北京安域领创科技有限公司 安全服务通告 报告周期 :2016 年 7 月第一周 (2016 年 7 月 04 日 -7 月 10 日 )
目录 1 本周漏洞通告... 1 1.1 漏洞一 :Huawei HiSuite 任意代码执行漏洞... 1 1.2 漏洞二 : 多款 Symantec 和 Norton 产品内存破坏漏洞... 2 1.3 漏洞三 :Cisco Firepower System Software 权限获取漏洞... 3 1.4 漏洞四 :Apache xerces-c 栈缓冲区溢出漏洞... 4 1.5 漏洞五 :ISC BIND 拒绝服务漏洞... 5 2 本周病毒木马通告... 6 2.1 本周流行病毒木马统计... 6 2.1.1 Worm.Win32.Gamarue.y( 蠕虫病毒 )... 6 2.1.2 Worm.Win32.Gamarue.z( 蠕虫病毒 )... 6 2.1.3 Trojan.Win32.VBCode.fio( 木马病毒 )... 6 2.2 病毒木马防范措施... 7 3 安全事件通告... 8 3.1 本周国内外安全事件通告... 8 3.1.1 日本旅游业巨头 JTB 旅行社 793 万条用户数据泄露... 8 3.1.2 网高通芯片存缺陷, 可破解 Android 全磁盘加密... 10 3.1.3 微软致 Office 365 用户 : 小心 0day 勒索软件... 13 3.1.4 一家中国广告公司, 利用恶意软件感染全球 8500 万台手机... 15 3.1.5 超过 6000 个 Redius 数据库服务器被感染, 尚未被恶意利用... 22 3.1.6 两名中国 ATM 黑客 遭巴基斯坦警方调查... 24
1 本周漏洞通告 1.1 漏洞一 :Huawei HiSuite 任意代码执行漏洞 发布时间 2016-07-04 更新时间 2016-07-04 CNVD-ID 漏洞危害级别 CNVD-2016-04444 中危 影响产品 Huawei HiSuite <=4.0.3.301 漏洞类型 任意代码执行 Huawei HiSuite 是中国华为 (Huawei) 公司的一套用于 PC 端的手机助手软件 漏洞描述 Huawei HiSuite 4.0.3.301 及之前版本中存在任意代码执 行漏洞, 该漏洞源于程序未能正确加载 DLL 文件 本地攻 击者可利用该漏洞加载恶意 DLL 文件, 执行任意代码 目前厂商已经发布了升级补丁以修复此安全问题, 补丁获 漏洞解决方案 取链接 : http://www.huawei.com/cn/psirt/security-advisories /huawei-sa-20160624-01-hisuite-cn 1
1.2 漏洞二 : 多款 Symantec 和 Norton 产品内存破坏漏洞 发布时间 2016-07-04 更新时间 2016-07-04 CNVD-ID 漏洞危害级别 漏洞类型 CNVD-2016-04441 高危 内存破坏 Symantec Advanced Threat Protection ( ATP ) Symantec Embedded Security:Critical System Protection ( SES:CSP ) 和 Symantec Data Center Security: Server Advanced(SDCS:SA) 都是美国赛门铁 克 (Symantec) 公司的安全产品 ATP 是一套用于挖掘 并清除终端 网络和电子邮件网关等存在的高级威胁的软 漏洞描述 件 ;SES:CSP 是一款轻量级的入侵检测和防御系统客户端 产品 ;SDCS:SA 为软件定义数据中心的物理和虚拟服务器 提供了安全防护 多款 Symantec 和 Norton 产品的 AntiVirus Decomposer 引擎的 RAR 解压缩过程中存在内存破坏漏 洞 攻击者可借助特制的文件利用该漏洞造成拒绝服务, 或执行任意代码 漏洞解决方案 目前厂商已经发布了升级补丁以修复此安全问题, 补丁获 取链接 : 2
