每日安全简讯(20170122)

1、安全团队称勒索软件垃圾邮件活动重启
2、安全厂商发布Carbanak组织攻击活动报告
3、研究人员找到Mirai僵尸网络可能作者
4、俄罗斯恶意代码作者被西班牙警方拘留
5、绿盟发布2016年软件定义安全SDS白皮书
6、安全厂商研究伪VM对抗恶意代码新技术

【安天】搜集整理（来源：securityaffairs、trustwave、easyaq、novinite、secjia、mcafee）

1、安全团队称勒索软件垃圾邮件活动重启
标题：Necurs botnet is back and starts delivering the Locky ransomware

作者信息：January 21, 2017  By Pierluigi Paganini

//BEGIN
Cisco Security Team has noticed traces of traffic from the dormant Necurs botnet and they are warning of a possible new massive ransomware spam campaign.
美国思科安全团队发现了沉寂多时的僵尸网络Necurs[以前发现过其用来传播Dridex网银木马和Locky勒索软件]最近复活了，重新启动，并发送垃圾邮件，用来再次传播勒索软件Locky。

//END
A second campaign leverages on RAR files instead of the common zip archives. If the user extracts the archive they find a js file, doc_details.js.
“Crimeware is a lucrative endeavor with revenue rapidly approaching a billion dollars annually,” Cisco added. “This doesn’t come without significant risk and we may be entering a period where adversaries are increasingly cashing out from this activity early, to avoid severe penalties.”
传播勒索软件或者网银木马的垃圾邮件一般都采用附件形式，不过附件的文件格式有的是zip格式、有的是rar格式，而这些压缩文件其中都包含着jse格式文件、js格式文件脚本等。
通过网络进行犯罪活动是一个一本万利的行当：每年能快速积攒到10亿美金之多。当然也不是毫无风险，我们需要努力以赶在这些犯罪分子偷到金钱之前拦截他们。

点评：对付勒索软件，建议采用备份备份再备份的3B原则：Backup、Backup、Backup（Beifen、Beifen、Beifen）。

2、安全厂商发布Carbanak组织攻击活动报告
标题：Operation Grand Mars: a comprehensive profile of Carbanak activity in 2016/17

作者信息：January 18, 2017 By Thanassis Diogos

//BEGIN
The Trustwave SpiderLabs team has been actively tracking a malicious campaign conducted by the well-known Carbanak Cybercrime group for the latter part of 2016 and into 2017. Carbanak is one of the most prolific organized Russian cybercrime groups and is responsible for the theft of billions of dollars from legitimate economies to the criminal underground. Malware attributed to this group has been cited in the infamous "billion dollar bank hack" of 2015 and the massive Oracle/Micros hack of mid-2016 that led to over a million vulnerable POS servers. Carbanak malware (Carberp family) was also cited by Homeland Security and the FBI as an Indicator of Compromise for Russian Intelligence Service malicious activity in their most recent report GRIZZLY STEPPE – Russian Malicious Cyber Activity.
安全公司Trustwave的SpiderLabs实验室最近深入分析了Carbanak组织的攻击活动，时间跨度从2015年、2016年的下半年持续到今年。Carbanak组织据称是一个来自俄罗斯的攻击组织，最近几年其获利颇丰，其盗取的对象既有合法的机构也有地下组织。感染的设备除了端点还有POS机服务器等。该活动被美国的国土安全部DHS和FBI以发报告的形式公布，当时的报名名称为：GRIZZLY STEPPE。

