每日安全简讯(20170114)

1、勒索软件Marlboro因加密算法简单当日被破解
2、ATM恶意代码Ploutus变种在拉丁美洲大肆传播
3、“跨浏览器指纹”技术可跟踪不同浏览器用户
4、影子经纪人再次释放部分方程式组织泄漏文件
5、安全厂商发布APT28报告剖析俄罗斯网络行动
6、手机破解公司Cellebrite被黑，900GB数据泄露

【安天】搜集整理（来源：bleepingcomputer、fireeye、bleepingcomputer、threatpost、easyaq、freebuf）

1、勒索软件Marlboro因加密算法简单当日被破解
标题：Marlboro Ransomware Defeated in One Day

作者信息：January 12, 2017 04:26 PM By Catalin Cimpanu

//BEGIN
A new ransomware family was snuffed in its crib today after security researchers tracked it down, analyzed its source code for weaknesses, and released a decrypter in less than 24 hours.
不是每个勒索软件都能掀起巨浪：一个名为Marlboro的勒索软件出现不到24小时就被捕获、破解，可以说是被猎杀在摇篮中。原因是其加密方式过于简单：采用的是XOR异或的对称加密方式，并不是其宣称的AES和RSA非对称加密方式。
该勒索软件分32位和64位两个版本，针对感染对象的OS版本的不同会释放不同的版本，而这一点在勒索软件并不常见。这个方式只在一些网银木马、后门以及一些针对PoS机的木马中才是常见的手法。
由于该勒索软件设计的缺陷，被感染目标文件的最后7个字节会被剪切掉，因此即使是XOR加密方式也不能恢复。不过，这最后的几个字节通常不会对目标文件的正常读写造成影响。

//END
The overall quality of the Marlboro ransomware source code is low, according to both MalwareHunterTeam and Wosar. In fact, some of the ransomware's inner guts appear to have been put together using code borrowed from StackOverflow's C++ section.
有安全专家在分析了该勒索软件的源代码后发现，其代码质量低。而且很像是从其他C++源代码直接拷贝过来，并稍加修改而成的。

//下载： De-Marlboro.rar (1.04 MB, 下载次数: 378)

2017-1-14 11:23 上传

点击文件名下载附件

文件名  ：decrypt_Marlboro.exe
文件大小:1,020,944 bytes
MD5     : 31F1E9918550D71C3D902E71E67C4CF0

点评：对付勒索软件，建议采用备份备份再备份的3B原则：Backup、Backup、Backup（Beifen、Beifen、Beifen）。

2、ATM恶意代码Ploutus变种在拉丁美洲大肆传播
标题：NEW VARIANT OF PLOUTUS ATM MALWARE OBSERVED IN THE WILD IN LATIN AMERICA

作者信息：January 11, 2017   By Daniel Regalado

//BEGIN
Ploutus is one of the most advanced ATM malware families we’ve seen in the last few years. Discovered for the first time in Mexico back in 2013, Ploutus enabled criminals to empty ATMs using either an external keyboard attached to the machine or via SMS message, a technique that had never been seen before.
ATM恶意代码出现了最新的变种Ploutus。与2013年首次发现的第一代相比，这个最新的变种显得更加高级：可以直接通过外接键盘甚至发送短信的方式直接盗取ATM机器中的现钞。（您问如何才能给ATM机器外接键盘？拆迁队这事能干！）

//END
Frequently Asked Questions
When was Ploutus-D first discovered?
Ploutus-D was uploaded to VirusTotal in November 2016.
Does Ploutus-D target cardholder information?
No. It is designed to dispense cash from within the ATM.
Is Ploutus-D already affecting ATMs in the wild?
Yes. It has been observed in Latin America.
What type of ATMs are affected?
Ploutus-D affects Diebold ATMs.
Minor modifications could be made to Ploutus-D to affect other vendors using the Kalignite Platform.
How is Ploutus-D installed on the ATM?
Through physical access to the ATM.
How do attackers interact with Ploutus-D?
Via an external keyboard that needs to be connected to the ATM.
关于Ploutus最新D变种的6个问题：
1 什么时候发现的？ 答：2016年11月通过VT上传的文件；
2 变种是不是针对信用卡个人信息发起攻击？ 答：不是的，它们针对的是ATM机器，直接从这些存钱的机器发起攻击，与个人的信用卡等无关，也不通过这条途径。
3 该变种已经有实际的案例发生吗？ 答：有！拉丁美洲已经出现。
4 该恶意代码感染或者针对什么类型的ATM机器？ 答：当前只是针对Diebold型号的ATM机器，不过稍加修改，就能针对其他型号的ATM发起攻击。
5 怎么感染的ATM？答：物理上直接采用键盘链接到ATM机器。
6 黑客们如何与该恶意代码交互？ 答：通过外接的那个键盘。