https://www.symantec.com/security_response/secur ityupdates/detail.jsp?fid=security_advisory&pvid=s ecurity_advisory&year=&suid=20160628_00 1.3 漏洞三 :Cisco Firepower System Software 权限获取漏 洞 发布时间 2016-07-04 更新时间 2016-07-04 CNVD-ID 漏洞危害级别 CNVD-2016-04455 高危 影响产品 Cisco Firepower System Software >=6.0.0,<=6.1.0 Cisco Firepower System Software 是美国思科 (Cisco) 公司的一款下一代防火墙产品 (NGFW) 漏洞描述 Cisco Firepower System Software 6.0 及以上版本中存 在权限获取漏洞, 该漏洞源于程序中包含默认的静态密码 远程攻击者可利用该漏洞登录设备, 执行命令子集, 获取 部分控制权限 目前厂商已经发布了升级补丁以修复此安全问题, 补丁获 漏洞解决方案 取链接 : http://tools.cisco.com/security/center/content/cisco SecurityAdvisory/cisco-sa-20160629-fp/ 3
1.4 漏洞四 :Apache xerces-c 栈缓冲区溢出漏洞 发布时间 2016-07-05 更新时间 2016-07-05 CNVD-ID 漏洞危害级别 影响产品 CNVD-2016-04475 高危 Apache xerces-c Apache Xerces 是美国阿帕奇 (Apache) 软件基金会的 一款 XML 语法解析器 Apache Xerces-C 是其语言版本 漏洞描述 xerces-c 中存在栈缓冲区溢出漏洞, 该漏洞源于程序未能 正确解析深度嵌套的 DTD 远程攻击者可利用该漏洞造成 拒绝服务 目前厂商已经发布了升级补丁以修复此安全问题, 补丁获 漏洞解决方案 取链接 : http://svn.apache.org/viewvc?view=revision&revisio n=1747619 4
1.5 漏洞五 :ISC BIND 拒绝服务漏洞 发布时间 2016-07-08 更新时间 2016-07-08 CNVD-ID 漏洞危害级别 CNVD-2016-04609 中危 ISC BIND 是美国 Internet Systems Consortium(ISC) 公司所维护的一套实现了 DNS 协议的开源软件 漏洞描述 ISC BIND 9.10.4-P1 版本中存在拒绝服务漏洞 远程攻击 者可利用该漏洞借助较大的 AXFR 响应 IXFR 响应和 UPDATE 消息造成拒绝服务 ( 辅助 DNS 服务器崩溃 IXFR 客户端崩溃和主 DNS 服务器崩溃 ) 目前厂商已经发布了升级补丁以修复这个安全问题, 请到 漏洞解决方案 厂商的主页下载 : http://www.isc.org/downloads 5
2 本周病毒木马通告 2.1 本周流行病毒木马统计 2.1.1 Worm.Win32.Gamarue.y( 蠕虫病毒 ) 病毒危险级别 : 病毒运行后查找主流杀毒软件进程, 并尝试将其结束 同时病毒还将修改用户的注 册表, 以便实现开机自启动 除此之外, 该病毒还在后台连接黑客指定网址, 并为恶意 网址刷流量, 占用大量网络资源 用户一旦中毒, 有可能出现网络拥堵等现象 2.1.2 Worm.Win32.Gamarue.z( 蠕虫病毒 ) 病毒危险级别 : 病毒运行后查找主流杀毒软件进程, 并尝试将其结束 同时病毒还将修改用户的注 册表, 以便实现开机自启动 除此之外, 该病毒还在后台连接黑客指定网址, 并为恶意 网址刷流量, 占用大量网络资源 用户一旦中毒, 有可能出现网络拥堵等现象 2.1.3 Trojan.Win32.VBCode.fio( 木马病毒 ) 病毒危险级别 : 病毒运行后查找主流杀毒软件进程, 并尝试将其结束 同时病毒还将修改用户的注 册表, 以便实现开机自启动 除此之外, 该病毒还在后台连接黑客指定网址, 并为恶意 网址刷流量, 占用大量网络资源 用户一旦中毒, 有可能出现网络拥堵等现象 6
