每日安全简讯(20170115)

1、研究人员成功接管勒索软件Cerber临时服务器
2、丹麦防长警告：俄罗斯黑客准备攻击丹麦电网
3、部分Intel CPU存在通过USB接口入侵主机漏洞
4、研究人员发现WhatsApp加密会话可被拦截缺陷
5、英国劳埃德银行因DDoS攻击导致在线业务瘫痪
6、2016年常用密码排行榜：使用123456接近两成

【安天】搜集整理（来源：bleepingcomputer、cphpost、hothardware、hackbusters、weibo、easyaq）

1、研究人员成功接管勒索软件Cerber临时服务器
标题：Misconfigured Server Gives Insight Into Cerber Ransomware Operation

作者信息：January 13, 2017 By Catalin Cimpanu

//BEGIN
Security researchers have gained access to one of the servers used by the Cerber gang, from where they were able to extract basic statistics about their operation.
A security researcher that only goes by the nickname of Racco42 discovered the vulnerability on Thursday, January 12.
The issue affected only one Cerber server, not all, and was most likely due to a misconfiguration. The server wasn't a command and control server, but a mere staging server from where the victims' computers would connect and download the actual ransomware, which would later run and infect their PCs.
勒索软件Cerber用于存放恶意代码的服务器被安全公司的安全人员发现存在可以被利用的漏洞。漏洞的原因是由于该服务器设置不正确导致。因此能轻易的进入该服务器（不是所有的Cerber勒索软件的所有服务器），对这个服务器的内部的分析发现了一下有趣的现象：该勒索软件的一些统计数据以及其具体的活动。

//END
This is not the first time security researchers hack their way into the servers of malware authors. Something similar happened in June 2016, when ISC Sans security researchers managed to gain access to a phishing server.
In the winter and spring of 2016, security researchers hacked their way into servers belonging to the Dridex gang and replaced payloads for the Locky ransomware with antivirus installers and sarcastic or offensive messages.
In one of those case, security firm Buguroo recovered data about victims infected with the Dridex banking trojan.
其实这已经不是第一次安全公司的研究人员“进入”恶意代码作者的服务器。以前的钓鱼网站的服务器、Dridex木马的服务器、Locky勒索软件的服务器等都曾被安全人员光顾。

点评：对付勒索软件，建议采用备份备份再备份的3B原则：Backup、Backup、Backup（Beifen、Beifen、Beifen）。

2、丹麦防长警告：俄罗斯黑客准备攻击丹麦电网
标题：Danish defence minister warns that Russia is poised to attack
Hackers and missiles targeting Denmark warns Claus Hjort Frederiksen

作者信息：January 13th, 2017 4:53 pm  By Ray W

//BEGIN
Russian hackers are targeting hospitals and power grids in Denmark and have positioned missiles that are now within range of striking Copenhagen, warns the country’s defence minister
According to Claus Hjort Frederiksen, the country faces “a serious threat” from both Russian hackers and missiles, which are being installed in Kalingrad.
丹麦防长警告该国的国民：俄罗斯不仅准备对其进行黑客攻击，而且其最新部署的导弹将丹麦首都也纳入其射程范围之内。网络攻击的目标包括医院、关键基础设施、电力设施等等。显然这对该国来说是一个严重的威胁。

//END
The defence minister wants to see both the nation’s military and anti-hacking defences upgraded.
防长警告该国的军事部门以及网络安全部门都要提高警戒级别。

点评：最近好像俄罗斯在“被”打群架....

3、部分Intel CPU存在通过USB接口入侵主机漏洞
标题：Intel Skylake, Kaby Lake Processors Vulnerable To USB Port Debugging Exploit Says Researchers

作者信息：January 10, 2017 By Paul Lilly

//BEGIN
A pair of researchers from Positive Technologies claim that Intel's newest generation processors are susceptible to a USB port debugging vulnerability that could allow an attacker to take over full control of a system. Starting with Skylake (and presumably Kaby Lake, though the researchers do not specifically mention Intel's 7th generation Core CPUs), Intel  U-series chips have a debugging interface that is accessible via USB 3.0 ports, and that is where the potential problem lies.
芯片巨头Intel的最新U系列处理器被发现了一个通过USB3.0接口能侵入系统的严重漏洞。本来USB3.0保留的这个接口是为了调试方便而设置的，但是被黑客恶意利用后，会完全控制该计算机。默认设置状体下，机器中的DCI设置开启，为该漏洞的利用打开了绿灯。

