每日安全简讯(20170117)

1、RIG EK被利用向流行应用传播勒索软件Cerber
2、四家不同英国医院遭到大规模恶意软件攻击
3、钓鱼攻击活动伪装用户联系人欺骗Gmail用户
4、三星智能摄像头存在远程命令执行安全漏洞
5、黑客入侵韩国总统案件的调查人员个人电脑
6、特朗普网络安全顾问网站被发现安全性极差

【安天】搜集整理（来源：securityweek、newsbtc、mentalfloss、softpedia、sputniknews、cnbeta）

1、RIG EK被利用向流行应用传播勒索软件Cerber
标题：New RIG Campaign Distributes Cerber Ransomware

作者信息：January 15, 2017 By Ionut Arghire

//BEGIN
A newly observed campaign leveraging the RIG exploit kit is targeting outdated versions of popular applications such as Flash, Internet Explorer, or Microsoft Edge to distribute the Cerber ransomware, Heimdal Security warns.
安全公司最新发现了一例借助 漏洞利用包EK 进行传播勒索软件的例子。这里的勒索软件是指Cerber；漏洞利用包EK针对的则是流行应用程序：Flash、Internet Explorer和微软Edge等等，利用的漏洞数量有8个之多。漏洞编号列表为：CVE-2015-8651、CVE-2015-5122、CVE-2016-4117、CVE-2016-1019、CVE-2016-7200、CVE-2016-7201、CVE-2016-3298以及CVE-2016-0034等等。
黑客具体过程为：（1）黑掉一些目标用户经常关顾的网站；（2）发起网络钓鱼和水坑攻击：引诱用户访问这些网站，达到的效果是：在不要用户任何点击动作的情况下，就能直接实现勒索软件的下载和安装运行。前提是这些目标用户的机器上安装了以上流行程序（未打补丁版）。

//END
“As you can see, cybercriminals often use vulnerabilities already patched by the software developer in their attacks, because they know that most users fail to apply updates when they’re released. In spite of the wave of attacks, many Internet users still choose to ignore updates, but we hope that alerts such as this one will change their mind and make them more aware of the key security layer that updates represent,” Heimdal’s security evangelist Andra Zaharia notes.
安全专家指出：虽然厂家及时发布了补丁程序，但是考虑到各种现实情况，真实的用户场景是很多用户并不能第一时间升级相关补丁，毕竟计算机是用来使用的，核心是用来完成各种各样的业务。如果因为打补丁而耽误了业务的连续性运行，得不偿失。这也许是真实情况，也可能是很多用户的无赖选择。
黑客们正是看中了这一点；他们就知道很多人并未能及时打上各种补丁（见以上8个漏洞），然后他们就可以设计出这种有针对性的攻击方法。因此有时漏洞的公开也是双刃的。

点评：漏洞修补的确很重要。但是如果最终用户整天忙于修复各种补丁就可能本末倒置，导致很多用户就干脆不打补丁，这也引来更加严重的黑客攻击....

2、四家不同英国医院遭到大规模恶意软件攻击
标题：Four Major UK Hospitals Targeted In Malware Attack
It's not the first time UK hospitals are targeted by cyber criminals.
作者信息：11:00 pm January 14, 2017 By JP Buntinx

//BEGIN
Four different UK hospitals have been hit by a large-scale malware attack. Several thousands of files across these London hospitals are threatened by this malicious software. Barts, the largest NHS trust in England, is working on addressing the situation. Interestingly enough, it does not appear ransomware
is used for this attack Moreover, there is no Bitcoin demand by the cyber criminals either.
四家不同英国医院遭到大规模恶意软件攻击，成千上万的医疗文件被恶意软件盗走，对病人和医院造成严重威胁。监管机构正在调查该状况。有意思的，在这个事件的过程中，没有勒索软件的参与，而且这些黑客也没有要求勒索。

//END
It is not the first time UK hospitals are targeted by cyber criminals. In October of 2016, the Northern Lincolnshire and Goole foundation trust suffered a similar attack. A ransom demand was made at the time, yet never paid for. All patient appointments had to be canceled as a result, due to internal hospital systems being unusable. It is evident the UK healthcare sector remains vulnerable to these types of attack,and action needs to be undertaken sooner rather than later.
已经不是第一次英国医院遭到攻击了。2016年10月，2家机构也遭受了类似的攻击，不过那时是有勒索软件的身影，而且被索要了赎金。只不过，没人支付过。对于病人来说，由于当时相关的管理系统不能使用，直接导致所有的病人的预约都被迫取消。到目前为止，这些医疗机构还是处于风险之中，是时候采取一些行动了，宜早不宜迟！否则后果可能更严重。

点评：勒索软件并未走远。

3、钓鱼攻击活动伪装用户联系人欺骗Gmail用户
标题：This Phishing Scam Is Targeting Gmail Accounts by Posing as Your Contacts