2.2 病毒木马防范措施 针对出现的计算机病毒, 我们可以采用以下的措施进行防护 : 安装正版防病毒软件, 并及时进行升级, 不使用盗版或者来历不明的软件, 特别不能使 用盗版的杀毒软件, 对未知程序要使用查毒软件进行检查, 未经检查的可执行文件不能拷入 硬盘, 更不能使用, 将硬盘引导区和主引导扇区备份下来, 并经常对重要数据进行备份 当 计算机屏幕出现一些无意义的显示画面或异常的提示信息 屏幕出现异常滚动而与行同步无 关 系统出现异常死机和重启动现象 系统不承认硬盘或硬盘不能引导系统 计算机自动产 生鸣叫 系统引导或程序装入时速度明显减慢, 或异常要求用户输入口令 文件或数据无故 地丢失, 或文件长度自动发生了变化 磁盘出现坏簇或可用空间变小, 或不识别磁盘设备 编辑文本文件时, 频繁地自动存盘等现象时, 使用反病毒软件进行检测 发现病毒立即清除, 将病毒危害减小到最小限度 备份硬盘引导区和主引导扇区的数据, 经常对重要的数据进行备份 定期给系统打补丁, 将系统补丁升级至最新 对插入电脑的光盘,u 盘进行杀毒后再运行 禁止访问不良网页, 或打开非法链接的邮件 关闭系统不使用的端口服务, 如 3389,23 135 445 139 等 7
3 安全事件通告 3.1 本周国内外安全事件通告 3.1.1 日本旅游业巨头 JTB 旅行社 793 万条用户数据泄露 日本最大的旅游公司 JTB Corp 称, 黑客窃取了公司 793 万条护照 家庭住址和电 子邮箱地址信息 JTBCorp 曾是国营公司, 在许多国家开设了分公司, 大约有 26000 名员工 去年该公司利润达 125.8 亿日元, 销量高达 1.34 万亿日元 据安全公司 Cylance 分析, 此次数据泄露是因为该公司雇员缺乏安全意识, 打开了 伪装成全日空公司发送的钓鱼邮件及附件文档, 并感染了恶意木马 PlugX (Korplug), 随后黑客通过植入 Elirks 木马后门得到此电脑访问权 攻击者使用 PlugX 和 Elirks 恶意软件 官方声称攻击的来源是一次有针对性的电子邮件钓鱼行动 : 一位公司的员工打开了 一个被一种被称作 PlugX 的极其隐蔽的木马感染的电子邮件附件 Microsoft Word 文 档, 传播渗透到公司的数据服务器 据称有问题的文件是全日空公司的旅行预定要求 关于 PlugX 披着羊皮的 RAT PlugX, 有时也被称为 Korplug, 实际上并不是一个新的威胁 然而, 由于此次 JTB 攻击案件, 这一系列的恶意软件又重回了大众视野 PlugX 是一个可以追溯到至少 2012 年的多功能的远程访问木马 (RAT) PlugX 的 使用并非某个对立组织独有, 也并不属于某一特定区域 多年来, 它已经在许多著名的攻 击中观测到, 包括 OperationPoisoned Handover, Operation Poisoned Hurricane, ClassicWind, Clandestine Fox 以及更多 8
在最新的 JTB 旅行社攻击中, 恶意软件 PlugX 嵌入到了武器化的 Microsoft Word 文档中, 然后上传到鱼叉式网络钓鱼电子邮件中 该木马往往会生成恶意文档的一个独 特的新副本来避免侦测 鱼叉式网络钓鱼是一种经常被用作进入高价值的公司和金融网 络的技术, 例如近期攻击 SWIFT 银行的事件 后续报道 除 Cylance 外, 另一家信息安全公司 PaloAlto Network 也在同一时间检测到了 JTB 公司网络遭受到多次攻击, 并揭露黑客采用 PlugX 和 Erliks 恶意软件窃取进行攻击 日经新闻透露, 该泄露案中的用户信息涉及用户姓名 家庭住址 邮件地址 护照 号等 JTB 发言人确认护照号码中有约 4300 份仍在有效期内 JTB 总裁 Hiroyuki Takahashi 向媒体表示 我们为造成的麻烦致以歉意, 同时非常担忧我们的顾客及其相关人士 据悉, 公司已经通知了警方, 但目前仍未发现罪犯使用这类数据 9