//END
Goryachy went so far as to insinuate that this could be a bigger security problem than Stuxnet. Whereas Stuxnet only infected Windows PCs, this latest vulnerability can be used on any system running an Intel U-series CPU, including laptops and NUCs.
据安全专家声称：该漏洞可能比著名的震网病毒利用的漏洞还严重。因为本漏洞能穿越所有的安装了Intel U系列的计算机中，不管是笔记本还是其他的类型的机器等。

点评：漏洞越来越深，都到了CPU级了。

4、研究人员发现WhatsApp加密会话可被拦截缺陷
标题：Researcher: WhatsApp Bug Exposes Encrypted Messages

作者信息：2017/1/13 By Catalin Cimpanu

//BEGIN
Security researcher Tobias Boelter has discovered a bug in the encrypted communications system used by WhatsApp that allows a determined third-party actor, possibly Facebook, to intercept encrypted messages.
安全研究人员警告即时通讯软件WhatsApp的会话可能被截获、监听，利用的就是一个被发现在加密通讯过程中出现的bug。

//END
When two WhatsApp users want to talk to each other, they send their public encryption keys to the WhatsApp server,
为了了解原委，必须先了解WhatsApp是如何彼此通话的。。。

点评：有bug不怕，怕的是死不承认，坚决不改。

5、英国劳埃德银行因DDoS攻击导致在线业务瘫痪
{CHN}
标题：《英国四大银行之一的LLOYDS银行被攻击，在线业务瘫痪》

作者信息：2017-01-13 11:13:48 By 电信云堤

//BEGIN
英国四大行之一的Lloyds（劳埃德银行）被攻击？业务瘫痪？您没听错，它就真是的发生在刚刚过去的昨天！！！
        看了小堤制作的这起新鲜出炉的案例剖析，估计您也应该关注一下自身企业的DNS权威域名服务是否能够经受基于正常的DNS协议的DDoS攻击呢？您是否正在使用错误的防护方案对关键的权威域名服务器进行防护呢？ 相信小堤的提供值得所有企业客户的关注。

//END
在应对大流量的DNS攻击时，不仅需要部署足够多的DNS server以满足容量的要求，还要储备足够大的带宽以吃下所有的攻击流量。无论是在带宽资源还是计算资源任意一个环节出现了瓶颈，都将会直接造成业务的中断。目前绝大多数企业的带宽储备和DNS容量距离当今的攻击规模都至少差出一个数量级，如要通过自行建设和扩容，安全的投资效益比又会极具下降。因此部署一个位于体外的DNS灾备节点将会是部署时间最短、效果最好、最省钱的解决方案。
       最后，小堤想告诉大家，我们中国电信云堤的灾备DNS平台就是这么一个超大容量、超大带宽的专用权威DNS平台。拥有了云堤灾备DNS服务，就好比拥有了一个24小时贴身保镖，在遇到DNS攻击的时候，云堤将会为您的DNS服务保驾护航。中国工商银行已经选择了云堤的灾备DNS服务，重视安全的您也不要犹豫了！

点评：抗DDoS攻击找云堤？

6、2016年常用密码排行榜：使用123456接近两成
{CHN}
标题：2016年最常见密码排行榜出炉：仍有17%互联网用户使用“123456”

作者信息：2017-01-14 08:05 By cnBeta

//BEGIN
每年，安全专家等都建议公众为他们的账号设置更安全的密码，然而每年公众也都没有注意到他们的建议。据外媒报道，近日在检查了超过一千万个密码后， 国外Keeper团队公布了2016年最常见（最弱）密码排行榜。该团队发现，仍有7％的互联网用户将“123456”作为密码。

//END
Keeper团队分析的十大最受欢迎（最弱）密码如下：
1.123456
2.123456789
3.qwerty
4.12345678
5.111111
6.1234567890
7.1234567
8.password
9.123123
10.987654321

点评：空密码竟然未进前10？