每日安全简讯(20170110)

1、安全团队借助蜜罐揭秘真实Mirai 僵尸网络
2、安全团队揭示流氓软件对抗安全软件的手段
3、特朗普首次承认俄罗斯黑客曾干扰美国大选
4、法国国防部长担忧黑客行动将影响法国大选
5、电子竞技娱乐协会被黑150万玩家资料泄漏
6、研究者发现借浏览器自动填充功能钓鱼风险

【安天】搜集整理（来源：freebuf、freebuf、cnbeta、securityaffairs、csoonline、bleepingcomputer）

1、安全团队借助蜜罐揭秘真实Mirai 僵尸网络
{CHN}
标题：蜜罐揭秘真实的Mirai僵尸网络

作者信息：2017-01-09 By 泰格实验室

//BEGIN
关于Mirai文章已经很多，基本都是基于Mirai公开源码的解读，或者相关 DDOS 事件的分析。我们决定使出洪荒之力，通过构建针对性蜜罐系统，主动探测揭秘当前互联网上真实隐藏着的        Mirai僵尸网络。   
1、僵尸网络探测系统
基于Mirai感染逻辑，我们研发了一套针对性的Mirai僵尸网络探测系统。下边简单介绍一下Mirai 的组成部分。
—-ScanListen模块：主要用于接收Bot弱口令扫描得到的设备信息，包括：ip 、端口、用户名、密码。并将其发送给 Load处理。
—-Load模块：接收ScanListen发送的目标信息，并针对每个设备植入木马。
—-CNC模块：主要用于管理Bot，发起DDOS攻击。
—-Bot模块：运行于网络设备，主要实现网络设备telnet弱口令扫描，同时接收CNC 控制指令对目标发动 DDOS攻击。
Mirai的感染逻辑是：ScanListen在接受到Bot 的扫描结果信息后，未对信息发送方进行身份验证，直接把结果传递给 Load，然后Load直接对结果中的目标植入木马。

//END
通过对ScanListen与Bot分布的分析，Bot 主要分布于发展中国家，侧面反映出发展中国家网络安全防御能力普遍较弱。
我国经济发展较强省份或地区在网络安全防御能力方面没有形成明显优势，让我想起某安全人士所说的一句话：中国一流的网络规模却只有四流网络安全防御能力。我们于此事件中就可管中窥豹可见一斑，我国作为世界上拥有最多网民的国家，提高国家网络安全防御能力已经刻不容缓！

点评：奇怪，泰格的公众账号并未发布这个报告。

2、安全团队揭示流氓软件对抗安全软件的手段
{CHN}
标题：流氓软件化身“卫士”，携带病毒对抗安全软件

作者信息：2017-01-09 By 火绒安全

//BEGIN
近期我们接到用户反馈。刚刚装好的系统无法安装火绒安全软件，表现为：安装程序执行安装步骤到一半的时候，安装程序自己消失，除此以外浏览器首页也被恶意篡改。通过定位问题，我们在用户计算机上提取了和中毒现象相关的八个病毒文件。在进一步的分析中我们发现，提取的文件是一组病毒，并且和两个叫做“卫士”的软件有关联，分别是：“浏览器卫士”和“铠甲卫士”。
这个发现并不让我们感到意外，这些年免费的“卫士”类软件不断出现，一般都是广告满天、弹窗不断，浏览器主页“被”保护，当然这些都是“增值功能”，大多还是有安全防护能力的。但是今天这两个”卫士“，颠覆了我们的三观：打着卫士的幌子，作着流氓的生意，没有安全软件的功能，却屏蔽安全软件的安装，和真正危害计算机安全的病毒的共存，所谓的“卫士”，最主要的功能除了锁首截取导航站流量，下载推广软件。

//END
浏览这些域名，有几个域名引起我们的注意“bigbaicai.com”， “ushendu.net“、“laomaotaoupan.cn”。再加上第一章交代的用户反馈：“刚刚装好的系统无法安装火绒安全软件”，我们怀疑在病毒是在启动盘的时候安装的。

点评：火绒一周前就在其公众账号发布了本文，与楼上的正好相反.