3.1.2 网高通芯片存缺陷, 可破解 Android 全磁盘加密 前段时间, 苹果和联邦调查局就 iphone 解锁问题引起的撕逼激起了对大家对加密 技术的热议 我们知道, 加密技术一直是用来保护比特 字节安全的 对于苹果的用户 我们不多说, 但当谈到 Android 的个人和敏感数据的加密技术时, 这些用户则要小心 了 如果黑客使用暴力破解或稍有点耐心,Android 的全磁盘技术破解起来就比想象中 的要容易多了 破解后又怎样呢? 数百万的移动设备将受到潜在影响 最糟糕的是 : 对于当前市场上的 Android 手机, 可能还没有一个完整的修复方法 谷歌在 Android 5.0 及以上版本的系统中, 出厂时就默认了使用全磁盘加密技术 全磁盘加密技术 (FDE) 能阻止黑客以及相关执法机构访问未被授权设备的数据 Android 的全磁盘加密技术是一项在 Android 设备上编码所有用户数据的过程, 并且在此之前会将用户的授权代码来写进磁盘中 一旦加密成功, 想要解密只能通过用 10
户输入他设置的密码 然而在彻底分析 Android 全磁盘加密技术的安装和启用后, 一 位安全人员得出结论, 其实它并不像公司宣传的那样安全, 并且亮出了他的工作代码来 证明这一点 破解 Android 全磁盘加密技术 安全研究员 Gal Beniamini 发现了一个漏洞问题 ( CVE-2015-6639 and CVE-2016-2431), 即 Android 设备是如何处理它的全盘加密技术的, 这项发现也说明 对攻击者来说, 获得用户的敏感数据权限更容易了 Beniamini 这周发布了一份详细的 步骤指南, 该指南包含了如何破解那些使用了高通骁龙处理器的 Android 手机上的加 密保护技术 完整的开发源代码详见 Github 全磁盘加密技术用来做什么? 采用高通芯片的 Android 设备, 在进行磁盘加密的时候, 一般仅基于用户的密码 不过实际上,Android 系统会用你的密码创建了一个 2048 位 RSA 强密钥 (KeyMaster), 让所有数据在关键密钥的保护下伪装起来 高通骁龙芯片中有个 TrustZone 区域, 能够用来保护一些很重要的功能, 像加密技 11
术和生物识别扫描 实际上这应该说是 ARM 公版设计中就有的 但是 Beniamini 发现, 利用 Android 安全漏洞, 完全可以从 TrustZone 提取出密钥 想起来还真是可 怕,TrustZone 一度被认为是绝对安全的 在高通骁龙芯片产品中,TrustZone 内会运行一个小内核, 以提供名叫 QSEE 的信 任可执行环境 (Trusted Execution Environment) 这个环境可以让小型 App 在其中 运行, 而非在 Android 操作系统内运行 实际上, 上面提到的 KeyMaster 就是个 QSEE 应用 研究人员描述了利用此 Android 内核安全漏洞的细节, 黑客可以在上述安全环境 中加载他们自己的 QSEE 应用, 这样也就能够起到提权的作用, 完成 QSEE 空间劫持, 当然也包括全磁盘加密生成的密钥 而攻击者一旦拿到了密钥, 就可以实施暴力破解来 获得用户的密码或 PIN 码, 从而真正打破 Android 的全盘加密技术 此外, 高通或 OEM 制造商们也完全可以采用上述方法, 按照政府或执法机构的要 求打破全磁盘加密技术 Beniamini 写道 : 既然可从 TrustZone 中获取密钥, 高通和 OEM 制造商们就很容易创建并签署一 份 TrustZone 镜像, 这份镜像可以提取 KeyMaster 的密钥, 并可以将其闪存到目标设 备上 这将很容易允许执法部门使用泄露的密匙, 然后通过采用蛮力攻击的办法获得全磁 盘加密的密码 Beniamini 在他的博客上已经提供了一部分的技术分析, 如果你对 Android 的全磁盘加密的技术细节感兴趣可以浏览他的博客 尽管 Beniaminni 正在与高通和谷歌合作, 但这个问题的核心可能不会被彻底解决, 需要等到有新的硬件更新才可以 12