作者信息：January 14, 2017 5:00am  By Jay Serafino

//BEGIN
You might think you're tech-savvy enough to spot a fake email from a scammer pretending to be PayPal or eBay, but what about one coming from a familiar contact? And what if the message attached read just like something sent from a real person? That's exactly what a new email phishing scam is doing to unassuming Gmail users, according to Boing Boing.
如果您认为自己已经具备了一双识别钓鱼邮件的慧眼啦，那么建议您还是读读这篇文章先。
钓鱼邮件已经不满足与冒充PayPal或者eBay等的支付邮件了，现在他们冒充您通讯录里的人，而且其邮件标题以及附件看起来很像是您原来就发送过的，但是正文的URL才是鱼饵所在！点击这个URL就能登录到一个假冒的Gmail邮件登录页面。如果您不经常登录Gmail或者不熟悉其具体流程，慌张中很可能就将自己的登陆账号和密码拱手相送给黑客了。


//END
The attackers log in to your account immediately once they get the credentials, and they use one of your actual attachments, along with one of your actual subject lines, and send it to people in your contact list.
For example, they went into one student’s account, pulled an attachment with an athletic team practice schedule, generated the screenshot, and then paired that with a subject line that was tangentially related, and emailed it to the other members of the athletic team.”
一旦您输入了自己的登录账号信息，那么黑客就会很快真的会登录到您的信箱中，然后进一步采用类似的方法进行下一步的钓鱼行动，这就是所谓的“链式”效应吧：下一个位于您邮箱中的联系人以及往来的信件（含附件）就会再次被利用、传播：真实的邮件附件、真实的邮件主题、发送到联系人信箱。


点评：假作真时真亦假。真真假假。

4、三星智能摄像头存在远程命令执行安全漏洞
标题：Samsung’s Smartcams Can Be Hacked to Gain Root Access
New exploit discovered can give root privileges

作者信息：Jan 16, 2017 10:53 GMT   By Bogdan Popa

//BEGIN
A new vulnerability was discovered in Samsung Smartcam, allowing attackers to gain root access to the device and run commands remotely.
三星的智能摄像头存在RCE远程代码执行漏洞，成功利用这个漏洞能让攻击者获得这些摄像头的根目录权限，并执行远程控制命令。这些远程摄像头广泛应用于家庭儿童或者老人看护、办公场所的安全以及家居安全等等领域。

//END
In the meantime, you can find additional information, including a proof of concept plus a workaround to patch the vulnerability without an official fix on exploitee’s Smartcam wiki page detailing the flaw.
官方到目前为止还未发布正式的解决方案，同时也未承诺何时能发布修补方案。
如果目前想修补可以参考Wiki的网页会有漏洞验证方法以及临时解决办法。

点评：Mirai事件还要重演吗？文中并未披露当下有多少个受影响的三星摄像头。

5、黑客入侵韩国总统案件的调查人员个人电脑
标题：Hackers Attack Computers of Investigators in S Korean President Corruption Case

作者信息：06:32 16.01.2017 By Sputnik)

//BEGIN
Hackers attacked computers of the investigators in the corruption case of South Korea's impeached President Park Geun-hye, local media reported Monday.
The personal computers of the investigators were hacked via foreign servers in order to get access to the network of the team, engaged in the investigation into the presidential aide interference into the state affairs, the Yonhap news agency reported.
黑客企图入侵韩国总统案件的调查人员个人电脑，这些黑客采用的服务器来自韩国之外，显然这些黑客的目的是干扰该国的事务，但并未成功，并未发生实际的盗取任何有价值信息和文件。

//END
The South Korean parliament decided to impeach President Park on December 9 due to her involvement in the scandal. The Constitutional Court has six months to decide upon the validity of the parliament's impeachment of Park. If the impeachment is recognized valid, presidential elections should be called
within two months.
韩国议会已经在去年12月9日已经决定弹劾该国在职总统，原因是其参与了干政门。宪法法院有半年的时间以决定这个弹劾是否有效。一旦在此期限内，宪法法院确认有效的话，那么现任总统就会立即下台，同时在2个月内举行总统选举。

点评：网络安全在政治领域的又一案例。

6、特朗普网络安全顾问网站被发现安全性极差
{CHN}
标题：特朗普网络安全顾问的网站被发现安全性极差

作者信息：2017-01-15 07:29:08 By cnBeta

//BEGIN
特朗普网络安全顾问 Rudy Giuliani 的网站Giulianisecurity.com（域名停止解析，但服务器IP地址可以直接访问209.238.99.227） 被发现安全性极差，安全研究人员认为“你或许也能黑进网站的服务器”。

//END
Giuliani 的网站运行的是2012年发布的内容管理系统 Joomla! v3.0，没有更新，该版本已知存在15个安全漏洞，其中部分漏洞可被利用通过简单的 SQL注入入侵服务器。
服务器运行的是非常古老的FreeBSD版本，2007年发布的 OpenSSH 4.7。   

点评：快补！