每日安全简讯(20170125)

1、勒索软件感染美国圣路易斯城市图书馆计算机
2、研究人员称勒索软件Sage 2.0将扩大传播范围
3、研究人员发现大规模休眠的Twitter僵尸网络
4、神州网云发布Linux下DDoS攻击木马分析报告
5、思科修补WebEx Chrome插件远程代码执行漏洞
6、Facebook发现允许攻击者远程删除视频的漏洞

【安天】搜集整理（来源：theguardian、bleepingcomputer、threatpost、4hou、threatpost、softpedia）

1、勒索软件感染美国圣路易斯城市图书馆计算机
标题：Ransomware attack paralyses St Louis libraries as hackers demand bitcoins
Borrowers are unable to return or borrow books, or use computer facilities, in any of the city’s 16 branches

作者信息：Monday 23 January 2017 15.42 GMT By Danuta Kean


//BEGIN
Libraries in St Louis have been bought to a standstill after computers in all the city’s libraries were infected with ransomware, a particularly virulent form of computer virus used to extort money from victims.
Hackers are demanding $35,000 (￡28,000) to restore the system after the cyberattack, which affected 700 computers across the Missouri city’s 16 public libraries. The hackers demanded the money in electronic currency bitcoin, but, as CNN reports, the authority has refused to pay for a code that would unlock the machines.
这回不是医院了，勒索者将目光转向了美国的图书馆！
最近美国圣路易斯城市16家公立图书馆的由700台计算机组成的管理系统遭受到勒索软件的攻击，整个城市的图书馆系统都停摆了。人们不能借书也不能还书！黑客们以虚拟货币比特币的形式索要赎金，赎金相当于35000美元，只有支付了这些赎金才可能恢复这些系统的正常运行。不过管理当局并不打算支付这些赎金。而是计划重新建立这些所有的系统。
不过当下影响最大的是一些学生以及一些穷人，因为他们只有一个手机，平时最常见的动作是来到图书馆，打开图书馆里的免费Wifi上网。然而现在这一切暂时都没有了。
此事件已经上报FBI进行调查。

//END
Last year, the FBI cyber division assistant director James Trainor warned that attacks were becoming increasingly sophisticated. “These criminals have evolved over time and now bypass the need for an individual to click on a link,” he said. “They do this by seeding legitimate websites with malicious code, taking advantage of unpatched software on end-user computers.”
Security software specialist Malwarebytes estimated that as many as two-fifths of businesses in the UK, US, Canada and the Germany were hit by ransomware attacks in 2016.
去年，FBI的网络分部的助理探员警告说，网络攻击将越来越复杂，勒索也会越来越猖狂。它们甚至都不用像传统的方式那样，需要用户点击一个链接。现在这些黑客们大多采用直接黑掉正规合法的网站，然后向其注入恶意代码，这样即使您什么也不做，主要访问该正规的网站就可能中招（类似水坑攻击）。
同时再加上利用用户计算机中普遍存在的各种软件漏洞，攻击的成功率还更高。
有安全公司调查显示，2016年全年，在英美加拿大以及德国等发达国家，多达40%的商业企业都遭受过勒索软件的攻击。

点评：对付勒索软件，建议采用备份备份再备份的3B原则：Backup、Backup、Backup（Beifen、Beifen、Beifen）。

2、研究人员称勒索软件Sage 2.0将扩大传播范围
标题：Sage 2.0 Ransomware Gearing up for Possible Greater Distribution