3.1.3 微软致 Office 365 用户 : 小心 0day 勒索软件 在今时今日, 如果你觉得仅仅依靠微软 Office 365 的安全组件和策略就能免于被 黑, 那就大错特错了 0day 绕过微软 Office 365 安全组件的勒索赎金软件 这里科普一下,Office 365 是微软带给所有企业最佳生产力和高效协同的高端云服 务, 是微软公司基于云平台的应用套件, 例如 Exchange 邮件服务器 SharePoint 门 户 Lync 即时通讯工具及 Yammer 变异的勒索赎金软件 Cerber, 现在正通过大规模 的 0day 手段, 绕过微软 Office 365 内置的安全组件进传播感染 根据云安全服务提供 商 Avanan 的报告称, 黑客通过垃圾邮件或者网络电子邮件钓鱼发送带 0day 的恶意附 件, 专门针对微软 Office 365 用户进行攻击 令人咋舌的是, 勒索软件 Cerber 是通过 骨灰级 攻击手段 宏调用的, 没 错, 时至今日恶意的微软 Office 文档仍然可以通过启用的宏攻陷你的系统 另外, 勒 索软件 Locky 和 Dridex 也会利用恶意宏来劫持系统, 臭名昭著的 Dridex 曾从英国银 行盗取了超过 2200 万美元 下面是针对微软 Office 365 用户的恶意文档截图 : 13
安全公司并没有指出可能受该勒索赎金软件影响用户的确切数字, 但是微软在 2016 第一季度报告曾表示, 他们拥有约 1820 万的 Office 365 用户 Avanan 估计 : 虽然很难精确计算有多少用户受到了感染, 但却可以知道大约有 57% 的 Office 365 企业用户, 都在这次攻击活动中收到过至少一份恶意邮件附件 尽管勒索软件 Cerber 最早出现在 3 月, 但是这次针对微软 Office 365 用户的攻击 却始于 6 月 22 日, 同时微软在 6 月 23 日就开始试图拦截带该恶意软件的附件了 Cerber 不仅会加密用户文件并警示用户索要赎金, 还会控制用户的音频系统进行警告 这款勒索软件会通过 AES-256 进行加密, 它要求受害用户为解密密钥支付 1.24 比 特币 ( 近 810 美元 ) 防御措施 定期把文件备份到外部硬盘 及时更新系统和杀软 在微软 Office 禁用宏 当心网络钓鱼邮件, 垃圾邮件, 不要随便点击附件 14
3.1.4 一家中国广告公司, 利用恶意软件感染全球 8500 万台 手机 最近 Check Point 发布了一份非常详细的报告, 谈到一款名为 HummingBad 的 Android 恶意程序 此恶意程序在行为方式上和先前一些相当霸道的 Android 恶意程 序类似, 不过它有几大亮点 : 其一背后操纵者来自中国重庆 ( 注意下面还有地址哦 ); 其二其感染范围极为广泛,Check Point 研究人员表示,HummingBad 估计已经感染 了 8500 万台设备 HummingBad 幕后团队大曝光 Check Point 在报告中将这款 Android 恶意程序称作 HummingBad 这款恶意程 序的作者是国内的一家广告公司, 名叫微赢互动 (Yingmob! 这下火了!) Check Point 在报告中毫不留情地揭露了这家公司的一些细节信息 15
