每日安全简讯(20170109)

1、英国警方警告针对教育系统的勒索软件攻击
2、研究人员认为攻击台湾和欧洲ATM系同一团伙
3、安全团队详解拒绝服务攻击影响美国911原理
4、域名注册及网站托管商123-Reg遭DDoS攻击
5、安全媒体盘点2016年最活跃的五个黑客组织
6、FBI披露去年破解恐怖分子iPhone 5c的细节

【安天】搜集整理（来源：news、darkreading、easyaq、theregister、freebuf、cnbeta）

1、英国警方警告针对教育系统的勒索软件攻击
标题：“Department of Education” ransomware alert

作者信息：4th January 2017  By National Fraud & Cyber Crime Reporting Centre 英国网络欺诈和犯罪举报中心

//BEGIN
Fraudsters are posing government officials in order to trick people into installing ransomware which encrypts files on victim’s computers. Fraudsters are initially cold calling education establishments claiming to be from the “Department of Education”. They then ask to be given the personal email and/or phone number of the head teacher/financial administrator.
The fraudsters claim that they need to send guidance forms to the head teacher (these so far have varied from exam guidance to mental health assessments).
如果有人直接给一个学校打电话，宣称找校长，有重要事情通报，那么接电话的人该怎么办？
如果答复是，校长不在。这个招数勉强可以。但对方如果说，留下Email等联系方式，那么你会提供吗？
当然不能提供，如果提供了的话，那么这个来电话的人很可能就是黑客团伙的一员，接着就会有人给这个领导量身定做一个邮件，通常这个邮件带有压缩文件的附件，其实附件中隐藏的就是勒索软件。

//END
The scammers on the phone will claim that they need to send these documents directly to the head teacher and not to a generic school inbox, using the argument that they contain sensitive information.
The emails will include an attachment - a .zip file (potentially masked as an Excel or Word document). This attachment will contain ransomware, that once downloaded will encrypt files and demand money (up to ￡8,000) to recover the files.
It should be noted that similar scam attempts have been made recently by fraudsters claiming to be from the Department for Work and Pensions and telecoms providers (in this case they need to speak to the head teacher about ‘internet systems’).
黑客们精心伪造的邮件的附件含有的文件往往是Word或者Excel格式，正是这些文档格式的文件一旦被打开，并启用恶意的宏，则会让勒索软件被下载到用户的计算机中，从而导致机器中的重要文档被加密，往往需要支付赎金才能解密。
这些伎俩虽然是在教育系统中发现的，但是在其他的部门完全可能会发生，用户需要特别注意。

点评：对付勒索软件，建议采用备份备份再备份的3B原则：Backup、Backup、Backup（Beifen、Beifen、Beifen）。

2、研究人员认为攻击台湾和欧洲ATM系同一团伙
标题：Cybersecurity Expert Links Taiwan And Europe ATM Hacks

作者信息：1/6/2017 10:10 AM  By Dark Reading Staff

//BEGIN
Group-IB says both attacks were likely carried out by Cobalt group using malware "ATM spitter."
Cybersecurity firm Group-IB has linked the July Taiwan ATM cyber heist to the ATM hacking spree in Europe last year, claiming the two were carried out by the same hacking group, dubbed Cobalt. Reuters reports that Group-IB’s conclusion is based on the fact that the hack technique used in both incidents match.
通过对2起发生在不同地域的针对ATM银行取款机的盗取行动的技术分析，安全团队得出了结论：台湾第一银行的幕后黑手和去年欧洲的ATM取款机的盗取者应该属于同一组织。同时给该组织命名为Cobalt。


//END
A group of 22 foreign nationals are alleged to be behind the First Commercial Bank ATM hack in Taiwan, of which three Eastern Europeans are in custody. Most of the stolen money was recovered and Taiwan authorities believe the bank network was breached at a London branch.
According to a Group-IB report, the hackers used malware “ATM spitter” in the Taiwan attack as well as in similar hacks carried out in Britain, Russia, Poland, Spain, Bulgaria, and many other European countries, Reuters adds.
台湾第一银行的ATM盗取案件涉及到22个来自不同国家的犯罪团伙，其中有3人来自东欧国家，这些人正在被拘留。大多数的赃款被追回，不过中国台湾当局确认这些银行网络的泄露地点位于英国伦敦的分支机构。
这些攻击行为发生在除了中国台湾地区外的世界的多个国家和地区，其中包括：亚美尼亚、白俄罗斯、保加利亚、爱沙尼亚、格鲁吉亚、哈沙克斯坦、摩尔多瓦、荷兰、波兰、罗马尼亚、俄罗斯和西班牙等。

