每日安全简讯(20170121)

1、勒索软件交易服务平台Satan现身暗网
2、CouchDB和Hadoop数据库遭比特币勒索
3、Apache Struts 多个版本被发现RCE漏洞
4、乌克兰确认2016年停电事故是黑客所为
5、著名游戏公司Supercell社区账户泄露
6、美国空军实验室投资建设网络欺骗系统

【安天】搜集整理（来源：securityaffairs、securityweek、securityfocus、securityaffairs、softpedia、networkworld）

1、勒索软件交易服务平台Satan现身暗网
标题：Satan, the ransomware-as-a-service surfaced in the dark web

作者信息：January 20, 2017  By Pierluigi Paganini

//BEGIN
The independent malware research @Xylit0l discovered the Satan ransomware, a malware belonging to the Gen:Trojan.Heur2.FU family.
Yesterday the independent malware research @Xylit0l discovered the Satan ransomware, a malware belonging to the Gen:Trojan.Heur2.FU family. Satan is provided as a RaaS (Ransomware-as-a-Service).
勒索软件即服务RaaS (Ransomware-as-a-Service)增加了一个新的平台Satan,其最明显的特征是如果被该勒索软件侵害，那么所有的文件会被新增stn字符串。比如原来的文件名如果是myfile.txt，那么被加密后，其完整的文件名会变成myfile.txt.stn.
这个发现是由一个独立的恶意代码分析师完成的。

//END
Satan, while crypt,  changes files’ extension in .stn for example myfile.txt in myfile.txt.stn.
Satan, once encrypted the files, creates an HTML file (HELP_DECRYPT_FILES.html) on desktop containing the ransomware note and instructions for the payment.
Crooks encourage victims to pay ransom to receive the private key for decrypt files. But never pay any ransom or attempt to contact these cyber criminals, because there is no guarantee that your files will be decrypted!.
Satan uses several anti-evasion and anti-debugging techniques, for example, it doesn’t run on a virtual machine making it difficult to analyze.
In a couple of days, crooks already released two version of the Satan platform.
该勒索软件Satan采用的加密模式有RSA和AES。该样本在VT平台的当前表现是有14家（全球总共55家）安全公司已经能检测、拦截了。
RaaS的服务费，Satan索求的是30%。也就是如果受害者支付1比特币，那么Satan会收取0.3比特币的服务费，其余的才是实施勒索软件者能得到的“净赎金”。能收取服务费，当然Satan平台还可以提供各种抗跟踪或者分析的能力，比如至少能检测如果是虚拟机环境，则不运行，避免其被动态跟踪分析。
截止目前为止，已经出现了两个版本的Satan平台了。

点评：对付勒索软件，建议采用备份备份再备份的3B原则：Backup、Backup、Backup（Beifen、Beifen、Beifen）。

2、CouchDB和Hadoop数据库遭比特币勒索
标题：Ransack Campaigns Target Hadoop and CouchDB

作者信息：January 19, 2017 By Ionut Arghire

//BEGIN
Following a series of ransom attacks against MongoDB and Elasticsearch databases in recent weeks, many users of CouchDB and Hadoop are now finding their databases are under attack as well.
数据库近期成为了勒索软件的目标。前几周已经有两个数据库MongoDB和Elasticsearch遭到勒索，而近期另外的两个数据库CouchDB和Hadoop正在遭遇与MongoDB和Elasticsearch相同的情形。数据库被盯上还有时间先后顺序：MongoDB最先、Elasticsearch其次。由于这些数据库都几乎是直接暴露在互联网上，并且能通过自动化工具搜索到，因此这给了黑客们便利的条件：自动化工具搜索和攻击：勒索或者直接删除数据库。

//END
The two security researchers have been hard at work over the past couple of weeks helping victims, and others have already joined their efforts, including Bob Diachenko, Matt Bromiley, and Dylan Katz.
为了安全起见，不能将这些数据库直接暴露在互联网上：修改默认设置，进而采取强身份认证设置、及时备份重要数据库以便不时之需。同时也可以与政府部门合作，及时通知那些容易受害的服务器采用加固措施，如果还不行，政府部门至少可以采取一些强制的措施，逼迫其直接下线。当然更多的安全专家的参与也是必须的。

