每日安全简讯(20170419)

1.勒索软件CradleCore源代码在地下论坛销售

Forcepoint研究人员发现，CradleCore勒索软件作者在地下论坛出售勒索软件的源代码。这种方式是RaaS（勒索即服务）的一种新变化。研究人员分析后发现该勒索软件功能相对完整，包括：使用Blowfish算法加密文件，支持反沙箱、和离线加密，通过Tor2Web连接命令控制服务器。由于源代码外泄，研究人员预测近期该勒索软件可能会出现很多新的变种。


http://www.securityweek.com/crad ... re-sold-source-code

---

2.安卓木马BankBot 可绕过谷歌商店扫描检测

BankBot 安卓银行木马由2017年1月份泄露的一个未命名的木马源代码改编而成，早期主要针对俄罗斯的银行用户，后来逐步扩展到其他国家。BandBot的作者基于泄露的源代码进行改进，并添加了伪装手段达到了可以欺骗Google Bouncer安全扫描的能力。


https://www.bleepingcomputer.com ... nst-bankbot-trojan/

---

3.垃圾邮件活动传播Java编写的远控工具jRAT

研究人员发现近期有垃圾邮件发送者在传播基于Java的远程控制工具，名为jRAT。在针对税务申报人的垃圾邮件中，带有名为“IRS Updates.jar”和“Important_PDF.jar”的附件。研究人员分析后，称该恶意代码混淆技术水准较高，代码难以逆向分析。同时，在追踪该家族Zscaler的研究人员认为，本次垃圾邮件活动或与上月用于袭击android手机的Loki 恶意代码有关。


https://threatpost.com/wave-of-j ... -tax-filers/125006/

---

4.Vmware修复vCenter Server平台的 RCE漏洞

Vmware vCeneter Server平台近期曝出远程代码执行漏洞，允许攻击者在特定情况下远程执行任意代码。该漏洞主要影响平台6.0和6.5版本，该漏洞起源于利用BlazeDS处理AMF3消息的情况。BlazeDS是一种基于java的web消息传递的技术，在处理消息时，可能会允许攻击者在反序列化不受信任的Java对象时导致任意代码执行。


https://threatpost.com/vmware-fi ... nter-server/125000/

---

5.浏览器Punycode编码问题可被用于网络钓鱼

中国研究人员Xudong Zheng发现了一种由字符解码问题导致的漏洞，这种漏洞由于非ASCII编码字符的解码问题，可能会导致解码伪造的url而使得用户访问钓鱼网站。研究人员演示时，将xn-80ak6aa92e.com解码为apple.com。


https://www.bleepingcomputer.com ... le-phishing-attack/

---

6.安全厂商McAfee领英帐号被冒用发布假消息

日前，安全厂商McAfee创始人John McAfee发布推特消息称McAfee网站被入侵，而实际情况是McAfee拥有13万粉丝的领英（linkedin）帐号被盗用发布了假消息。据分析，该帐号被盗用的原因在于：1、不同帐户使用相同密码；2、未启用双因素身份验证。


https://www.grahamcluley.com/les ... edin-page-hijacked/

---

以CV500视角看安天每日安全简讯
2017.4.19

今日安全简讯中提到的安全公司中，位列CV500的有9家：Forcepoint（3）、Google(133)、ESET(195) 、Zscaler(108)、Microsoft（125）、VMware（74）、Dell SonicWALL(62)、HP（84）和McAfee （Intel Security Group 41）。

勒索软件占据了今日头条，不是因为其勒索了某个重要目标，而是因为其开源了其全部勒索软件的源代码！类似Mirai开源后出现了一波攻击潮，业内也在观察此勒索软件的开源是否也意味着以其为蓝本的、本已经喧嚣呈上的勒索软件家族会不会出现一只新的势力分支。正如2016年安天威胁年报：4.2 勒索软件从一种恶意代码行为扩展到一种经济模式 章节指出：金钱夜未眠，在巨大的经济利益驱使下，未来勒索软件的传播途径和破坏方式也会变得愈加复杂和难以防范。

开源不是勒索软件和Mirai的专利，Android平台下的Bankbot也是由开源引起了业界普遍关注。它首先由俄罗斯安全厂商发现，据说可以盗取包括微信wechat在内的超过400多种在线APP的登录凭证。

jRAT和Loki的木马的攻击从传统转移到移动平台，移动平台的攻击从供应链的入口就开始了:就在上月，多家手机厂商被发现出厂时就“”预制“”了Loki木马，这迎合了2016年安天威胁年报第6章 供应链主战场的争序幕正在拉开 的描述：随着网络安全威胁范围的逐渐扩张，供应链安全成为当前热点的安全问题，对供应链安全的关注不仅是最终的供给，而且包括了形成供应链的所有环节。值得注意的是，攻击者可能会利用供应链各节点的安全隐患，从上游攻击、供应链传入、地下供应链等各环节，无孔不入的对其针对的目标进行信息采集、攻击载荷预制等行为。


相关链接：
a  Forcepoint  http://www.securityweek.com/crad ... re-sold-source-code
b  Google、ESET https://www.bleepingcomputer.com ... nst-bankbot-trojan/
c  Zscaler、Microsoft https://threatpost.com/wave-of-j ... -tax-filers/125006/
d  VMware 、Dell SonicWALL 、HP  https://threatpost.com/vmware-fi ... nter-server/125000/
e  McAfee  https://www.grahamcluley.com/les ... edin-page-hijacked/


附件0：2016年安天移动安全年报 参见[20170414]
附件1：2016年安天威胁年报 参见 [20170413]
附件2：CV500 参见 [20170411]