每日安全简讯(20170427)

1.英国医疗CERT发布勒索软件Mole预警

SophosLabs研究员表示勒索软件Mole是通过ZIP文件附件传播，执行脚本名为Flash-2017.js，同时使用RC4和RSA加密。近几年来，随着针对医院的网络攻击事件的大量公开，英国的医疗CERT希望在击退勒索软件攻击的同时也能找到攻击者的踪迹。


https://nakedsecurity.sophos.com ... t-you-need-to-know/

---

2.FalseGuide用手机构建移动僵尸网络

Check Point的网络安全研究人员发现一种恶意软件被隐藏在40多种与假冒流行游戏配套的引导应用程序中，例如Pokemon GO和FIFA Mobile，该恶意软件被为FalseGuide。在感染后，FalseGuide会在被感染的设备中创建一个静默的僵尸网络，以用于传播广告。


http://news.softpedia.com/news/f ... botnet-515155.shtml

---

3.安全厂商发布IoT蠕虫Hajime进化报告

IoT蠕虫Hajime由RapidityNetworks在2016年10月16日公布的一份报告被首次提及。一个月后，卡巴斯基发现了第一批从西班牙上传到VT的样本。 Hajime构建了一个巨大的P2P僵尸网络（在发布这个博客的时候，近30万个设备），但它的真正目的仍然是未知数。目前，ATK（攻击）模块支持三种不同的攻击方法，分别是Technical Report 069的漏洞利用攻击、Telnet默认密码攻击、ARRIS有线调制解调器密码攻击。其中TR-069漏洞是新加入的攻击模块。卡巴斯基实验室对telnet攻击的影响范围等做了统计图表。


https://securelist.com/blog/rese ... us-evolving-botnet/

---

4.斯诺登曝料：日美合作监控亚太各国

新闻调查网站The Intercept与日本NHK电视台于4月24日联合报道了美国国家安全局（NSA）前雇员斯诺登提供的最新爆料：日本从1950年代就开始与NSA秘密合作，对包括中国、俄罗斯在内的周边国家和中东地区实施监控。


http://www.toutiao.com/i64129213 ... mp;pbid=26572106260

---

5.现代汽车移动应用存在远程利用漏洞

安全公司Rapid7公布了现代汽车Blue Link移动应用程序的缺陷，可被黑客利用发起攻击。现代汽车美国公司正在修补Blue Link移动应用程序的几个漏洞，这些漏洞可能会使车主面临风险。 Blue Link移动应用程序与2012年型号新一代的现代车辆配合使用，提供远程锁定和解锁功能，以及定位服务和车辆启动。


http://www.eweek.com/security/hy ... ing-vulnerabilities

---

6.调查显示黑市销售肉鸡多数来自学校

根据Flashpoint统计结果，在xDedic黑市上销售的近三分之二的服务器和个人电脑属于学校，但大多数都在美国。在最近的xDedic分析中，Flashpoint发现，除了教育部门，医疗保健和法律公司相关的PC和服务器也成了可利用的脆弱系统的一部分。XDedic是许多网络犯罪分子用于购买使用Microsoft协议远程桌面协议（RDP）的服务器和PC的访问权限使用最多的平台。 据Flashpoint透露，通过使用暴力破解密码，xDedic集团可用服务器和个人电脑的数量已经增加了，其中可用于访问的数量是85,000，比一年前增长了10％。


https://threatpost.com/xdedic-ma ... servers-pcs/125202/

---

以CV500视角看安天每日安全简讯
2017.4.27

今日安全简讯中提到的安全公司中，位列CV500的有7家：Sophos(8)  、 Google（133） 、Check Point（35）、ESET（195）、Kaspersky（28）、Rapid7（17） 和Microsoft（125）  。

今日简讯头条继续着“勒索的传统”：再次被勒索软件占据。该文发自Sophos公司，该勒索软件被命名为Mole，其原因在与被加密后的文件的扩展名增加Mole字符串作为其扩展名。该勒索软件主要针对的对象是医疗行业，从影响该行业看，没有特别奇怪，继续佐证安天关于勒索经济的观点。参见安天2016安全年报4.2 勒索软件从一种恶意代码行为扩展到一种经济模式。（附件1 第22页）

“从攻击的技术手段和目标来看，国外的银行木马大多都会请求激活设备管理器，使受害用户无法通过正常的应用卸载方式进行卸载”（参见附件0 移动安全威胁年报 第14页）
Check Point和ESET披露的一个名为FalseGuide的移动恶意代码正是属于这种类型，它为了使得用户不能通过简单卸载的方式来清除，因此申请了设备管理器权限（device admin permission），这个举动一般的APP是不需要的，十分可疑，但即使这样还是通过了Google Play官方的审核。经过安全专家分析，其主要原因是其初始请求的APP其实并未含有恶意模块，只是随后安装运行后，采用非HTTP协议下载了恶意组件导致的。这个协议被称为FireBase Cloud Message(FCM)。

去年10月20日的安天每日安全简讯的第2条：物联网新威胁：Hajime蠕虫比Mirai更复杂。这是简讯中首次提到了Hajime物联网蠕虫，并与第一个Mirai物联网蠕虫进行了对比。而今日Kaspersky对Hajime蠕虫进行了深度剖析，抛出了一个比较有意思的话题：该蠕虫的动机。当前该蠕虫已经有大约30万感染节点，但是直到目前还没有任何破坏性的动作和意图出现，是深喉的别用用心还是白帽子的善意提醒？

车联网的安全在2016安天安全威胁年报中占据一页的篇幅，其中提到“车联网安全到智能交通安全将成为一个博弈焦点”（5.2 第28页）。今天的每日简讯讲到Rapid7公司的研究人员在相关人士的协助下，发现了韩国现代智能汽车的移动控制APP存在漏洞，可能被恶意利用。从这个角度看，我们实际上已经很难区分哪些是APP安全、哪些是车联网安全，或者说在某些场合它们是融合在一起的。

相关链接：
a   Sophos     https://nakedsecurity.sophos.com ... t-you-need-to-know/
b   Google 、Check Point 、ESET http://news.softpedia.com/news/f ... botnet-515155.shtml   
c   Kaspersky     https://securelist.com/blog/rese ... us-evolving-botnet/
d   Radip7 http://www.eweek.com/security/hy ... ing-vulnerabilities   
e   Kaspersky、Microsoft  https://threatpost.com/xdedic-ma ... servers-pcs/125202/

附件0：2016年安天移动安全年报 参见[20170414]
附件1：2016年安天威胁年报 参见 [20170413]
附件2：CV500 参见 [20170411]