每日安全简讯(20170124)

1、安天AVL联合小米MIUI捕获O2O病毒EvilPea
2、研究人员发布JavaScript勒索软件分析报告
3、赛门铁克再一次错发证书，错误证书已撤销
4、被黑纽约时报推特发布俄欲导弹袭美假消息
5、安全媒体盘点2016年十大较为知名安全漏洞
6、统计表明仍有20万服务器未补心脏出血漏洞

【安天】搜集整理（来源：avlsec、cert、theregister、grahamcluley、freebuf、theregister）

1、安天AVL联合小米MIUI捕获O2O病毒EvilPea
{CHN}
标题：国内某知名应用市场遭仿冒，EvilPea病毒也玩起O2O

作者信息：2017年1月23日 By AVLTeam

//BEGIN
近期， 某社交应用正式推出了LBS+AR天降红包，用户需要在指定地理位置开启摄像头，就能抢到对应的红包，这种线上结合线下抢红包的模式称为O2O（online to offline）抢红包。
　　 近两年O2O火爆整个互联网圈，各类O2O产品服务层出不穷，比如O2O美甲、O2O剃须、O2O理发，甚至你想洗脚，都有人上门给你服务！
　　 不料，病毒开发者也来蹭O2O的热点，将线上攻击与线下攻击结合，为感染用户提供“上门服务”……
　　 近期，安天AVL移动安全团队和小米MIUI捕获了一类恶意程序EvilPea，该恶意程序图标和名称与某知名应用市场完全一致，运行后弹出“程序不完整，需要重新安装”的提示框。
用户点击重新安装后，该恶意程序会在用户手机上安装一个真正的应用，以迷惑用户，自身则隐藏图标潜伏在手机中，后续进行如下恶意行为：

//END
EvilPea恶意程序伪装成知名应用，诱导用户进行下载安装，在恶意程序安装运行后，将引导用户安装正常应用，自身则隐藏图标潜伏在后台继续运行。后续该恶意程序利用DroidPlugin插件机制实施恶意行为，包括窃取用户短信、获取用户地理位置、连接指定WiFi、屏幕截图等，这些恶意行为本身不会直接造成感染用户的经济损失，但是这些恶意行为结合键盘记录，可以大量窃取用户隐私信息，如支付账号密码、短信验证码等，同时可以基于地理位置配合线下WiFi攻击手段对终端实施进一步攻击，窃取用户隐私信息，最终可能会给感染用户造成巨大的财产损失。
　　 近几年伴随着黑产者与安全厂商的对抗持续升级，Android病毒攻击方式也在持续不断地进行更新迭代。早期的Android病毒主要通过向手机用户发送运营商扣费短信的方式盈利，攻击方式和获利途径较直接；后期由于安全厂商防护技术的升级，直接发送扣费短信的病毒在前端生存空间逐渐压缩，同时随着移动支付方式兴起，Android病毒转向更隐蔽地窃取移动支付相关的隐私信息，结合线下电信诈骗等其他手段，对受害者造成更大损害。

点评：保护Android安全建议AVL Pro!

2、研究人员发布JavaScript勒索软件分析报告
标题：Evil: A poor man’s ransomware in JavaScript

作者信息：18/01/2017  By Jarosław Jedynak

//BEGIN
Introduction
Initially Evil was brought to our attention by an incident reported on 2017-01-08. By that time the Internet was completely silent on that threat and we had nothing to analyze.
We found first working sample day later, on 2017-01-09. In this article we will shortly summarize our analysis and conclusions. Since then, we had relatively high number of infections reported, so we predict that this family of ransomware may become a bigger threat in near future.
This malware follows recent trend, and doesn’t have any decryption panel (like CryptoMix) – instead of this, an email address is provided. Sure, why complicate things if simple solutions work good enough.
一个名为Evil的勒索软件最近引起了安全专家的关注。出现的时间是本月的8号，是在一份事件报告中出现端倪的，不过当时业界几乎没什么反应，当然也就不清楚其具体细节。第二天才真正发现了。本文就是为了分享一下具体的分析报告以及一些初步的结论。从那天开始一直到现在，陆续有不少的感染情况的报告，由此势头可以推测出将来可能会更加泛滥。
该恶意代码紧跟当前的趋势，不提供任何解密操作界面，而只是提供一个可以联系的邮件地址。

