设为首页

 找回密码
 注册创意安天
创意安天»论坛 社区服务 傲气安天 IT综合信息区 每日安全简讯(20170119)
返回列表 发新帖

每日安全简讯(20170119)

[复制链接]
发表于 2017-1-19 00:16 | 显示全部楼层 |阅读模式
1、勒索软件Spora为受害者提供独特支付选择
2、勒索软件攻击全文索引引擎Elasticsearch
3、新恶意软件GhostAdmin可窃取和过滤数据
4、谷歌商店有多款App可以窃取INS用户密码
5、Carbanak组织回归,以谷歌服务器作为C2
6、US-CERT警告:影子经纪人售SMB 0Day漏洞

【安天】搜集整理(来源:threatpost、aqniu、bleepingcomputer、softpedia、darkreading、securityweek)
回复

使用道具 举报

发表于 2017-1-19 23:23 | 显示全部楼层
1、勒索软件Spora为受害者提供独特支付选择
标题:SPORA RANSOMWARE OFFERS VICTIMS UNIQUE PAYMENT OPTIONS

作者信息:January 18, 2017  7:00 am By Tom Spring

//BEGIN
Researchers are keeping close tabs on a new ransomware strain called Spora that offers victims unique payment options and comes with top-notch encryption.
研究人员发现了勒索软件的变种Spora,这个勒索软件与其他的勒索软件有些不同:它设置了不同选项,可以供用户选择支付的类别,甚至还有免费随机恢复2个文件的选项,以证实其确实可以恢复文件。另外:其加密方式也非常高级,而且似乎没有漏洞可利用。也就是说,一旦感染除了支付赎金,被加密的文件基本没有办法破解。

//END
“Spora seems to be a ransomware family as advanced and well-run as Cerber and Locky, and we may soon see its operators expand from Russia to other countries across the world,” researchers note in the report.
当前该勒索软件只在俄罗斯传播,当然很快会传播到其他国家和地区。

点评:与一周前的是同一新闻:[20170112.1] 勒索软件新家族Spora拥有复杂支付赎金网站  https://www.bleepingcomputer.com ... ent-site-as-of-yet/
对付勒索软件,建议采用备份备份再备份的3B原则:Backup、Backup、Backup(Beifen、Beifen、Beifen)。
不过,这个Spora勒索软件提供一个“清除”勒索软件的选项:20刀。这个选项看来是专门修补3B原则而设置的。
回复

使用道具 举报

发表于 2017-1-19 23:23 | 显示全部楼层
2、勒索软件攻击全文索引引擎Elasticsearch
{CHN}
标题:Elasticsearch遭勒索软件攻击 被删除数据达450TB

作者信息:2017年1月18日 By 白帽汇

//BEGIN
2017年1月12日,白帽汇监测到针对全球使用广泛的全文索引引擎Elasticsearch的勒索事件,经过多日的跟进分析,直至2017年1月17日,共有3波勒索者,根据白帽汇FOFA系统对删除之前数据与被删除数据进行对比分析,此次攻击被删除的数据至少500亿条,被删除数据至少450TB。在勒索事件发生后,有1%的Elasticsearch启用了验证插件,另外有2%则关闭了Elasticsearch。

//END
Elasticsearch方便,实用的同时,也引入了安全隐患和数据泄露的风险。那么如何加强安全防范呢,这里给大家如下安全建议:
1. 增加验证,官方推荐并且经过认证的是shield插件,该项目为收费项目,可以试用30天。网络中也有免费的插件,可以使用elasticsearch-http-basic,searchguard插件。
Shield 可以通过bin/plugin install [github-name]/[repo-name] 形式安装
2. 使用Nginx搭建反向代理,通过配置Nginx实现对Elasticsearch的认证。
3. 如果是单台部署的Elasticsearch,9200端口不要对外开放。
4. 使用1.7.1以上的版本。在1.7.1以上版本目前还没有爆出过相关漏洞。
5. 另外elasticsearch的官方也有其他产品与Elasticsearch配合紧密的,这些产品也存在漏洞,企业如果有使用其他相关产品存在漏洞也要进行修复,如Logstash,Kibana。
6. 加强服务器安全,安装防病毒软件,使用防火墙,网站安装WAF.并对数据库,系统,后台,使用的服务设置复杂的密码,建议设置16位的大小写字母+特殊字符+数字组合。

点评:类似于[20170116.2] 攻击MongoDB黑客团伙瞄准Elasticsearch集群  http://securityaffairs.co/wordpr ... /elasticsearch.html
回复

使用道具 举报

发表于 2017-1-19 23:25 | 显示全部楼层
3、新恶意软件GhostAdmin可窃取和过滤数据
标题:New GhostAdmin Malware Used for Data Theft and Exfiltration