作者信息：January 23, 2017 12:10 PM By Lawrence Abrams

//BEGIN
Back in December 2016, a member posted a forum support topic regarding a new ransomware called Sage, which is a variant of the CryLocker infection. At the time, there was not much known about it and its distribution seemed small as not a lot of victims were reporting being affected by it.
有研究人员去年12月份在一个论坛上发布了一个名为Sage的勒索软件的消息，据称它是原来的勒索软件CryLocker的变种。当然当时知道的人还比较少，部分原因可能在于传播的量比较小，而且实际感染的人不多。之所以该勒索软件的被命名为Sage的原因是，在被感染后，其后缀名被增加了sage这个字符串。比如如果原文件名为test.doc，那么被加密后其文件名会变为test.doc.sage。
但是鉴于其采用漏洞利用工具包RIG进行传播，笔者认为这可能只是表面现象，很可能该勒索软件会大范围传播。
果不其然，刚刚过去了一个月后，时间流到了今年的1月21日，就出现了一个新的变种Sage2.0.而这个变种采用垃圾邮件（垃圾邮件的特点是：没有主题、附件是一个ZIP压缩包，这个压缩包中包含的是另外一层zip压缩包，这个里面包含的是JS脚本或者DOC文档）大规模传播，而且这个传播的源头同时也传播了过其他的勒索软件，比如Cerber,Locky以及Spora等等。从这点上看，也存在Sage2.0大范围传播的可能性。
传播Sage2.0勒索软件的邮件附件的包裹文件DOC或者JS脚本，都包含一个加密脚本，利用这个脚本勒索软件可以下载真正的勒索软件安装包并执行。
该勒索软件另外一个显著的特点是其增加了定时任务，这样就可以保证每次Windows启动，该勒索软件都会运行。同时该勒索软件还会主动删除Windows系统的备份卷。
另外该勒索软件还会通过Google Maps 的API和无线网络SSID来定位感染用户的具体位置。

//END
Last, but not least, there is a page that provides instructions on how to download the Sage2Decrypter.exe and use to decrypt a victim's files after they have paid the ransom.
Unfortunately, at this time there is no way to decrypt Sage 2.0 encrypted files for free.
截止到目前，还没发现有免费可以下载的工具软件可以解密这些被加密的文件。
勒索软件者在受害者支付了比特币后，倒是提供了可以解密的工具软件Sage2Decrypter.exe，可以解密那些被加密的用户文件。

点评：对付勒索软件，建议采用备份备份再备份的3B原则：Backup、Backup、Backup（Beifen、Beifen、Beifen）。

3、研究人员发现大规模休眠的Twitter僵尸网络
标题：Massive Twitter Botnet Dormant Since 2013

作者信息：January 23, 2017 , 8:52 am By Michael Mimoso

//BEGIN
A sizable and dormant Twitter botnet has been uncovered by two researchers from the University College London, who expressed concern about the possible risks should the botmaster decide to waken the accounts under his control.
一个存在于Twitter社交平台3年多之久的大规模僵尸网络最近被安全研究者发现，并为此发表了一篇相关论文。细节并未通报给Twitter官方。不过，研究人员指出，一旦这些藏匿于该社交网络平台的数量众多的僵尸网络被唤醒，其作用是巨大而可怕的：如果只是为了商业目的可能还没什么，一旦这些被利用来针对其他重要的网络设施，那么危害将是显而易见的。

//END
“In other words, it is scary to know there are bad guys and see the terrible things that they have been doing; yet it is much more scary to know there are a lot of bad guys around, but we have no idea what they are up to.”
The researchers said they hope others download and analyze the available data. They’ve also created a Twitter account, @thatisabot, and website, where bots can be reported.
研究人员称：明白这些坏家伙的存在，并清楚的知道这些坏家伙们正在做一些坏事是一个方面；另外一个方面，知道这样的坏家伙的人数众多，但是我们却对其的所作所为一无所知，将是一件更可怕的事情。为此研究人员准备就在Twitter社交平台上创建一个账户并单独建立一个WEB网站(到目前为止，网站未有实际内容。)来揭露其的所作所为。


//下载： The Star Wars botnet with more than 350k Twitter bots.pdf (5.88 MB, 下载次数: 214)

2017-1-31 22:42 上传

点击文件名下载附件

文件名  ：The Star Wars botnet with more than 350k Twitter bots.pdf
文件大小：6，167，791 bytes
MD5     : 2056787693AA650B2460FE20E7E4A6FD