3、特朗普首次承认俄罗斯黑客曾干扰美国大选
{CHN}
标题：特朗普改口 首次承认俄罗斯黑客曾干扰美国大选

作者信息：2017-01-09 11:15:22 By 路透社

//BEGIN
据路透社1月9日报道，当地时间1月8日，美国候任总统特朗普团队首次承认，俄罗斯黑客曾经入侵并干扰美国大选，并表示将采取应对措施。特朗普新任命的白宫办公厅主任赖因斯·普里巴斯表示，特朗普相信俄罗斯曾经干扰美国大选期间的民主党大会。但是，普里巴斯并未指出，特朗普是否认为普京曾经指使这一行为。

//END
“特朗普接受此案是俄罗斯团队所为的事实，”·普里巴斯在“周日福克斯新闻”节目上表示。
这是特朗普团队首次承认，俄罗斯黑客曾经干扰美国大选。特朗普此前一直拒绝“俄罗斯黑客干扰美国大选”或是“俄罗斯黑客帮助特朗普赢得总统宝座”的类似言论。
随着1月20日的就职典礼日益临近，特朗普来自共和党内部的压力也越来越大，许多人认为，这位候任总统应该与美国情报部门更好的沟通与合作，并认可来自后者的最新线索。
上周，美国情报部门发表报告指出，普京“导演了一个包括网络攻击在内的复杂的计划”，来干扰民主党的竞选进程。

点评：剧情在反转？故意帮助某人当选可能只是一厢情愿的假想吧，更多的是攻击方能据此验证自身的网络攻击实力吧。

4、法国国防部长担忧黑客行动将影响法国大选
标题：French Minister Le Drian on cyber espionage: France is not immune, ready to hack back

作者信息：January 9, 2017  By Pierluigi Paganini

//BEGIN
Defense Minister Le Drian comments expressed concerns about cyber attacks against defense systems and warns of hacking campaigns on the upcoming elections.
According to the Defence Minister Jean-Yves Le Drian France defense was targeted by thousands of attacks in 2016. France thwarted more than 24,000 cyber attacks against Defence systems last year.
是的，谈到网络安全任何国家或者组织都不能置身事外，包括法国以及即将举行的法国大选。
去年一年，法国就已经挫败过超过24000起网络攻击事件，当然法国国防部长最担心的还是黑客会攻击其国的国防系统（包括其无人机系统），同时攻击该国即将举行的总统大选。
过去的三年来，法国遭受到了越来越严重的网络攻击，对其国家的关键基础设施造成了严重的威胁。同时国防部长警告该国的政府与民众，不能太天真，幻想网络攻击会自动停止。应该积极采取措施，预防类似2016年美国大选遭受的网络攻击事件在该国重演。
在法国国内，如何对待俄罗斯，是有不同意见的。有人倾向加强与俄罗斯的合作，而有部分官员则坚决反对。
这个从2014年爆发的俄罗斯和乌克兰关于克里米亚的危机开始，当时法国官方谴责了俄罗斯的行动的；不仅如此，法国还谴责俄罗斯在叙利亚针对阿勒坡的轰炸（据称导致大量无辜民众伤亡）行动。
一些美国的安全企业发布安全报告称，来自俄罗斯的APT攻击组织参与了攻击法国的电视台的网络攻击行动，这些安全企业的报告声称，虽然攻击代码中显示的是ISIS等，但这些都是试图误导研究人员，从其整个攻击的作业手法（统称TTP）看，其实是俄罗斯在后台操控。

