每日安全简讯(20170116)

1、安全厂商发现ATM恶意软件新变种Ploutus-D
2、攻击MongoDB黑客团伙瞄准Elasticsearch集群
3、研究者发现Office OLE被用于传播Keylogger
4、美国学生因编写Keylogger面临十年牢狱之灾
5、Aerospike早期版本存在RCE和信息泄露漏洞
6、中国联通被诉流量劫持透视背后黑色产业链

【安天】搜集整理（来源：securityaffairs、securityaffairs、securityweek、slashdot、securityweek、cnbeta）

1、安全厂商发现ATM恶意软件新变种Ploutus-D
标题：Ploutus-D, a new variant of Ploutus ATM malware spotted in the wild

作者信息：January 15, 2017  By Pierluigi Paganini

//BEGIN
Security experts from FireEye have spotted a new variant of the infamous Ploutus ATM malware that infected systems in Latin America.
通过外接键盘以及发送短信，就能盗取ATM机器中的现金！此事已经在南美洲出现了！安全公司FireEye详细分析了该恶意代码具体的技术细节：感染平台；ATM的型号；与上一版本的技术对比等等。

//END
The analysis includes the main differences with previous versions and Indicators of Compromise (IOC) to use for the identification of the threat.
这个恶意代码最大的困难可能还是在于这些黑客们如何抵近ATM机。目前安全专家估计这些黑客们的几种途径要么是直接从授权的经销商处购买一台ATM机（这么他们还可以预制一些特殊的软件）；要么一种最坏的情况是直接从银行偷一台ATM机器，然后用来搞破坏！

点评：与2天前的报告 ====> [20170114.2] ATM恶意代码Ploutus变种在拉丁美洲大肆传播 <====相同。

2、攻击MongoDB黑客团伙瞄准Elasticsearch集群
标题：Hackers that hit MongoDB installs now switch on exposed Elasticsearch clusters

作者信息：January 14, 2017  By Pierluigi Paganini

//BEGIN
The hackers that targeted MongoDB installations with ransom attacks now switch on the exposed Elasticsearch clusters with a similar tactic.
攻击MongoDB黑客团伙瞄准Elasticsearch集群，这是从其采用的基本技术手段推测出的：获取在互联网上“公开的”数据库，直接删除或者加密，以勒索受害者。

//END
As usual, let me suggest you to avoid paying, but report the incident to law enforcement.
安全专家建议：不要向勒索软件低头，直接报告给相关主管部门！

点评：对付勒索软件，建议采用备份备份再备份的3B原则：Backup、Backup、Backup（Beifen、Beifen、Beifen）。

3、研究者发现Office OLE被用于传播Keylogger
标题：Attackers Use Office's OLE to Distribute Keylogger

作者信息：January 13, 2017 By Ionut Arghire

//BEGIN
A recently observed targeted attack campaign that hit a major financial services provider was distributing an unknown keylogger disguised as a Silverlight update, Proofpoint researchers reveal.
安全公司的最新研究成果表明：一个伪装成Silverlight升级包的未知键盘记录木马袭击了一个主要的财经服务提供商。该木马是通过邮件发送的，伪装成WORD文档，为了避免被检测到，其中附加的关键模块被采用混淆的方式来迷惑监测者。

//END
“As threat actors move beyond the use of malicious macros, organizations will need to rethink how they prevent malicious content from reaching end users. While many businesses are either blocking Microsoft Office macros at a policy level or educating users about the dangers of enabling macro content, attackers have other means of creating weaponized documents for distributing malware - in this case, an embedded Visual Basic script in a Microsoft Word document with a keylogger payload,” Proofpoint concludes.
安全公司的研究人员在总结了该恶意代码的行为后，得出结论指出：恶意的宏代码已经被很多人认识到，因此不少公司的安全策略还严格要求微软的Office的宏被禁止执行，同时教育其员工和客户不要随意启用文档中的宏。恶意宏这条路行不通后，黑客们正想办法通过其他的方式进攻用户的计算机：这里的策略是采用内嵌的VBS脚本的方式，它们隐藏在WORD文档中，而这个其实是一个键盘记录木马。

点评：Keylogger已经是“资深”木马了，到目前为止还能传播作乱，不想点新招式，还是挺难的。

4、美国学生因编写Keylogger面临十年牢狱之灾
标题：Student Hacker Faces 10 Years in Prison For Spyware That Hit 16,000 Computers

作者信息：Saturday January 14, 2017 01:49PM By the write-a-keylogger-go-to-jail dept.