据说微赢互动内部还是有好几个团队在开发合法追踪和广告平台的 而负责开发像 HummingBad 这样恶意产品的团队名为 海外平台开发团队, 这个团队内部有 4 个 小组, 共 25 名成员 该团队有三个开发项目, 分别是 Eomobi( 就是 HummingBad 恶意组件产品 ) Hummer Offers( 广告服务器分析平台 ) Hummer 启动器 ( 这实际上是个广告服务 Android 应用开发包 ), 共开发 6 条产品线 : 这家公司其实算不上恶意程序的新人 早在 2015 年的时候,Palo Alto 曾经发布 过一款 ios 恶意程序 YiSpecter 的报告 当时 Palo Alto 就认为 YiSpecter 应该与微赢 互动有关, 因为这款恶意程序签名就是微赢企业证书 Check Point 这次的报告则提到 HummingBad 和 YiSpecter 相比, 有着相同的 C&C 服务器地址, 行为方式也很相似 另外 HummingBad 内部还包含 QVOD 快播文 档 (Check Point 直接将之称作 ios 色情播放器, 泪奔 ), 这其实跟 Yispecter 也有关 16
联 HummingBad 的目标当然是赚钱! CheckPoint 预计,HummingBad 每天都会推 2000 万广告内容, 其点击率大约为 12.5%, 也就是说每天的广告点击量约为 250 万次 此外,HummingBad 每天还安装 超过 50000 个欺诈应用 预计微赢互动每天光从广告点击, 就能获取超过 3000 美元的收益, 而诈骗应用的 安装则能获取 7500 美元 / 天 换算下来一个月就是 30 万美元, 一年则为 360 万美元 当前 HummingBad 已经感染了 8500 万台 Android 设备 不止于此, 由于这款恶 意程序会非法对 Android 设备进行 Root 操作, 实现各类恶意程序的推送, 这些设备几 乎就是被彻底掌控的 这些设备上的数据风险自不必多说, 将它们组成僵尸网络, 发起 攻击, 或者将这些访问权限卖到黑市, 都全然不在话下 微赢互动用他们自家的 Umeng 服务来追踪 HummingBad 的感染情况 ( 专业!) 从 Umeng 的控制面板来看, 这家公司 注册 了近 200 款应用, 预计其中 25% 都是 恶意程序, 用于分发 HummingBad 恶意程序 上面这张图也来自 Umeng 的统计, 从 去年 8 月份开始, 其活跃性成长表现还是相当不错的 17
从 HummingBad 当前影响的国家地区来看, 这款恶意程序当前应该算是个跨国恶意程 序, 虽然主要感染地区还是在中国和印度, 其他各国的感染数量也是相当可观的 恶意行为分析 这次的报告中提到,HummingBad 首次感染方法应该是隐藏下载攻击 (drive-by download), 部分成人内容站点也提供了相应的恶意 payload 而 HummingBad 本身包含了两个主要组成部分, 其中一个组件负责对 Android 设备进行 Root 操作,Rootkit 会考虑利用多种不同的漏洞 Root 成功后, 攻击者就能 完全获取设备的访问权限 如果 Root 失败, 第二套组件就会生成一个欺骗性的系统升 级通知, 欺骗用户让 HummingBad 获取系统级权限 (Root 还是关键呀!) 无论 Root 是否成功,HummingBad 都会尽可能下载大量欺诈应用 18
整套 HummingBad 包含好几个恶意组件 首要的组件名为 SSP, 其作用是显示非 法广告 安装欺诈应用 该组件通过 4 个事件触发 : 设备启动 屏幕开启 / 关闭 设备 连接任意变化 用户检测 ( 听说过 Android 系统中的 Receiver 吗? 这类行为其实是完 全合法的 ) 触发过后,SSP 开启名为 Se 的服务, 初始化恶意逻辑, 并且开启广告网络 SSP 还会开启计时器, 每 10 秒钟计划一次 LockTask, 如果满足相应条件 ( 比如互联网连接 从服务器获取到设置, 时间延迟等 ), LockTask 就会重启 Se 服务, 并且启动 MainActivity 进程, 激活恶意 payload MainActivity 进程开始之后, 恶意程序会显示广告 banner, 广告上面会有个关闭 按钮 实际上恶意程序会阻止用户回到 Home 页, 或者是进行返回操作, 这样用户就 只能点击该广告了 用户点击所谓的 关闭 按钮, 实际上也是点击一次广告操作 在 19