点评：对付勒索软件，建议采用备份备份再备份的3B原则：Backup、Backup、Backup（Beifen、Beifen、Beifen）。

3、Apache Struts 多个版本被发现RCE漏洞

标题：Apache Struts Remote Code Execution Vulnerability

作者信息：Jan 21 2017 12:13AM By SecurityFocus

//BEGIN
Bugtraq ID:        95675
Class:        Input Validation Error
CVE:       
Remote:        Yes
Local:        No
Published:        Jan 20 2017 12:00AM
Updated:        Jan 21 2017 12:13AM
Credit:        Hiroshi Fujimoto and Ken Kitahara of LAC Co., Ltd.

//END
***Vulnerable:       
Apache Struts 2 0
Apache Struts 2.3.30
Apache Struts 2.3.28
Apache Struts 2.3.24
Apache Struts 2.3.4
Apache Struts 2.2.3
Apache Struts 2.2.1 1
Apache Struts 2.2
Apache Struts 2.1.8 .1
Apache Struts 2.1.8
Apache Struts 2.1.6
Apache Struts 2.1.5
Apache Struts 2.1.2
Apache Struts 2.1.1
Apache Struts 2.1.1
Apache Struts 2.1
Apache Struts 2.0.14
Apache Struts 2.0.12
Apache Struts 2.0.11 .2
Apache Struts 2.0.11 .1
Apache Struts 2.0.11
Apache Struts 2.0.10
Apache Struts 2.0.9
Apache Struts 2.0.8
Apache Struts 2.0.7
Apache Struts 2.0.6
Apache Struts 2.0.5
Apache Struts 2.0.4
Apache Struts 2.0.3
Apache Struts 2.0.2
Apache Struts 2.0.1
Apache Struts 2.0
Apache Struts 1.3.10
Apache Struts 1.3.8
Apache Struts 1.3.5
Apache Struts 1.2.9
Apache Struts 1.2.8
Apache Struts 1.2.7
Apache Struts 1.2.4
Apache Struts 1.1
Apache Struts 2.5.1
Apache Struts 2.5
Apache Struts 2.3.8
Apache Struts 2.3.7
Apache Struts 2.3.3
Apache Struts 2.3.29
Apache Struts 2.3.28.1
Apache Struts 2.3.24.3
Apache Struts 2.3.24.2
Apache Struts 2.3.24.1
Apache Struts 2.3.20.3
Apache Struts 2.3.20.2
Apache Struts 2.3.20.1
Apache Struts 2.3.20
Apache Struts 2.3.16.3
Apache Struts 2.3.16.2
Apache Struts 2.3.16.1
Apache Struts 2.3.16
Apache Struts 2.3.15.3
Apache Struts 2.3.15.2
Apache Struts 2.3.15.1
Apache Struts 2.3.15
Apache Struts 2.3.14.3
Apache Struts 2.3.14.2
Apache Struts 2.3.14.1
Apache Struts 2.3.14
Apache Struts 2.3.12
Apache Struts 2.3.1.2
Apache Struts 2.3.1.1
Apache Struts 2.3.1
Apache Struts 2.2.3.1
Apache Struts 2.1.4
Apache Struts 2.1.3
Apache Struts 2.0.13
Apache Struts 1.2.6
Apache Struts 1.2.2
Apache Struts 1.1

***Not Vulnerable:       
Apache Struts 2.3.31
Apache Struts 2.5.2

点评：补快！

4、乌克兰确认2016年停电事故是黑客所为
标题：2016 Christmas Ukraine power outage was caused by hackers

