每日安全简讯(20170424)

1.360揭秘Flash 挂马传播勒索软件过程

360QEX团队针对一起利用漏洞攻击包（Exploit Kit）的 Flash 挂马传播勒索软件Sage2.0事件展开分析，揭示了利用Flash挂马传播勒索软件的攻击过程。报告称：相比以往的漏洞攻击包，此次整个攻击链完全使用Flash文件实现，不再需要HTML与Javascript脚本交互功能，呈现出新的攻击形式和较高的技术水平。


http://www.freebuf.com/articles/web/132430.html

---

2.安卓后门MilkyDoor可以访问企业内网

研究人员发现一种新型Android恶意软件——MilkyDoor后门。该后门可以在普通网络流量中加密有效载荷避免检测，进而访问内部网络。该后门已影响Google Play官方商店的200种应用程序。其中部分应用程序已有50万到100万的安装次数。


https://www.grahamcluley.com/mil ... nterprise-networks/

---

3.俄罗斯APT组织快捷方式后门制作解析

在Word或zip文档中嵌入一个指向powershell的快捷方式文件（.lnk），是一种已知的恶意软件隐蔽传播方法，就连涉嫌干扰美国大选的俄罗斯APT组织也经常使用这种方法（参考：Volexity、CrowdStrike）。将展示如何制作“奇幻熊式”的恶意快捷方式文件（.lnk），通过该.lnk文件生成的恶意程序主体Dropper可应用于渗透测试场景中。该Dropper程序包含.lnk文件目标路径区域powershell、构造精巧的调用脚本和嵌入payload三个主要部分，结构流程如下图抽象所示：


http://www.freebuf.com/articles/system/132075.html

---

4.印度国防部官员称遭黑客钓鱼邮件攻击

印度庞纳（Pune）的国防部官员称有外国黑客向一些印度陆军官员发送钓鱼邮件，并在邮件中要求点击链接更新数据库维护信息。收到邮件的相关人员在确认后得知这并非真正的邮件，而是钓鱼攻击。印度官员称，来自巴基斯坦等国的黑客曾多次采取各种手段获取有关军官的敏感信息。


http://timesofindia.indiatimes.c ... leshow/58322095.cms

---

5.Drupal部分版本被发现权限绕过漏洞

开源内容管理系统(CMS)平台Drupal的核心代码存在漏洞，当满足以下条件时，允许用户绕过访问权限限制：1、网站启用了RESTful Web Services ；2、网站允许PATCH请求；3、攻击者可在网站注册用户。已知该漏洞影响Drupal 8.28 - 8.3.1 。


https://www.drupal.org/SA-CORE-2017-002

---

6.调查显示英国黑客平均年龄只有十七岁

英国国家犯罪局（NCA）宣称，英国黑客平均年龄只有17岁，多数人从玩网络游戏开始黑客生涯。调查人员在询问因电脑滥用罪而被起诉、逮捕或警告的罪犯后得知，许多年轻人是从连网游戏机（如Xbox、PlayStation）开始探索互联网的。这些人从十三四岁开始为作弊而研究软件。


http://www.dailymail.co.uk/news/ ... ish-hackers-17.html

---

以CV500视角看安天每日安全简讯
2017.4.24

今日安全简讯中提到的安全公司中，位列CV500的有3家： Qihoo 360（126）、Trendmicro（29）和Google（133）。

今日头条又被勒索软件占据，勒索软件已然成为一个经济模式，勒索软件编写者、传播者无所不用其极。（参见2016年安天威胁年报4.2 勒索软件从一种恶意代码行为扩展到一种经济模式）(第22页)。360公司揭示了一种通过Flash传播勒索软件的新途径，Flash漏洞这么多，但好像还是第一次听说被勒索软件者利用。可以预见的是所有可能途径，勒索软件编写者都会尝试的，从这个角度看，安全工作者与勒索软件的对抗，可能才刚刚开始。

而趋势科技则剖析了一个类似DressCode的移动恶意代码（参考2016年安天移动安全年报：从2016年出现的一些不同动机的攻击技术，包括DressCode通过移动设备形成对内网的攻击渗透能力....）（见第29页），该恶意代码的名称被命令为MilkyDoor（好霸气的名字！），该恶意代码有后门特征。已经感染到了近200个APP中，而且这些APP都堂而皇之登上了Google Play的应用商店，供不明真相的群众下载。部分APP据称下载量有50万到100万之多，但总的传播范围和影响暂时无法估计。要命的是这个Android移动端的后门能对企业网络渗透，并在企业内网横向移动，搜寻其感兴趣的目标。只要找到了其认为有价值的目标，能做的事情就较多了：要么勒索、要么直接偷走.....

相关链接：
a   Qihoo 360  http://www.freebuf.com/articles/web/132430.html  
b   Trendmicro 、Google   https://www.grahamcluley.com/mil ... nterprise-networks/

附件0：2016年安天移动安全年报 参见[20170414]
附件1：2016年安天威胁年报 参见 [20170413]
附件2：CV500 参见 [20170411]