//END
This threat report intends to provide an analysis of this operation and document:
Our analysis and findings in a way that describe the nature of malicious activities, the tactics and tradecraft utilized by the attackers, possible motives and the attribution of the threat actors behind these attacks.
Remediation actions and advice to organizations that have already been targeted by this campaign of attacks or willing to take proactive countermeasures.
Indicators of Compromise (IOCs) that will benefit organizations seeking to either undertake a compromise assessment on their own (or with the help of a team that specializes in threat hunting and compromise assessments such as Trustwave SpiderLabs), or to proactively put in place detection mechanisms for providing an early warning system if and when the organization is targeted.
However, it must be noted that this threat report does not and is not capable of replacing formal incident response actions and procedures that must be undertaken to mitigate the threat and restore business functions as per the Organizational Incident Response/Disaster Recovery roadmap.
本报告不能代替正式的事件响应规程和处置过程，这些流程对每个企业或者组织恢复其运行起指导作用。

//下载： Operation Grand Mars.pdf (2.33 MB, 下载次数: 219)

2017-1-22 21:26 上传

点击文件名下载附件

文件名：Operation Grand Mars.pdf
文件大小：2，441，174 bytes
MD5     : 48B39FD3765500B6F8882EA668DA876B

点评：攻击往往从钓鱼邮件开始.....

3、研究人员找到Mirai僵尸网络可能作者
{CHN}
标题：Krebs 找到 Mirai 僵尸网络可能的作者

作者信息：2017-01-20 12:35 By cnBeta

//BEGIN
安全研究人员Brian Krebs的个人博客KrebsOnSecurity去年9月遭到了物联网僵尸网络Mirai发动的大规模DDoS攻击，在攻击发生大约一周之后，被怀疑是攻击发起者的人使用用户名 Anna Senpai开源了Mirai的代码，Mirai的开源代码随后催生一大波使用物联网僵尸网络的模仿攻击。那么，Anna Senpai究竟是谁？

//END
Krebs展开了漫长的搜寻，他发表了长篇调查报告，认为 Senpai（aka OG_Richard_Stallman，exfocus，ogexfocus和dreadiscool）是罗格斯大学学生及提供DDoS防御服务的Protraf Solutions总裁 Paras Jha。Senpai使用过一个化名OG_Richard_Stallman，使用了邮件ogmemes123123@gmail.com在Facebook上注册了同名账号，账号简介称他从2015年起开始就读罗格斯大学的计算机工程。Paras Jha对他的指控予以否认，声称他没有开发Mirai和参与DDoS攻击。   

点评：又见Mirai....

4、俄罗斯恶意代码作者被西班牙警方拘留
标题：Russian Hacker Arrested in Spain

作者信息：January 21, 2017, Saturday  10:53 By novinite

//BEGIN
A computer expert considered to be one of the most important hackers in Russia has been detained in Spain.
The 32-year old Stanislav Lisov is wanted in the USA for financial fraud amounting to EUR 5 M, read the announcement of the Spanish Civil Guard.
被美国行政当局通缉的32岁的俄罗斯青年Stanislav Lisov一周前在西班牙城市巴塞罗那机场被捕。他被控通过互联网进行金融欺诈活动，并盗取了500万欧元。

//END
Spanish authorities stated that the hacker was arrested a week ago at the airport in Barcelona.
Lisov is charged with the creation of malware which gave him access to data about the debit and credit cards of millions of people.
此消息是西班牙的内政当局宣布的。Stanislav Lisov被指控通过编写恶意代码的方式来访问银行系统的储值卡以及信用卡信息，涉及的人数超过千万。

点评：网络犯罪真一本万利呀？！

5、绿盟发布2016年软件定义安全SDS白皮书
{CHN}
标题：2016绿盟科技软件定义安全SDS白皮书

作者信息：2016年11月25日 By 绿盟科技

//BEGIN
一. 前言
2015 年绿盟科技发布了《2015 绿盟科技软件定义安全SDS 白皮书》，阐述了软件定义安全的起源与发展。那么2016 年业界在软件定义安全领域发生了什么变化，又有什么新的动态呢？本文将以去年的白皮书作为背景，重点阐述了2016 年软件定义安全这一理念在行业内的发展情况，以及具体在落地过程中的实践。软件定义安全本质上是一种理念，即数据与控制分离，安全管理与控制集中化，从这个意义上看其与所在环境关系不大。在《2015 SDS 白皮书》中，我们主要关注面向云环境的软件定义安全，是因为软件定义安全的理念可能最早会在云计算系统的安全防护中得到体现