//END
Extension after encryption: .file0locked
Ransom email: r6789986@mail.kz
Encrypted extensions:
*.doc *.xls *.pub *.odt *.ods *.odp *.odm *.odc *.odb
*.wps *.xlk *.ppt *.mdb *.accdb *.pst *.dwg *.dxf *.dxg *.wpd *.rtf *.wb2 *.mdf
*.dbf *.psd *.pdd *.eps *.ai *.indd *.cdr img_*.jpg *.dng *.3fr *.arw *.srf
*.sr2 *.bay *.crw *.cr2 *.dcr *.kdc *.erf *.mef *.mrw *.nef *.nrw *.orf *.raf
*.raw *.rwl *.rw2 *.r3d *.ptx *.pef *.srw *.x3f *.der *.cer *.crt *.pem *.pfx
*.p12 *.p7b *.p7c
被勒索加密的文件的扩展名增加了字符串.file0locked。以上提到的邮件地址是：r6789986@mail.kz，加密的文件类型有以上的60多种。

点评：对付勒索软件，建议采用备份备份再备份的3B原则：Backup、Backup、Backup（Beifen、Beifen、Beifen）。

3、赛门铁克再一次错发证书，错误证书已撤销
标题：Symantec carpeted over dodgy certificates, again
You had one job ... and it wasn't letting test certs escape into the wild and then revoking them

作者信息：23 Jan 2017 at 02:58  By Richard Chirgwin

//BEGIN
Symantec has confirmed that it's revoked another bunch of wrongly-issued certificates.
Andrew Ayer of certificate vendor and wrangler SSLMate went public with his discovery last week. The mis-issued certs were issued for example.com, and a bunch of variations of test.com (test1.com, test2.com and so on).
美国赛门铁克公司已经确认其再次发错了一批数字证书。这是安全专家上周发布的消息。这些证书是由赛门铁克官方认证的机构颁发的，针对的域名是example.com和test.com等。虽然这些证书依然存在有效期内，但是由于错误，还是被撤销了。

//END
Chinese CA WoSign found itself in an unwelcome spotlight when it issued a cert for GitHub to university sysadmin Stephen Schrauger.
WoSign found itself sent to the naughty corner by Mozilla, Apple, and Google. That company had to promise a reorganisation to get itself back in the world's good graces. ®
中国的数字证书认证机构WoSign由于误把Github的证书颁发给了一个大学的系统管理员而在业内（特别是类似Apple、谷歌以及Mozilla等大腕公司）不受到欢迎。为了挽回声誉，需要付出更多的努力。

点评：证书都能张冠李戴，看来颁发者很不珍惜自己的工作呀。。。。

4、被黑纽约时报推特发布俄欲导弹袭美假消息
标题：Twitter hack sees New York Times warn of Russian missile strike against USA
A genuine example of fake news.

作者信息：January 23, 2017 10:41 am By Graham Cluley

//BEGIN
New York Times Video, @nytvideo, distributes video content from - you guessed it - the New York Times to Twitter users.
In fact, approximately a quarter of a million people follow @nytvideo to get their video news fix.
One wonders then what they thought when the following message appeared on the account yesterday.
纽约时报的视频栏目，在社交网站Twitter上发布一些新闻。实际上到目前为止，有大约25万人关注了该账号：一旦有新的新闻，马上就会有人观看。不过如果被黑后，出现的信息就可能有些耸人听闻了。比如这条,俄罗斯总统下令：俄罗斯即将采用导弹攻击美国本土！