点击广告之后,SSP 组件就会向服务器发出请求, 给 APK 返回一个链接,SSP 随后再 从服务器下载该 APK 文件 ( 就是 Android 安装文件嘛 ) APK 文件下载完成后, 恶意应用会检查设备是否已经 Root 如果已经 Root, 则默 默地安装下载的 APK 文件 ; 如果没有 Root 的话,SSP 会弹出用户对话框, 仍旧企图进 行安装操作 下载的 APK 文件安装完成后,SSP 再启动该程序, 并且广播 INSTALL_BEFERRER, 通过从服务器获取到的信息来伪造 Google Play 的安装, 并从广告网络中获取广告收益 ( 难道这不是仅针对国际用户的么?) 作为一个合格的恶意程序, 肯定还要获取更新 发回报告 SSP 会从某 JSON 文件 检索 C&C 域名 这里的 JSON 文件是从 d1qxrv0ap6yf2e.cloudfront[.]net/domain/xxx.json 下载的, 值大概是这样的 : 20
除此之外,SSP 还有一些行为, 比如具体的 Google Play 进程注入 (SSP 能够向 Google Play 进程注入一个库, 恶意程序也就能够伪装 Google Play 商店中安装 购买 接受点击操作 ; 这里用到的是比较知名的 ptrace,ssp 能够用 ptrace 来调用控制其他 应用, 读取 写入内存等操作 ); 还有 RightCore 恶意组件, 其实应该算是 SSP 的一个 早期版本 ;CAP 组件采用比较复杂的技术负责安装欺诈应用, 实现欺骗 IMEI 码注入, 执行 Google Play 的点击模拟操作等等 在 Check Point 看来, 微赢互动可能是首个曝光到大众面前 如此高度组织化推恶 意程序的团队 或许这种趋势未来还会持续, 引来其他团队的学习, 实现复杂攻击的独 立化运营 甚至将这样掌控僵尸网络的权限, 提供给某些组织或政府机关, 情况就更加 复杂了 21
3.1.5 超过 6000 个 Redius 数据库服务器被感染, 尚未被恶意 利用 7 月 8 日 Risk Based Security (RBS) 安全公司发现 6338 个 Redis 服务器被攻击, Redis 数据库服务器缺乏安全功能, 导致多年后受安全问题困扰 Redis 是以 key-value 格式储存数据的 NoSQL 数据库服务器 Redis 使用内存中 系统处理数据并执行后续查询 根据数据库知识网站 DB-Engines 的统计显示,2015 年,Redis 在使用性和热门方面排第十 因为 Redis 主要考虑性能, 而在默认配置下,Redis 数据库不具备任何类型的身份 验证或其它加固的安全功能 利用 SSH 密钥创建漏洞攻击 Redis 服务器 这就意味着, 任何人只要知道 IP 和端口便可访问 Redis 服务器的内容 2015 年底, 情况甚糟,Redis 服务器出现漏洞允许第三方将 SSH 密钥储存在任何 Redis 服务器的 authorized_keys 文件中, 而 Redis 服务器不具备验证系统 网络上有超过 3 万个无需认证的 Redis 数据库服务器 据 RBS 研究人员透露,6338 22
个 Redis 数据库被攻击 RBS 使用 Shodan 搜索引擎执行非入侵式扫描后得出这一结论 RBS 研究人员分 析了带有 crackit SSH 密钥的被攻击服务器 crackit SSH 密钥附加至电子邮件 地址 [ryan@exploit.im] 中, 研究人员之前在其它攻击事件中也见到过该电子邮件地址 研究人员使用 Shodan 搜索引擎扫描带有非不标准 SSH 密钥的开放 Redis 服务器, 结果发现 5892 例 SSH 密钥与电子邮件地址 ryan@exploit.im 有关 研究人员还发现 385 和 211 个密钥分别与 root@chickenmelone.chicken.com 和 root@dedi10243.hostsailor.com 有关 最常见的非标准密钥为 "crackit" crackit_key qwe ck 和 crack RBS 共发现 14 个独特的电子邮件和 40 个独特的 SSH 密钥组合 正如 