点评：微博中会不会有类似的“僵粉”？

4、神州网云发布Linux下DDoS攻击木马分析报告
{CHN}
标题：Linux下DDOS攻击木马分析报告

作者信息：2017年1月24日 By 神州网云

//BEGIN
在最近的一次给用户做服务器系统安全检测的过程中发现一台服务器，频繁向外发包，网页打开缓慢，上服务器提取了样本的情况分析如下：
1. 样本基本信息
2. 样本概述
样本解密数据用以配置，安装各种不同的启动项，远程连接ip：www.linux#cc:6001(由于文件路径不同所连接的端口不一样，但是ip不变)。生成不同路径下的副本来执行守护，过滤等，释放ss.netstat等执行过滤病毒，木马端口信息。根据返回信息实施各种不同的类型的DDOS攻击。

//END
4. 总结
样本设置各种自启动，创建中路径下的子副本以实施各种不同的功能，过滤输出阻断分析远程连接服务器，完成发出各种攻击。

点评：技术性太强，还是水平low，看不大懂......看来还得补课呀。

5、思科修补WebEx Chrome插件远程代码执行漏洞
标题：Cisco Patches Critical Flaw in WebEx Chrome Plugin

作者信息：January 24, 2017 , 8:32 am By Michael Mimoso

//BEGIN
A vulnerability in the Cisco WebEx Chrome Plugin, used by tens of millions for web conferencing in business environments, exposed computers to remote code execution.
思科的WebEx的Chrome浏览器插件被谷歌的安全研究人员发现了存在漏洞，这个漏洞的存在导致可远程启动Web会议，进而远程代码执行。该Web会议系统已经被广泛用于各种商业环境中。

//END
Ormandy describes his dissection of the vulnerability in the bug report. As the extension invokes a command to launch a meeting, Ormandy found that a number of properties are passed during the session, some juicy enough for code execution. WebEx, Ormandy said, ships a copy of Microsoft’s C Runtime, CRT, which he used to execute system calls.
“Unbelievably, that worked,” said Ormandy, who also published a proof-of-concept exploit.
Ormandy is known for a slate of public disclosures of popular security and business software, including LastPass, Sophos, Symantec, Kaspersky, FireEye and others that have been patched.
安全研究人员在报告中详细分析了该漏洞。该插件可以激活命令，启动一个会议进程。在此过程中，传递了很多特性，这些足够以启动代码执行。WebEx中含有一个微软的C执行库C Runtime（CRT），可以用来调用并执行系统调用。研究人员还公布了一个该漏洞的PoC概念执行代码。
该研究人员以前还曾经公布了流行安全软件以及商业软件的漏洞，涉及的厂商包括：LastPass、Sophos、Symantec、Kaspersky、FireEye等等，这些厂商均已经发布了相关的安全漏洞的补丁，当然也包括这个WebEx Chrome的插件RCE漏洞。

点评：补快！

6、Facebook发现允许攻击者远程删除视频的漏洞
标题：Facebook Patches Bug Allowing Hackers to Delete Any Video
A security researcher found the bug and reported it

作者信息：Jan 23, 2017 21:32 GMT   By Gabriela Vatu

//BEGIN
Facebook recently patched a bug that could allow attackers to delete any video shared by anyone on their wall.
Facebook最近刚刚修补了其系统存在的一个bug，成功利用这个bug可以删除任何被公开分享的视频。而利用这个bug的过程也很简单，同时被公布，不过目前该bug已经被修补，不能再被利用了。同时被发现的还有另外一个不允许给发布的视频进行评论的bug。当然这个bug也被同时修补。

//END
If you are thinking about trying this one out yourself, you are out of luck. The vulnerability was reported to the Facebook security team and was already patched at the beginning of the year. Melamed, on the other hand, got $10,000 in his account as a bug bounty, something that many companies offer to those who report bugs.
因此如果目前还想利用这个bug的话，就迟了：该漏洞已经被报告给了Facebook，并且在今年的年初已经修复成功。同时发现并报告者还因此获得了1万美金的奖金。一些大的公司设立专门的奖金给那些发现重要漏洞的个人和组织。

点评：这样的漏洞（删除任意发布的视频）存在于微博等社交媒体中？