每日安全简讯(20170118)

1、安天发布方程式组织Drug攻击平台分析报告
2、山寨超级马里奥跑酷安装远控木马DroidJack
3、研究者发现麦当劳网站搜索功能存在XSS漏洞
4、Carlo Gavazzi能源监控产品存在高危漏洞
5、雅虎帐号泄露事件影响3千澳大利亚政府官员
6、俄罗斯国家电视台谴责黑客提前泄露夏洛克

【安天】搜集整理（来源：antiy、securityweek、securityweek、securityweek、ibtimes、securityaffairs）

1、安天发布方程式组织Drug攻击平台分析报告
{CHN}
标题：方程式组织EQUATION DRUG平台解析(提纲)
方程式组织系列分析报告之四
作者信息：2017年1月17日 8时30分 By 安天安全研究与应急处理中心（Antiy CERT）

//BEGIN
对于“方程式组织”，在过去的两年中，安天已经连续发布了三篇分析报告：在《修改硬盘固件的木马——探索方程式（EQUATION）组织的攻击组件》[1] 中，安天对多个模块进行了分析，并对其写入硬盘固件的机理进行了分析验证；在《方程式（EQUATION）部分组件中的加密技巧分析》[2]报告中，对攻击组件中使用的加密方式实现了破解；在《从“方程式”到“方程组”——EQUATION攻击组织高级恶意代码的全平台能力解析》[3]报告中，安天独家提供了方程式Linux和Solaris系统的样本分析，这也是业内首次正式证实这些“恶灵”真实存在的公开分析。

//END
此次“影子经纪人”释放的Equation Group中的61个文件，对于全球网络安全研究者分析厘清EQUATION相关攻击平台的组成和架构有很大帮助，而经过打通分析相关曝光信息，我们看到了该攻击平台的更多的信息，如数百个攻击插件以及“DanderSpritz”攻击平台。
通过对相关文件分析后，安天分析小组可以判断其中部分组件与之前卡巴斯基所曝光的GROK组件为同类样本，而这些组件为早期的低版本。另外，我们的分析结果也表明了“DanderSpritz”与Equation Drug使用相同的组件和架构设计，“DanderSpritz”可能就是方程式组织使用的Equation Drug攻击平台。
由于时间仓促，我们目前只披露了部分文件和泄露信息的相关分析成果，后续我们的分析工作还会继续进行下去。
五年前，在安天展开针对Flame（火焰）蠕虫的马拉松分析中，有专家曾提醒我们不要“只见树叶，不见森林”，这让我们深刻的反思了传统分析工程师“视野从入口点开始”的局限性，而开始尝试建立起从微观见宏观的分析视野。
对安天来说，这四年以来，对方程式组织的持续跟踪分析，对安天是极为难得的了解最高级别攻击者（即我们所谓A2PT，‘高级的APT’）的经历。深入研究这种具有超级成本支撑和先进理念引领的超级攻击者，对于改善安天探海、智甲、追影等高级威胁检测防御产品的防御能力也非常关键。但对于应对A2PT攻击者来说，无论是有效改善防御，还是进行更为全面深入系统的分析，都不是一家安全企业能够独立承载的。此中还需要更多协同，更多的接力式分析，而不是反复重复的发明轮子。正是基于这种共同认知，在不久之前第四届安天网络安全冬训营上，安天和360企业安全等安全企业向部分与会专家介绍了能力型安全厂商分析成果互认的部分尝试。只有中国的机构用户和能力型安全厂商形成一个积极互动的体系，才能更好的防御来自各方面的危险。
我们警惕，但并不恐惧，对于一场防御战来说，除了扎实的架构、防御、分析工作之外，必胜的信念是一个前提。
无形者未必无影， 安天追影，画影图形！

//下载： EQUATION_DRUG.pdf (1.74 MB, 下载次数: 347)

2017-1-18 23:51 上传

点击文件名下载附件

文件名  ：EQUATION_DRUG.pdf
文件大小：1，820，664 bytes
MD5     : 5E39C267749AEE2B4F38E3C07E068538

点评：[20170114.4]影子经纪人再次释放部分方程式组织泄漏文件 中描述的卡巴已经能查出泄露的61个文件中的44个。

2、山寨超级马里奥跑酷安装远控木马DroidJack
标题：DroidJack Masquerades as Super Mario Run for Android

作者信息：January 16, 2017 By Ionut Arghire

//BEGIN
Less than two weeks after the Marcher Trojan was found masquerading as the unreleased Super Mario Run game for Android, the infamous DroidJack RAT (Remote Access Trojan) has reportedly adopted the same distribution tactic.
热门游戏始终是黑客们的最爱。如果你是半拉子游戏迷就可得注意了：查看最新的游戏出台一定得看清其适用操作系统版本。当下的状况是很多游戏有iOS版本，但是并未有Android官方版本。黑客们就会利用很多游戏迷们的这种“无知”而假装是Android平台下的热门游戏来欺骗用户下载安装。而实际上最后安装的往往就是各种木马：比如这里的DroidJack远控木马。它是继“银行木马Marcher”之后的不到半个月的第二例。

//END
Users can head to the Security settings of their devices to uncheck the “Unknown Sources” option and prevent the device from installing applications
coming from sources others than trusted app stores. They should also make sure they always pay attention to the permissions newly installed applications ask for, because these are often a dead giveaway when it comes to malicious code.
下载应用或者游戏一定得到正规的Store商店下载，不要到不正规的地方下载，风险很大。轻的感染广告件，重的就可能中网银木马、远控木马等等。