作者信息:January 17, 2017 02:00 PM  By Catalin Cimpanu

//BEGIN
Security researcher MalwareHunterTeam discovered today a new malware family that can infect computers and allow crooks to take control of these PCs using commands sent via an IRC channel.
安全公司的研究人员发现了一种新型的恶意代码家族,它们能通过IRC聊天工具下发指令,进而完全控制受害者的电脑,使其成为僵尸网络的一份子。按照目前的技术分析,该恶意代码形成的僵尸网络目前正在活动中,而且还在对至少两家公司的目标发起攻击,并盗取GB级别的数据和信息。这两家公司一家是一个彩票公司,另外一家是互联网咖啡公司。仅仅从后者就盗取了多达368GB的数据。

//END
At the time of writing, GhostAdmin detection rate on VirusTotal was only 6 out of 55.
截止本文发稿时为止,这个新的恶意软件在VT中的检出率为6家(一共55家)。

点评:没有勒索的表述,但是这样的大批量的有用数据就是一堆比特币呀。
回复

使用道具 举报

发表于 2017-1-19 23:26 | 显示全部楼层
4、谷歌商店有多款App可以窃取INS用户密码
标题:Android Apps Stealing Passwords Published in the Google Play Store
McAfee researchers discover infected apps in the Store

作者信息:Jan 17, 2017 08:15 GMT   By Bogdan Popa

//BEGIN
A team of engineers from Intel Security discovered a series of apps published in the Google Play Store that attempted to steal Instagram users’ passwords.
根据安全公司的分析,多款谷歌官方商店的APP均试图盗取用户的社交软件Instagram的用户账户信息:用户名和密码等。采用的方式基本是最简单的钓鱼页面的方式。其实越简单越难以辨别真假。而且由于恶意代码截获后的传输采用的是明文的方式,因此任何其他的设备只要有监控功能,也可能获取用户的Instgram的登录凭证。

//END
Additionally, users who have already installed any of the malicious apps are recommended to change their Instagram account passwords as soon as possible, as well as the credentials used for accounts were the same password was previously configured.
鉴于此,强烈建议用户修改其Instgram的登录密码,而且要尽快。另外如果其他的账号也采用同样的密码的也都需要一并修改,避免躺枪。尽管当前含有这些恶意功能的APP已经下架,但是其影响不会随之而消退。

点评:Android的安全建议安装AVL Pro!
回复

使用道具 举报

发表于 2017-1-19 23:27 | 显示全部楼层
5、Carbanak组织回归,以谷歌服务器作为C2
标题:Carbanak's Back And Using Google Services For Command-and-Control

作者信息:1/17/2017 03:10 PM By Dark Reading Staff

//BEGIN
Cybercrime gang employs common cloud services to hide in plain sight.
The infamous Carbanak cybercrime gang responsible for hacking and stealing money from financial insitutions in 2015 recently resurfaced with a new modus operandi: using Google services for command-and-control of its malware.
臭名昭著的Carbanak回归了:这回是以一种特别的方式进行,C2采用正规和知名的Google云服务器的方式。这样就能达到大隐于市的效果。

//END
Carbanak, which was first discovered by researchers at Kaspersky Lab, is an international cybercrime ring based out of Eastern Europe that pilfered some $1 billion in two years from 100 different banks in nearly 30 countries using spear phishing emails targeting bank employees. Its targets were mainly Russian financial institutions, followed by banks in Denmark and the US.
这个新出来的Carbanak最早由俄罗斯的卡巴发现,其主要由盘踞在东欧的团伙利用,这些坏蛋在2年的时间内从30个国家的100多家不同的银行成功盗取了约10亿美金的巨款。其方式就是再简单不过的钓鱼邮件。受害者起初都是俄罗斯的金融机构,随后传播到丹麦和美国等国家和地区。

点评:好家伙,我们的敌人也一样用上了云服务。
回复

使用道具 举报

发表于 2017-1-19 23:28 | 显示全部楼层
6、US-CERT警告:影子经纪人售SMB 0Day漏洞
标题:US-CERT Issues Warning After Hackers Offer SMB Zero-Day

作者信息:January 18, 2017 By Eduard Kovacs

//BEGIN
The United States Computer Emergency Readiness Team (US-CERT) has issued a warning after the threat group calling itself Shadow Brokers has offered to sell what it claims to be a zero-day exploit targeting the Server Message Block (SMB) network file sharing protocol.
在影子经纪人发售服务器信息块SMB的0day漏洞后,美国CERT组织发布了一个风险警告。

//END
This is not the first time US-CERT has issued an alert following a Shadow Brokers announcement. In September, the agency warned organizations after the threat group released exploitation tools for old and new vulnerabilities affecting Cisco products.
这已经不是第一次US-CERT因为影子经纪人的行动而行动了。就在去年的9月份,US-CERT还相应发布了关于CISCO等产品存在一些新漏洞的提示和告警,同样也是在影子经纪人发布声明后。

点评:影子经纪人如影随形。
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2025-6-10 15:55

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表