//END
Whatever the precise nature of how the hackers managed to get their hands on the keys to the account – it seems unlikely that @nytvideo had enabled Twitter's two-step verification (2SV) facility.
Twitter calls its 2SV system "Login verifications", and I strongly recommend that all users of the site enable the feature as it means that even if your password is compromised, it won't be enough to allow hackers to hijack your account.
虽然细节未明，但是可以肯定的是这个账号并未启动双步骤验证功能。
建议所有用户立即设置。这样的话好处是即使您的账号密码被盗，要想登陆成功，并发布消息还不是那么容易。

点评：大V们的社交账号要保存好呀，特别是过年期间.....

5、安全媒体盘点2016年十大较为知名安全漏洞
{CHN}
标题：【FreeBuf年终策划】2016十大安全漏洞

作者信息：2017-01-21 By secist

//BEGIN
信息安全是网络世界中，一个永远无法回避的话题。一些敏感重要数据的泄露，将会直接造成巨大的经济损失。一些利用价值较高的零日漏洞，被一些黑客放在深网论坛上，以比特币的交易形式公开叫卖。然而，一旦这些漏洞被供应商修复，很少会被披露出来。
在过去的一年里，统计共有超过6400个CVE编码的常见漏洞被披露。以下我将列举出2016年十大较为知名的安全漏洞
1. Dirty Cow （脏牛）(CVE-2016-5195)
脏牛漏洞最初是由 Phil Oester 发现的，Dirty Cow 是一个内核级的漏洞，它允许任何未授权现有用户，将其权限提权为 root。 Root 是任何 UNIX 或 LINUX 系统的最高权限，因此一旦攻击者成功利用该漏洞，将直接可以访问到目标系统的所有文件。 COW（写入时更改）是 Linux 用来减少内存对象重复的技术。通过利用竞争条件，低权限用户可以修改只读对象，这在常规情况下是不可能发生的。如果你是系统管理员，则可能需要通过更新 Linux 服务器的内核，来修复该漏洞。

//END
10.赛门铁克/诺顿反病毒引擎远程Heap/Pool内存损坏漏洞（CVE-2016-2208）
谷歌的 Project Zero 团队，发现了赛门铁克/诺顿反病毒引擎中，存在远程Heap/Pool内存损坏漏洞。利用该漏洞，攻击者可以执行恶意攻击代码，并完全控制目标系统。通过使用赛门铁克反病毒引擎，向用户发送电子邮件或链接，就可以触发该漏洞，并导致内存损坏，Windows系统蓝屏。在Linux、Mac和UNIX平台上，攻击者可利用该漏洞以root权限在Symantec或Norton进程中导致远程堆溢出。供应商在一个月内，发布了该漏洞的修复补丁。

点评：榜单外的漏洞数量更多，危害也不小。

6、统计表明仍有20万服务器未补心脏出血漏洞
标题：It's 2017 and 200,000 services still have unpatched Heartbleeds
What does it take to get people patching? Not Reg readers, obviously. Other, silly people

作者信息：23 Jan 2017 at 07:27 By Darren Pauli

//BEGIN
Some 200,000 systems are still susceptible to Heartbleed more than two years and 9 months after the huge vulnerability was disclosed.
心脏出血漏洞被公布2年9个月后，依然有超过20万台服务器存在该漏洞。

//END
Redmond warned the world in April 2015 that Word Macros had made a comeback then infecting half a million computers in what looks like a near-everlasting threat. Significant attack campaigns that relied on Word macros continued to appear throughout 2016. ®
安全专家在2015年4月曾经预言宏病毒可能已经复活，并再度强势回归：因为当时已经感染了50万台计算机。果然，在2016年一整年，通过Word宏的攻击事件显著增加。

点评：想当初Heartbleeds漏洞被炒作得满城风雨，2年多过去了，依然情况还如此严重。反应了什么？是不是可以说：公布漏洞容易，弥合其难！