点评：与10天前的[20170108.1]山寨超级马里奥跑酷安装银行木马Marcher 类似。

3、研究者发现麦当劳网站搜索功能存在XSS漏洞
标题：McDonald's Website Flaws Allow Phishing Attacks

作者信息：January 17, 2017 By Eduard Kovacs

//BEGIN
A researcher has disclosed a couple of unpatched vulnerabilities affecting the official McDonald’s website after the company ignored his attempts to
responsibly report the issues.
一个安全工作者发布了几个麦当劳网站的反射性跨站脚本漏洞，这些漏洞几次被报告给官方，但是官方不理不睬：报告从12月24到30日。在这一周内没有任何消息后，该安全人员决定在1月5日公布了该漏洞。当然也有人批评该研究人员不考虑正在假期的现实情况而草率的公布了漏洞细节。

//END
“Reflected XSS is one of the most common vulnerability introduced by developers in web-facing applications,” said Julien Bellanger, co-founder and CEO
of Prevoty. “Enterprises are struggling with securing production applications at scale due to more frequent releases and the rise of agile and DevOps
practices. I would expect to see more of these critical disclosures in the future.”
其实反射性跨站脚本漏洞是一个非常流行的漏洞，特别是在WEB应用开发方面。一旦应用经常升级变换新版本，这种漏洞几乎很难避免。

点评：一言不合就公开！

4、Carlo Gavazzi能源监控产品存在高危漏洞
标题：Flaws Found in Carlo Gavazzi Energy Monitoring Products

作者信息：January 16, 2017 By Eduard Kovacs

//BEGIN
Swiss-based industrial and building automation solutions provider Carlo Gavazzi has released firmware updates for some of its energy monitoring products to address potentially serious vulnerabilities that could expose devices to remote cyberattacks.
Carlo Gavazzi是一家来自瑞士的工业和建筑自动化解决方案提供商。经过近5个月的努力，最近该供应商发布了其能源监控产品的固件升级补丁，以修补其可能存在的高危和严重级别的漏洞。这些漏洞是三连号的：CVE-2017-5144、CVE-2017-5145和CVE-2017-5146等。

//END
Carlo Gavazzi is not the only vendor whose energy monitoring products have been found to be vulnerable by Ganeshen. A few months ago, he disclosed a series of flaws affecting power meters from Schneider Electric and FENIKS PRO.
以上的这些漏洞是由一位名叫Ganeshen的安全人员发现并报告给该厂家的，其实这个研究人员还发现了其他厂家的智能电表的安全漏洞，厂家包括著名的德国施罗德等。

点评：这个领域的研究与传统恶意代码的研究可能有比较大的差异：属于工业控制领域。

5、雅虎帐号泄露事件影响3千澳大利亚政府官员
标题：High-profile Australian government officials victims of Yahoo data breach

作者信息：January 17 2017 12:13 PM By Michelle Mapa

//BEGIN
More than 3,000 hacked Yahoo log-in credentials were linked to high-profile Australian government officials. US security company Infoarmor has confirmed the information alerting the Department of Defence. According to the Arizona-based cyber-security firm, a hacker organisation from Eastern Europe stole the data from Yahoo in 2013.
据称一个来自东欧的黑客组织在2013年黑进了Yahoo公司的用户登录数据库，其中被泄露的知名人士的信息超过3000名，这些大多来自澳大利亚，而且都是一些高级政府官员。该信息是由一个美国位于亚利桑那州的安全公司发布的。

//END
Most Government officials affected by the Yahoo data breach declined to comment. However, Porter's spokeswoman said that the social services minister have never used a Flickr account. Meanwhile, Bernardi's spokesperson said that the senator has no Yahoo account. ​
大多数涉及此事的政府官员都不予置评。有的干脆否认自己有过Yahoo账号或者Flickr账户，也就谈不上泄露一说了。

点评：雅虎泄露事件持续发酵。

6、俄罗斯国家电视台谴责黑客提前泄露夏洛克
标题：Russian Channel One alleged hacked and BBC Sherlock Final Leaked

作者信息：January 17, 2017  By Pierluigi Paganini

//BEGIN
On Monday, Russian State Television Channel One leaked online the BBC Sherlock Final episode, the broadcaster blames hackers.
On Monday, a Russian state television Channel One blamed hackers for the leak online of the final episode of the BBC drama Sherlock a day before its
actual planning.
夏洛克就是私人侦探，最著名的可能就是福尔摩斯了。英国最新的剧情的最后一集俄语版本，被黑客入侵，并在其正式发布前一天泄露在网络上。这事发生在本周一由俄罗斯国家电视台披露。该电视台谴责了此次黑客事件，而且正联合BBC等相关方一起侦破该案件。

//END
“There appears to be no profit motive, no benefit to the broadcaster from doing this. What remains is a political motive. The most obvious explanation is
that this is punitive.” explained Ben Nimmo, information fellowdefence at the Atlantic Council think tank.
这个泄露事件对黑客来说并无利可图，显然是处于政治目的。他们想通过这个事件来惩罚一些他们怨恨的人。

点评：横跨俄罗斯和英国，看来这事情看起来还挺有讽刺意味的：不过还好只是一部电视剧，如果是新式武器装备的图纸那就麻烦大了。