每日安全简讯(20170430)

1.安全团队发布一季度短信扣费木马报告

短信扣费类木马分为两大流派，势力最大的一派以暗扣类游戏为主(占据市场份额最大)，它们深谙用户用户心理，利用用户操作习惯，设置陷阱诱骗用户点击通过订阅SP服务进行变现。另外一派则以后台无图标应用为主,通过ROOT恶意木马，ROM预装等方式偷偷潜伏进去用户设备，后台自动发送SP扣费短信进行变现。


http://www.freebuf.com/articles/terminal/133118.html

---

2.Mac恶意软件Dok Mac具有合法数字签名

研究人员声称恶意软件影响到所有的OSX版本，并且恶意软件几乎不能在VirusTotal上检测到。 更糟糕的是恶意软件使用的是由Apple认证的有效的数字签名。该恶意软件通过网络钓鱼实施攻击，一旦感染完成，攻击者获得对受害者流量信息的访问，包括通过SSL加密的通信。


http://news.softpedia.com/news/n ... rypted-515273.shtml

---

3.大规模攻击以色列的APT组织为OilRig

昨天，以色列网络防卫局宣布，在新的网络防御法案发布之后的几天内，已经挫败了一次针对120个目标的重大网络攻击。以色列专家认为，这起袭击是由与伊朗相关的，从2015年开始至今的OilRig APT组织（又名Helix Kitten，NewsBeef）发起的。黑客组织使用经过武器化的Word文档触发最近编号为CVE-2017-0199的Microsoft RCE漏洞来实施攻击。


http://securityaffairs.co/wordpr ... -target-israel.html

---

4.维基解密曝光CIA文件追踪工具Scribbles

维基解密发布了有关中央情报局文件追踪工具“Scribbles”的详细信息，Scribbles将Web信标标签嵌入到Microsoft Word文档上的水印，再将文档的分析报告传回给中情局。


https://threatpost.com/wikileaks ... nt-tracking/125299/

---

5.SNMP漏洞StringBleed影响IoT设备安全

黑客可以通过在特定请求中发送简单的随机值实现漏洞利用,简单网络管理协议（SNMP）认证被绕过会影响一些IoT设备。安全研究员Ezequiel Fernandez和Bertin Bervis将其命名为StringBleed，编号为CVE 2017-5135。


http://securityaffairs.co/wordpr ... ication-bypass.html

---

6.俄罗斯电信公司劫持多家金融公司流量

周三下午3时36分，在不明原因的情况下，万事达、VISA及其它多家金融服务公司的网络流量被短暂地劫持到由俄罗斯政府控制的电信公司。劫持持续了五到七分钟，之后路由恢复正常。


https://arstechnica.com/security ... s-internet-traffic/

---

以CV500视角看安天每日安全简讯
2017.4.30

今日安全简讯中提到的安全公司中，位列CV500的有8家：Check Point（35）、Microsoft（125）、enSilo（228）、Intralinks(256)、CyberX（408）、Cisco（13）、Symantec（9）和 VeriSign（217） 。


Check Point公司在今日简讯中揭露了Mac平台下的恶意软件Dok，展现了该恶意代码一些新特性：
首先， Mac OS X平台覆盖： 当下不仅仅是方程式具备Mac OS平台覆盖能力，Dok等恶意软件能通过钓鱼邮件轻易覆盖。而且能通过诱骗用户，获取用户机器的管理员权限，修改系统的代理Proxy服务设置，进而轻易获取对包括加密流量在内的网络监视和控制权。而且由于VT等平台的公开性，该恶意代码还能很容易躲开主流反恶意代码引擎的监控和扫描。参见安天2016威胁年报：方程式组织多平台操作系统拼图  表1 揭露了超级攻击组织Equation的全平台覆盖能力。（见附件1）
其次， 数字签名的冒用：安天2016威胁年报 6.2 代码签名体系已经被穿透 中描述道：带有合法签名的恶意代码，早已不再是APT攻击的专利，过去几年中恶意样本带有合法数字签名的比率不断上升。在本月15日的每日安全简讯中也有过专门的描述，其中涉及到的公司有 Cisco和Akamai等。（见附件1），不过这里的恶意代码冒用的是大名鼎鼎的Apple公司的数字签名。
最后， 钓鱼邮件的使用：白象1代和白象2代均使用了钓鱼邮件手段（参见2016安天威胁年报 附件1）。不过这里的Dok钓鱼邮件主要采用的语言为德语和英语，因此其将目标更多的瞄准欧洲。但是显然只要恶意代码作者愿意，其能很快调转枪口，指向他们认为有价值的目标。

攻击以色列百余个目标的APT组织被发现主要采用了微软WORD组件新的补丁CVE-2017-0199，其最大的特点是被武器化的文档不需要受害者“启动宏”，只要用户点击其中的一个链接即会中招。APT攻击组织显然在争分夺秒：微软刚刚在本月的11日发布该补丁，紧随其后，攻击即刻紧密锣鼓开始了，抢在很多用户还未打上补丁的攻击时间窗口。可能称为Day 1攻击比较合适。

CIA的文档跟踪工具Scribbles以及一些其他类似的商业工具可以对用户的文档（不包含文件的具体内容）进行监控：文档泄露了吗？文档在什么时间在何地被打开？这个文档是谁的？等等。Office2016新版本开发了DLP数据保护特性，也能完成类似的文档监控功能。

安天2016威胁年报指出：针对运营商骨干节点的持久化，可以用来获取全方位的信息，包括收获类似Camberdada计划中说的那种“轻而易举的胜利（An Easy Win）”。今日安全简讯的最后一条是关于BGP被短暂劫持的报道。虽然劫持持续时间很短，但是涉及到的公司都是众多金融、电信和安全公司，只要这些通信未加密，那么截获其中包含的敏感信息就会非常容易；即使加密，从这些流量的信息中，也能轻易发现这些组织与哪些其他组织和目标进行通信，从而将触角延伸到其供应链中。关于这次劫持是故意和人为的误操作，到目前为止还未有定论。


相关链接：
a  Check Point   http://news.softpedia.com/news/n ... rypted-515273.shtml  
b  Microsoft http://securityaffairs.co/wordpr ... -target-israel.html
c  enSilo、Intralinks、CyberX  https://threatpost.com/wikileaks ... nt-tracking/125299/
d  Cisco  http://securityaffairs.co/wordpr ... ication-bypass.html
e  Symantec、VeriSign https://arstechnica.com/security ... s-internet-traffic/  


附件0：2016年安天移动安全年报 参见[20170414]
附件1：2016年安天威胁年报 参见 [20170413]
附件2：CV500 参见 [20170411]