点评：归因还是有难度的：包括技术层面和非技术因素。

3、安全团队详解拒绝服务攻击影响美国911原理
{CHN}
标题：详解“拒绝服务”如何让美国911瘫痪

作者信息：2017-01-07 08:16 By 华为未然实验室

//BEGIN
在美国，任何方面的紧急情况都可以拨打911，民众对警察的依赖性也非常大，所以911报警电话对美国人民的重要性不言而喻。但是，一种可让911瘫痪的新型攻击已经出现，美国几位专家的研究解释了攻击者如何利用系统的漏洞发动攻击，证明了这些攻击可以对公共安全产生极其严重的影响。
近年来，人们对一种称为“拒绝服务”的网络攻击有了越来越多的了解，该种攻击可以导致网站流量超出负荷——流量通常由大量被黑客劫持并互相感染的计算机产生。这种情况一直在发生，并对金融机构、娱乐公司、政府机构乃至关键的互联网路由服务造成了影响。
可以对911呼叫中心发起类似的攻击。今年10月，一名18岁的黑客在亚利桑那州通过智能手机首次进行了此种攻击并因此被逮捕，他被指控针对本地911服务进行了电话拒绝服务攻击。
要防止此类事件在更多地方发生，就需要了解911系统如何工作，及弱点在哪里——包括技术和政策方面。

//END
比如，可以让手机运行监测软件，以防止其欺诈性呼叫911。或者，911系统可以检查来电的识别信息，并且优先考虑来自不试图隐藏自己的电话的呼叫。在此也希望有关专家能尽快找到保护911系统的方法，因为911可是肩负着保护所有美国人的使命。

点评：911就是中国的110.

4、域名注册及网站托管商123-Reg遭DDoS攻击
标题：3... 2...1... and 123-Reg hit by DDoSers. Again
Happy New Year!

作者信息：6 Jan 2017 13:42 By Kat Hall

//BEGIN
Updated Just days into the new year, and poor old 123-Reg is already experiencing problems, this time in the form of a DDoS attack - something it is no stranger to.
Customers have been in touch with El Reg to report their websites and email services have been down as a consequence of the attack.
新年的倒计时钟声不光给世界带来希望，同时也带来了DDoS攻击！
域名注册及网站托管商123-Reg不幸被DDoS选中而瘫痪。不少的客户纷纷投诉，以致于引起了媒体的关注。


//END
A spokesman has told The Reg the biz's network team had been able to get all customer websites online within an hour of the noon attack. He said: "We apologise for any inconvenience and we thank our customers for their patience and understanding." ®
域名注册及网站托管商123-Reg的维护团队正紧急修复，采取了倒流以及清洗的方式来恢复正常运行。

点评：DDoS还会回来的。

5、安全媒体盘点2016年最活跃的五个黑客组织
{CHN}
标题：【FreeBuf年终策划】2016年最活跃的五个黑客组织

作者信息：2017-01-07 By Alpha_h4ck

//BEGIN
2016年，互联网似乎成为了一个新的战场。在过去的一年里，各种各样极具破坏力的网络攻击活动给全球的各行各业均带来了巨大的损失，其中金融机构、政府部门和技术领域受影响最为严重。
过去一年中出现了很多此前从未出现过的精英黑客组织，这些黑客团伙正在全球肆虐，并引起了安全届（原文如此：特别标注）的一片恐慌。某些黑客组织利用大量的恶意流量对科技巨头发动了大规模DDoS攻击，而有些组织则尝试通过长期的网络间谍活动来推翻某些政府政权，而有的则企图通过网络攻击来破坏国家基础设施。

//END
在2016年4月，亲极端组织的黑客发布了一份“死亡名单”，其中记录了成千上万名纽约市民的信息。非营利性组织GhostSecurity Group（GSG）长期以来都在监视与恐怖主义有关的网络活动，根据他们透露的信息，这些“死亡名单”并不是真实的。
GSG通过分析后表示，这些所谓的“死亡名单”其实是由一些脚本小子（或新手黑客）弄出来的，而他们这样做的目的只是为了炫耀自己所谓的黑客技术而已。
http://www.ibtimes.co.uk/top-5-h ... -havoc-2016-1598789

点评：网络战也许从未远离我们。

6、FBI披露去年破解恐怖分子iPhone 5c的细节
{CHN}
标题：FBI披露去年破解恐怖分子iPhone 5c的细节

作者信息：2017-01-08 13:31:31 By cnBeta

//BEGIN
去年年初 FBI 和苹果公司的那场风波你是否还记得？法庭宣判苹果公司应该配合 FBI，就圣博娜迪诺恐怖袭击案的调查，解锁一台凶犯的 iPhone 5c，可是当时苹果公司态度坚决，称绝不会为此增加后门程序，因为这会让用户面临更大的风险。后来 FBI 斥巨资通过第三方成功破解了 iPhone 5c，这场风波才得以平息。当时应该有不少朋友好奇这部手机里到底有什么东西，让 FBI 以那么强硬的态度去要求苹果公司解锁，最终又花大价钱去破解。

//END
在这份记录文件中确实没有什么太多有价值的信息，不过据文件内容显示 FBI 和苹果公司冲突期间，至少有三家公司表示对破解这台 iPhone 5c 有兴趣，只是当时这三家公司还没有开发出任何有利于破解设备的工具。

点评：言语不详。感觉在这个事情上，FBI和APPLE都是高手:扩大影响力的运作高手。