//下载： NEW VARIANT OF PLOUTUS ATM MALWARE.pdf (474.52 KB, 下载次数: 335)

2017-1-14 11:26 上传

点击文件名下载附件

文件名  ：NEW VARIANT OF PLOUTUS ATM MALWARE.pdf
文件大小：485，905 bytes
MD5     : 16A433F9D62E56C7F1E7F60D44C46743


点评：“拆迁队”和黑客高手联合攻击ATM直接取钱！根本不用盗取信用卡账户信息或者密码等。

3、“跨浏览器指纹”技术可跟踪不同浏览器用户
标题：New Fingerprinting Techniques Identify Users Across Different Browsers on the Same PC

作者信息：anuary 12, 2017 11:35 AM By Catalin Cimpanu

//BEGIN
A team of researchers from universities across the US has identified different fingerprinting techniques that can track users when they use different browsers installed on the same machine.
美国的几所大学的研究小组发现了在一台机器上采用不同浏览器的跟踪方法：“跨浏览器指纹”技术：cross-browser fingerprinting 简称：CBF。而以前的技术只能跟踪一台机器的一种浏览器，跨浏览器跟踪好像还不多见。以前的技术都是single browser fingerprinting（单浏览器指纹跟踪技术），简称SBF。

//END
For other browsers, researchers recommend that they implement virtualization layers in order to process the hardware-level operations on a generic virtual platform (machine), the same for a large number of users.
The research paper titled (Cross-)Browser Fingerprinting via OS and Hardware Level Features will be presented at the Network & Distributed System Security Symposium in February 2017.
不过，著名的匿名TOR浏览器还是难以跟踪。普通浏览器想要达到难以跟踪的目的，就必须采用虚拟化的方式，这样就对大多数用户都是一样的，从而难以跟踪。

//下载： crossbrowsertracking_NDSS17.pdf (1 MB, 下载次数: 384)

2017-1-14 11:29 上传

点击文件名下载附件

文件名  ：crossbrowsertracking_NDSS17.pdf
文件大小：1，048，836 bytes
MD5     : AA2C25FE91C416EB0072E40DC6C2345A

点评：Web跟踪技术有好也有坏，双刃剑。关键看如何利用。

4、影子经纪人再次释放部分方程式组织泄漏文件
标题：SHADOWBROKERS BID FAREWELL, CLOSE DOORS

作者信息：January 12, 2017 , 1:49 pm By Michael Mimoso

//BEGIN
The ShadowBrokers are no more.
The group or individual responsible for multiple leaks of exploits and attack tools believed to belong to the NSA said today they have closed up shop and deleted all of their online accounts.
影子经纪人要解散了....
靠泄露据称是NSA网络武器库而名声大燥的影子经纪人ShadowBrokers最近宣布要散伙了。不过说不定背后就一个人呢。
至于原因可能是其所谓的网络核武器没卖到好价钱；另外最近的风声也越来越紧，恐怕最终大曝光的日子也不太远了。

//END
In December, researchers at Flashpoint said an insider with access to an intelligence agency code repository was the likely source of the leak. Their research pointed away from an attack against NSA infrastructure and toward an insider or two.
In October, the group posted links to downloads of lists of hacked Sun Solaris and Linux servers allegedly compromised by the Equation Group. The servers listed were old, some compromised 15 years ago, and mostly in Iran, Russia, China and Pakistan.
安全专家也有怀疑所谓的ShadowBrokers影子经纪人实际上就是NSA内部的人员所为！