作者信息：January 19, 2017  By Pierluigi Paganini

//BEGIN
Ukrenergo confirmed that preliminary results of its investigation showed that the Ukraine power outage occurred in December was caused by hackers.
根据乌克兰官方的调查报告结果显示，2016年圣诞节期间的停电事故的原因依然是与2015年的停电事故的原因相同，都是由于黑客攻击造成的。
一旦黑客攻击得手，进入了电网的内部网络后，它们就会释放出恶意代码进行一系列的破坏行动。安全专家还在持续调查事情的来龙去脉，特别是黑客们是通过什么手段从哪个点进入的。调查显示很可能恶意代码依然存在于网络中，只不过目前处于休眠状态。

//END
Oleksii Yasnskiy, head of ISSP labs, said: “The attacks in 2016 and 2015 were not much different – the only distinction was that the attacks of 2016 became more complex and were much better organised.“”
Who is behind the power outage?
Intelligence experts suspect blames the Russia one again.
2015年和2016年的网络攻击其实不只是针对电力设施，其实其他的比如铁路运输系统、政府部门以及国家养老金等等部门都是被攻击目标。2016年圣诞的攻击虽然与2015年攻击没什么本质区别，但是攻击更复杂，而且攻击阵型保持得很完整。
至于幕后的黑手是谁，情报专家将怀疑的目光再次转向了俄罗斯。

点评：俄乌都很忙？

5、著名游戏公司Supercell社区账户泄露
标题：Clash Royale Forums Hacked but Game Accounts Still Secure
Users recommended to change their forum passwords ASAP

作者信息：Jan 19, 2017 10:16 GMT   By Bogdan Popa

//BEGIN
Supercell, the company behind the super-popular mobile game Clash Royale, suffered a breach in September that might have exposed its users.
Supercell公司的超人气手机游戏Clash Royale去年9月份的用户登录账号信息被泄露。不过这些用户的游戏账户还是安全的。但是一旦如果两者采用的是相同的密码就是另外一回事了。建议用户及时修改密码，特别是在任何其他地方采用了相同的密码的话，以防止躺枪。最坏的情况是如果您的Google或者Yahoo也采用了与Supercell的Clash Royale相同的密码的话。

//END
If you want to reset your Clash Royale forum account, go here to do this, but keep in mind that if the same password is used elsewhere, you must change it there as well.
相关用户被建议立即修改其登录密码，虽然到目前为止到底有多少用户的信息被泄露还没有公开的报道。

点评：泄露的用户规模看来不小！

6、美国空军实验室投资建设网络欺骗系统
标题：Air Force goes after cyber deception technology
Air Force Research Lab (AFRL) enlists security vendor Galois to develop a cyber deception system
作者信息：JAN 19, 2017 12:38 PM PT By Network World

//BEGIN
A little cyber-trickery is a good thing when it comes to battling network adversaries.
在网络中作战有时采取点欺骗技术还是很有效的。美国空军今天拨款75万美金用来请一个安全公司开发一个网络欺骗系统，以“显著减少攻击者的能力以及即使攻击成功也能给其攻击轨迹画像”。这里的网络欺骗系统其实就是仿造真实的系统建造一个类似的系统，而且在其系统虚拟一些网络流量，以误导已经进入系统的攻击者，至少使得他们开始怀疑自己进入的是一个什么系统，或者促使他们犯错，以露出马脚。


//END
The researchers also observed of deception technologies:
Although still nascent, deception as a defense strategy against attackers has merit, and can be an attractive new capability for larger organizations desiring advanced threat detection and defense solutions.
Many organizations don't understand what threat deception is; educating security buyers on its usefulness will be crucial to furthering adoption of deception technologies and concepts.
Deception as an automated responsive mechanism represents a sea change in the capabilities of the future of IT security that product managers or security programs should not take lightly.
Deception decoy sensor providers emerge to offer enhanced detection of east-west attacks by distributing sensors across an enterprise's internal environment, and mimicking enterprise endpoint services, applications and systems.
该欺骗系统能通过模仿企业的终端设备、安装的操作系统以及应用程序，由遍布内网的探针以检测各种攻击行为。这种系统的部署对大型的企业或者集团非常有用，特别是能利用来发现高级的威胁和攻击。

点评：嗯嗯，这个系统有关部门也应该搞一个。