安全周事记(20180922)

• 9.14 Fbot，一个Satori相关的、基于区块链DNS的蠕虫
  又一个利用adb接口传播的蠕虫，其C2域名musl.lib是由基于区块链的DNS系统——EmereDNS解析的。

  musl.lib #主控域名，由区块链DNS系统EmerDNS解析
  66.42.57.45:7000 #Singapore/SG Singapore #当前主控IP
  ukrainianhorseriding.com #历史关联域名
  27.102.115.44 #Republic of Korea/KR AS45996
  rippr.cc #历史关联域名，Satori主控

  吐槽：比较新的点在于对C2的隐藏上面

• 9.17 一个人的安全部之企业信息安全建设规划
  大而全的概述了企业安全建设的方方面面：终端安全、应用安全(漏洞扫描)、网络安全、员工安全培训等，可用于扩充安全视角，也能用于指导企业安全建设。
  目录如下：
  

  吐槽：会有点太长不看的感觉。

• 9.17 互联网反欺诈体系建设系列 ( IV )——守其所攻
  互联网反欺诈体系至少要做到三个层面的欺诈特征检测：
  • Real —— 区分用户是否真实
  • Right —— 用户信息是否真实有效；勾稽对比、交叉对比
  • Reliable —— 动机校验；结合用户的社交、通讯、金融、出行、车产、房产、职业等多维度的信息，进行横向的关联分析

    吐槽：这个系列都是只谈概念，不讲干货(个人观点)。

• 9.17 国外安全研究者爆料中国黑客组织针对越南政府的APT攻击样本
  halong.dulichculao.com 曾在对越某些机构发起的网络攻击中用过，Fortinet曾对这类攻击做过详细分析，并把其追溯为黑客组织-1937CN。
  把这两次攻击的各项TTP指标进行对比，发现基本相似，攻击者都使用了RTF文档作为前期入侵，而用DLL劫持作为后期payload加载。
  此次攻击中的另外一个域名cat.toonganuh.com，是toonganuh.com的子域名，也曾被发现和黑客组织-1937CN注册过的邮箱florence1972@scryptmail.com有关联。

  吐槽：上次是从Uber数据分析出APT10；这次又是1937CN？

• 9.17 Google’s Android Team Finds Serious Flaw in Honeywell Devices
  google发现Honeywell的android设备存在提权漏洞，Honeywell已修复漏洞。

  吐槽：所以以子之矛，攻子之盾？

• 9.18 安全预警 | 疑似方正集团子公司签名泄露，遭黑客利用盗取Steam账号
  配合风云再起，签名冒用引发信任危机食用，对签名滥用、盗用、冒用有一个更好的了解。
  

  吐槽：火绒应该是国内终端安全做的最成功的了吧？不过可能我不太是目标群体，所以不了解。
  另：签名冒用、滥用在Android端其实更严重。

• 9.18 疑似“海莲花”组织早期针对国内高校的攻击活动分析
  360推测的攻击过程：

  攻击阶段	使用技术
  攻击入口	利用鱼叉邮件投递漏洞文档，如CVE-2017-11882漏洞文档
  初始控制	远程下载伪装成图片的PowerShell脚本载荷 利用McAfee的白利用技术执行核心dll载荷
  横向移动	主要利用系统命令实现横向移动：
  	- 使用nbt.exe进行扫描
  	- net.exe实现IPC用户添加
  	- MsBuild.exe在内网机器上编译生成恶意dll模块并执行

  “海莲花”组织一直在不断更新和演变其攻击的战术技术特点，并擅长于利用开源或公开的攻击工具和代码用于自身的攻击活动中。

  吐槽：其实这更像一篇360威胁情报平台的软文。

• 9.18 研究人员发现了具有僵尸网络功能勒索功能和挖掘加密货币功能的新蠕虫
  Palo Alto Networks的Unit 42研究团队发现了一种新的恶意软件类——Xbash，能够针对Linux和Windows服务器，将加密货币挖掘，僵尸网络和勒索软件功能结合在一个自我扩展的蠕虫软件包中。
  Xbash使用可利用的漏洞和弱密码强制组合在服务器之间传播，与其他勒索软件不同，默认情况下启用了数据销毁功能，没有恢复功能，几乎不可能进行文件恢复。
  Unit 42已经发现48个传入到Xbash勒索软件组件中的硬编码钱包总计6000美元.

  吐槽：这是没有职业道德的勒索软件。

• 9.18 互联网黑灰产工具软件，2018半年报告
  工具作业图：
  

  正经：威胁猎人是真勇士，深入敌后。

• 9.18 iOS 12被阿里安全潘多拉实验室实现完美越狱
  9月18日凌晨，Apple正式对外发布最新的iOS 12系统，现在，阿里安全潘多拉实验室安全专家已经攻破，实现完美越狱。

  吐槽：beta版的漏洞，正式版没修复就是这种后果咯。

• 9.21 软件供应链安全 | Python Fake Package引发的任意代码执行风险
  tag:供应链安全
  Hook setup.py install 过程 构造恶意三方包，原理如下：
  setuptools 包提供了一个安装类 : setuptools.command.install.install，只要继承这个类，然后重写其run方法，那么就可以达到hook pip install xxx/ 或 python setup.py install 行为的目的。
  完整hook 需要2步：
  • 第一步，重写安装类，即重写原生install 类的ru 方法：

    class CustomInstallCommand(install):
    

  • 第二步，在setuptools.setup 设置中指明重写后的安装类：

    setuptools.setup(
    
    ...
    
    ,
    
    cmdclass={
    
    'install': CustomInstallCommand,
    
    },
    
    )
    

    吐槽：所以供应链要加强审核，不过目前应该暂未发现实际攻击案例。

• 9.21 威胁猎杀实战（二）：NIDS和HIDS关联
  配合威胁猎杀实战（一）：平台 食用，拓展安全视野。

  吐槽：本质是天御威胁感知平台的软文。

​