点评：这是要消失得无影无踪的节奏？

5、安全厂商发布APT28报告剖析俄罗斯网络行动
{CHN}
标题：FireEye发布报告《APT28：暴风中心》 剖析俄罗斯网络行动

作者信息：2017-01-13 16:13 By E安全

//BEGIN
E安全1月13日讯 2017年1月6日，美国国家情报总监发布情报机构评估报告：《评估俄干涉美国大选的活动与意图》。关于俄干涉美国大选的话题仍在继续。俄罗斯政府是否下令实施了入侵并泄露了数据？如果果真如此，是否能简单界定为可接受的国家间谍活动，或俄罗斯是否越线？入侵DNC是否是俄罗斯政府干涉美国大选的行动之一？
最重要的问题仍悬而未决：俄罗斯将如何继续通过各种方法（包括入侵和泄露数据）破坏俄罗斯政府认为限制和谴责其追求国家目标的体系、政策和参与者。

//END
自2014年发布报告之后，我们继续评估APT28是俄罗斯政府支持的黑客组织。通过进一步评估，我们认为，WADA、DNC和2016年美国大选相关实体遭遇的黑客事件是APT28所为。
这些黑客行动包括窃取内部数据（大多数为电子邮件），之后战略性地通过多个论坛，并以可计算的方式传播，几乎可以肯定其目的是为了推进俄罗斯政府的特定目标。2017年1月7日发布的一份报告中，美国国家情报局（Directorate of National Intelligence，DNI）将这项活动描述“影响活动”（Influence Campaign）。这种影响活动（将网络攻击和后续数据泄露相结合）与俄罗斯军方公开表达的意图和能力密切相关。影响行动，还常被称为“信息行动”（Information Operations），长期以来都是俄罗斯战略政策的一部分，并随着互联网的出现有意发展、部署并将行动现代化。美国的最近一起活动只是俄罗斯政府实施的影响行动之一，以支持其战略政治目标。随着2017年欧洲选举临近，尤其德国、法国和荷兰，俄罗斯此前曾在欧洲等地使用过类似的手段。

//下载： APT28：AT THE CENTER OF THE STORM.pdf (2.48 MB, 下载次数: 326)

2017-1-14 11:32 上传

点击文件名下载附件

文件名  ：APT28：AT THE CENTER OF THE STORM.pdf
文件大小：2，603，521 bytes
MD5     : 174C5C8909F83B8E800677C0688C2D91

点评：大佬都可能成为网络攻击的风暴中心。

6、手机破解公司Cellebrite被黑，900GB数据泄露
{CHN}
标题：手机破解专家Cellebrite公司被黑，900GB数据泄露

作者信息：2017-01-13 By FreeBuf

//BEGIN
Cellebrite，这家位于以色列，长期协助政府执法机构，提供数字取证服务及手机破解工具的公司近日被证实遭到黑客入侵，共900G数据失窃。
据悉，这些数据中包含了大量Cellebrite的用户资料（包括登录信息），技术细节，遭到破解的手机数据和公司设备日志。其中部分资料显示该公司曾向阿联酋，土耳其和俄罗斯等政府提供手机破解设备。
目前失窃数据还未遭到公开，显然黑客更倾向于私下交易。在事发后，黑客联系了Motherboard的记者Joseph Cox，向他展示了部分遭窃数据，并表示自己正尝试通过网上中继聊天室出售这些数据和入侵后门。
谈及攻击的动机时，黑客告诉Cox这是因为他们对近一段时间西方国家政府立场的不满，不然本来没人会知道这些东西。除此之外，他拒绝透露更多细节。“我不能向你解释太多我在Cellebrite的系统里做了些什么。”黑客表示，

//END
Cellebrite公司以其掌握的强力破解工具“万能取证设备”（UFED）闻名，该工具能帮助调查人员解密智能手机设备，甚至包括iPhone。它可提取包括短信，邮件，通话记录和系统密码的所有手机信息。官网数据显示，Cellebrite服务超过15，000家政府部门和执法机构。就在去年3月，Cellebrite曾协助FBI破解制造了2015年12月加州圣伯纳迪诺枪击案的恐怖分子Syed Rizwan Farook的iPhone。
原文：http://www.ibtimes.co.uk/cellebr ... ce-military-1600812
主角：http://www.cellebrite.com/

点评：再厉害的角也得防范自身的安全，特别是一些不利的信息泄露会导致灾难后果！