//END
I found very interesting the posture of the French Minister, he is aware that foreign hacker could break into national infrastructure, but he also contemplate the possibility to strike back the attackers.He said the French army’s number of “digital soldiers” would be doubled to 2,600 by 2019, with Le Drian confirmed that number of “digital soldiers” working for the French defense would be doubled to 2,600 by 2019,  600 cyber experts will joint to the cyber army.
“Le Drian said that in case of a cyber attack, the country could respond in kind as well as with conventional weapons.” reported the Reuters Agency.
国防部长在电视镜头前的坚定动作以及言语暗示：如果该国再遭到类似的网络攻击，那么准备以牙反牙，进行反制。该国目前已经组建了网军，准备实施这一计划。网军的规模预计到2019年会增加到2600名。

点评：从克里米亚冲突的角度看，网络战是传统地缘战争的延续：边界模糊（可以靠猜）、更加复杂（发起时间不确定）、纠葛与绵长。

5、电子竞技娱乐协会被黑150万玩家资料泄漏
标题：ESEA hacked, 1.5 million records leaked after alleged failed extortion attempt
More than a million players have been affected by this incident

作者信息：JAN 8, 2017 2:00 PM PT By CSO

//BEGIN
E-Sports Entertainment Association (ESEA), one of the largest competitive video gaming communities on the planet, was hacked last December. As a result, a database containing 1.5 million player profiles was compromised.
去年12月份，最大的视频竞技体育游戏社区之一的ESEA被黑，其150万玩家的个人数据被泄露。ESEA已经在其社交网站上公布了此消息。
泄露的信息包含90项：含用户名、密码、个人详细信息等等。好在登录密码是加过密的，要想完整利用，也不是容易的。
即便如此，其他的个人信息也能方便的被别有用心的人进行社工等操作。因此ESEA特意提醒玩家注意。
在应对措施方面，其实ESEA已经开始重置密码、开启了双因子认证，同时修改了安全问题等等安全措施。


//END
Salted Hash has reached out to press contacts at ESEA, as well as those for Turtle Entertainment, the parent company listed on the ESEA website. We’ve reached out to confirm the extortion attempt claims made by the hacker, as well as the total count for players affected by the data breach.
This story will be updated as new information emerges.
其实，最开始的剧情是勒索者获取了这些信息，并向ESEA索要高额赎金（一则说法5万美金，另外有说10万美金的），但是遭到拒绝。
于是双方都开始了行动：公司方面积极修补；黑客方公开泄露数据。
事件还在进展中。

点评：大规模数据泄露事件！

6、研究者发现借浏览器自动填充功能钓鱼风险
标题：Browser Autofill Profiles Can Be Abused for Phishing Attacks

作者信息：January 6, 2017 03:22 PM By Catalin Cimpanu

//BEGIN
Browser autofill profiles are a reliable phishing vector that allow attackers to collect information from users via hidden fields, which the browser automatically fills with preset personal information and which the user unknowingly sends to the attacker when he submits a form.
一旦用户打开了浏览器的自动填充功能，那么一旦遭遇到钓鱼攻击，那么用户的其他自动信息也会被搜集发送到黑客手中。当然这些如果不看源代码，用户对这些都是不知情的。
注意这里提到的浏览器的自动填充功能，而不是表单的自动填充功能。后者只是对某一个单元格，而前者则是整个浏览器的所有单元格。
已经有人在网络上公开了浏览器的自动填充功能的利用方法：页面显示看上去只是2个输入框：姓名和邮件地址；外加一个发送按钮。但是如果仔细查看源代码就会发现，一旦点击发送按钮，则其他的几个隐藏的变量的值也会自动被填充、发送：Phone电话号码、Organization单位、Address地址、Postal Code邮编、City城市以及Country国家等。


//END
On the side of browser vendors, the best solution to negate this attack vector would be to disable autofill behavior for hidden form fields.
对于浏览器而言，最好的解决办法就是要禁止自动发送隐藏的表单项。

//动态gif图演示了用户虽然只填了2项，但是实际上发送了8项。原因就在于打开了浏览器的自动填充功能，而且能轻易的被利用。
文件名:autofill-demo.gif


点评：还是关掉自动填充设置吧。虽然每次都要输入用户名和密码可能麻烦一些，但是如果打开，也就可能更方便了钓鱼攻击。