星期五 By pigsrollaroundinthem

//BEGIN
去年研究人员警告广告公司正在研发利用人耳听不见的声音实现跨设备跟踪的技术，利用嵌入在广告代码或JavaScript代码中的超声波信号联络附近的平板和手机，这些声音耳朵听不见，但智能设备能探测到。利用这一方法，跟踪代码可以将单一用户与多台设备配对起来，跟踪用户在不同设备上看到的广告。在上周举行的33C3黑客会议上，研究人员认为这项技术可被用于去匿名浏览嵌入超声跨设备代码的Tor浏览器用户的身份。攻击依赖于诱骗Tor浏览器用户访问一个含有产生超声信号的广告的网页，或者访问一个隐藏了JavaScript代码利用HTML5 Audio API强迫浏览器发出超声信号的网页。

//END


点评：TOR吸引了各方人士的关注。