//BEGIN
A 21-year-old from Virginia plead guilty on Friday to writing and selling custom spyware designed to monitor a victim's keystrokes. Zachary Shames, from Great Falls, Virginia, wrote a keylogger, malware designed to record every keystroke on a computer, and sold it to more than 3,000 people who infected more than 16,000 victims with it, according to a press release from the U.S. Department of Justice.
上周五，21岁的美国青年Zachary Shames被控制作和传播其定制的键盘记录器等恶意软件而被起诉。这个定制的恶意软件卖给了3000个人，感染的机器超过16000台。

//END
Shames, who appears to be a student at James Madison University, developed the first version of the spyware while he was still a high school student in 2013, "and continued to modify and market the illegal product from his college dorm room," according to the feds... While the feds only vaguely referred to it as "some malicious keylogger software," it appears the spyware was actually called "Limitless Keylogger Pro," according to evidence found by a security researcher who asked to remain anonymous... According to what appears to be Shames Linkedin page, he was an intern for the defense contractor Northrop Grumman from May 2015 until August 2016.
The Department of Justice announced that he'll be sentenced on June 16, and faces a maximum of 10 years in prison.
根据美国司法部表示该案件可能在今年的6月16日宣判，最多可能面临10年的徒刑。
其实该青年从2013年在其上高中时就开始编写恶意键盘记录器，并不段更新，直到其上了大学也一样，不过这时的更新通常从其宿舍发出。该青年自称其在2015年的5月到2016年的8月在一个国防部的供应商处实习。

点评：Keylogger已经是“资深”木马了，到目前为止还能传播作乱，不想点新招式，还是挺难的。

5、Aerospike早期版本存在RCE和信息泄露漏洞
标题：Serious Flaws Found in Aerospike Database Server

作者信息：January 13, 2017 By Eduard Kovacs

//BEGIN
Researchers at Cisco Talos have identified several potentially serious vulnerabilities in Aerospike Database Server, including remote code execution and information disclosure issues.
Aerospike数据库服务器近期被发现存在严重安全漏洞，其类型包括远程代码执行以及信息泄露等。这个数据库服务器被几个大的品牌采用，包括：Kayak, AppNexus, Adform, adMarketplace 以及BlueKai等，它是一种高性能开源的NoSql数据库解决方案。
本次披露的漏洞分为三个，级别分别是严重或者高危险。编号分别是：CVE-2016-9054、CVE-2016-9052以及CVE-2016-9050等三个。



//END
Cisco recently decided to extend the disclosure timeline for vulnerabilities found by Talos researchers from 60 days to 90 days after data collected by the company showed that the average time-to-patch had been 78 days.
披露该漏洞的Cisco的Talos团队表示，其漏洞披露策略的时间从60天延长到90天，原因是其统计分析表明，通常从发现漏洞到修补的时间周期一般为78天，为了给相关厂家足够的时间来修补其发现的漏洞，因此决定披露的时间延长到90天。

点评：披露的周期越长是否意味着可能被利用的时间也越长？

6、中国联通被诉流量劫持透视背后黑色产业链
{CHN}
标题：中国联通被诉流量劫持 透视背后黑色产业链

作者信息：2017-01-15 09:07:31 By 中国经营报

//BEGIN
因旗下财联社APP的用户流量被劫持，蓝鲸传媒集团母公司上海正见文化传播有限公司日前正式向北京市西城区人民法院提起诉讼，要求中国联通在原告指定的网站上赔礼道歉，道歉时间30天。1月7日，《中国经营报》记者向中国联通询问，对方表示，法院立案不久，就目前原告所呈证据，无法证明是中国联通所为，除此之外，公司不予置评。
记者了解到，此案源于2016年11月一位上海联通的财联社APP用户的投诉。由于该应用下方的弹窗广告，使该用户的手机移动流量至当月24日消耗了6.2G，财联社与中国联通交涉后，仍有用户流量被劫持事件发生。财联社母公司蓝鲸传媒集团认为，中国联通未从根本解决问题。


//END
李铁军告诉记者，流量劫持中的广告大多是中小企业、无资质企业的产品或服务，甚至是涉及黄赌毒。“目前流量集中化，大型的、成熟的互联网公司掌握了绝大多数流量，因此广告费比较昂贵，合作门槛较高，而劫持流量成本非常低，只有做一个弹出广告的成本，可以说收益非常大。”
回归本案，付亮认为，中国联通劫持流量的动机值得商榷。“中国联通上市公司部分每年的营收有两千亿元乃至三千亿元，劫持流量所带来的广告收益相较于其正规渠道收入微不足道。如果中国联通流量劫持行为属实，可能是其内部工作人员为完成业绩，或满足自己的私利而与某些机构达成的交易，这种现象不排除也发生在其他运营商、网络设备商、互联网内容或服务提供者之中。”付亮说。

点评：小人物挑战大块头！