//END
软件定义安全已越过了技术成熟度曲线的最高点，国内外的关注度会越来越多。2016 年是软件定义安全发展的重要一年，很多初创公司和成熟公司的安全产品很好地诠释了这一点。
软件定义安全从架构上看，北向的要点是安全应用的有效协作和快速交付，前者利用应用编排技术形成安全策略的灵活组合，适配于不同的场景；后者借助全新的在线应用商店构建良好的生态环境，加快安全应用的交付速度，应对日益激烈的攻防对抗。南向的要点是能根据多变的安全策略，快速输出相应的安全能力，资源池技术不仅解决了安全体系与云平台集成的可行性问题，还有助于将异构的安全设备抽象统一，形成可快速就绪、弹性的安全能力。可以预计，未来几年这三个技术将会得到快速的发展，成为推动软件定义安全的强大支撑动力。
本文从宏观角度分析了软件定义安全在2016 年的新动向，文中更多技术细节可参考《软件定义安全：SDN/NFV 新型网络的安全揭秘》一书。

Software-defined security (SDS) is a type of security model in which the information security in a computing environment is implemented, controlled and managed by security software.
软件定义安全SDS是一种安全模型，按照此模型实现信息安全，从而控制和管理安全软件。
It is a software-managed, policy-driven and governed security where most of the security controls such as intrusion detection, network segmentation and access controls are automated and monitored through software.
采用软件管理的形式，政策驱动。安全控制工具比如入侵检测、网络分段以及访问控制等等都由软件直接实现。

//下载： NSFOCUS-SDS-Whitepaper-2016.pdf (3.92 MB, 下载次数: 250)

2017-1-22 21:31 上传

点击文件名下载附件

文件名：NSFOCUS-SDS-Whitepaper-2016.pdf
文件大小：4，105，331 bytes
MD5     : 6137E9615C70DE42301EE9E9B1B35AFD

点评：软件本身不能完全保障安全吧？

6、安全厂商研究伪VM对抗恶意代码新技术
标题：Stopping Malware With a Fake Virtual Machine

作者信息：Jan 19, 2017 By Thomas Roccia

//BEGIN
As we explained in a previous post, some advanced malware can detect a virtual environment such as a sandbox to avoid detection and analysis. Some threats can also detect monitoring tools used for malware analysis. Often such malware will not execute or change their behavior to appear harmless. Because some malware uses these tactics, planting fake virtual machine artefacts or fake analysis tools on a system could stop their malicious behavior. We have created a quick proof of concept (POC) to demonstrate this defensive tactic.
与恶意代码的对抗是高烈度和持续性的，其中的一类恶意代码如果发现有以下两种情况就会停止运行，而直接退出：第一种：有虚拟机或者沙箱安装运行；第二种是有恶意代码分析工具安装。 鉴于这类恶意代码的特性，通过植入假的虚拟机环境或者假的分析工具，那么就能阻止这类恶意代码的运行，本文的作者展示了一种演示代码POC，以表明该办法的可行性。

//END
Malware is constantly becoming more advanced. Analysis and detection are become harder and very time consuming. This proof of concept introduces a different way to protect against malware infections by emulating a virtual environment. Of course, this tool cannot replace a real security application, but it can complement your defenses. Sometimes we need to try different tactics to fight malware.
恶意代码的作者们越来越狡猾和高级。分析或者检测这些恶意代码变得费时、而且难度很高。本文展示的概念性POC代码引入了一种全新的防护措施：引入虚假的虚拟机的办法。当然这种方法还是有其明显的局限性，而且不能替代安全防护程序，只是能在一定程度上实现用户的安全防护。

点评：感觉像曲线救国，充其量只能算一种方式吧。不过好像太过被动以及结果预期的不确定性。