RBS 解释, 这些 攻击行为看起来是多个组织或个人所为 攻击者未针对某个 Redis 版本, 所有版本均被波及 对于被攻击的 Redis 数据库版本, 研究人员共发现 106 个不同版本, 从最初的 1.2.0 到最新的 3.2.1 版本均被攻击 RBS 研究人员解释道, 根据分析, 我们可以确定两件事情 : 第一, 这不是一起 新事件 ; 第二, 一些服务器受感染但未被恶意利用 RBS 安全公司推荐网站管理员将 Redis 数据库更新到最新版本并激活 保护模式 保护模式是 Redis 3.2 版本推出的一项安全功能 6338 个被感染的服务器目前仍暴露在网络上, 也就是说新威胁攻击者可以轻易再 次实施攻击 23
3.1.6 两名中国 ATM 黑客 遭巴基斯坦警方调查 近日巴基斯坦联邦调查局正在调查一起使用 ATM 分离器盗取信用卡的案件 涉案 的两名犯罪嫌疑人都是中国人 巴基斯坦联邦调查局负责 相信经常访问 FreeBuf 的小伙伴一定对 ATM 分离器 (ATM Skimmer) 不陌生, 为了照顾一下新来的小伙伴, 这里还是简单介绍一下 :ATM 分离器是一种依附在正常 自动提款机上的恶意电子硬件设备 它伪装成正常的键盘和银行卡插槽, 与原设备严丝 合缝, 普通用户很难分辨 通过配合隐形摄像头, 犯罪分子窃取用户输入的密码以及银行卡数据 而记录到的 密码以及银行卡信息, 传回给犯罪分子的方式也多种多样, 有基于 GSM 通讯模块的发 送方式, 还有蓝牙发送方式等 一些专门从事该领域研究的安全专家称, 在一些国家, 由于缺乏应对这种犯罪方式的经验, 所以犯罪分子往往能够利用这种方法轻易骗取受害 者大量现金 近日在巴基斯坦卡拉奇的一家银行摄像头记录下了一起犯罪事件, 两个中国公民在 24
ATM 取款机上安装分离器 录像中, 他们在 ATM 取款机键盘上安装自己的键盘记录器 当前这起案件已经由巴基斯坦联邦调查机构 (FIA) 网络犯罪部门负责调查 ARY News 新闻频道报道称, 这两名中国人都隶属于同一家跨国犯罪组织 该组织专门从事通过 ATM 机盗取银行卡信息 这家犯罪组织的根据地就在巴基斯坦, 他们会复制不同银行的卡片, 据说已经骗取 了数百万现金, 而偷来的数据也通过网络发往其他地区 至于为什么选择在巴基斯坦的 卡拉奇犯罪, 可能是因为卡拉奇是巴基斯坦第一大城市, 流动人口比较多 2015 年, 就曾出现一个黑客组织, 专门从巴基斯坦渣打银行 ATM 取款机盗取现金 通常取出 现金, 银行会通过短信或电子邮件来通知客户取款消息, 但当时很多客户并没有收到提 示信息, 直到他们拿着银行卡去 ATM 取款机存取现金时候, 才发现自己的银行卡出了 问题 警方的初步调查认为黑客是通过英国地区的 ATM 取款机进行操作, 然后依靠钱 骡搞定的 日本 闪电取现 大案 前一段时间, 日本就发生了一起 闪电取现 大案 约一百名窃贼用时仅两个多小 时, 就用伪造的 1600 多张信用卡从自动取款机 (ATM) 取出 14 亿日元现金 ( 约合 1270 万美元 ) 这伙窃贼当时的第一笔取款发生在 5 月 15 日清晨 5 时左右, 最后一笔取款 时间发生在 8 时以前 其间, 他们携带这些信用卡, 在东京和 16 个县的约 1400 家便 利店的取款机上取现 警方估计, 这伙窃贼应该有一百人左右, 他们总计取现约 1.4 万 次, 每次取现金额为取款上限 10 万日元 所以不到三个小时, 他们就取走了 14 亿日 元 去年 2 月, 知名反病毒机构卡巴斯基实验室发布报告说, 某跨国黑客团体曾专门针 对全球约 30 个国家地区的银行和金融企业发起网络攻击, 并盗取银行账户资金, 迄今 25
所窃总金额高达 10 亿美元 受害国家和地区包括美国 欧盟 日本和中国等 这起案 件被认为是全球银行业迄今涉案金额最高 波及范围最广的 网络盗窃案 之一 那么如何防范 ATM 分离器呢? 其实也并不复杂, 在 ATM 取款机操作时需要注意 键盘以及可疑的针孔摄像头, 如果发现问题, 就应该与银行或者当地执法机构联系, 并 注意及时修改自己的银行密码 26