CNTIC周报 第五十九期

安全要闻

GandCrab勒索病毒停止更新：运营商称赚够了退休的钱

在2019.6.1当天，臭名远扬的勒索软件之王：GandCrab背后的运营团队在俄语论坛中发表官方声明称，GandCrab勒索病毒将停止更新。

作为2018年最为活跃的勒索病毒家族之一，GandCrab勒索病毒从年初出现至今已完成5次大版本升级，利用Seamless恶意广告软件、水坑攻击、邮件传播、GrandSoft漏洞利用工具包等多种方式进行传播，同时其变种更新速度快，平均每两个月完成一次变种，威胁用户的网络安全。分析发现，在局域网内部，勒索病毒GandCrab5.0通过感染U盘、硬盘压缩文件、网页目录传播，局域网内爆破VNC5900端口、RDP3389弱口令传播，安全措施不足的企业内网将受到冲击。例如，该病毒会感染U盘、移动硬盘，并配置自动播放模式传播，在其他电脑插上已染毒U盘时病毒程序得以自动运行。而硬盘Web目录受到感染后，会用病毒程序覆盖该目录下的EXE文件。如果该目录被发布到网站，下载程序的电脑就可能中毒，利用RigEK、FalloutEK漏洞工具包，进行网页挂马攻击等。值得一提的是，和以往的版本一样，GandCrab5.0勒索病毒检测到系统为俄语版本或多个俄语系国家时，会停止运行，并删除自身。

该勒索软件至今已经过去了16个月，从刚开始的1.0，到现在的5.2，再到2019退休，这种退休方式，外加攻击者每月至少几百万美元的收入，恐怕会继续滋生更多的网络犯罪者，从而使得投机分子越来越多，网络安全越来越不太平。

疑似来自朝鲜的新型恶意软件通过收集蓝牙数据构建用户档案

根据卡巴斯基实验室的分析报告，这种恶意软件通常需要先感染目标用户的Windows设备，它将作为感染第二阶段的Payload来实施进一步攻击活动。在受感染的系统中，恶意软件会使用Windows的蓝牙API来从目标设备中收集数据，例如蓝牙连接设备名称、设备类型、设备地址以及设备当前是否已连接、验证或记住此设备等等。

攻击者很可能是在收集目标用户的基本信息，并构建用户档案，然后在之后针对目标用户的蓝牙设备发动攻击，或者是利用目标用户的设备构建僵尸网络。这款恶意软件的开发者是叫ScarCruft的黑客组织，而且卡巴斯基从2016年跟踪这个黑客组织的活动。他们的活动主要是出于政治目的，并针对攻击目标进行各种情报收集工作。

谷歌多项服务全球大规模宕机：涵盖 YouTube、Gmail 等

本周日，谷歌在全球范围内遭遇了大规模中断，包括 Gmail、YouTube  和 Google Drive 在内基于谷歌云架构服务的诸多谷歌服务均受到影响。本次宕机于北京时间 6 月 3 日凌晨 2 点 58 分开始，用户访问谷歌服务出现各种错误提醒，并且阻止用户访问电子邮件、上传  YouTube 视频等等。

根据谷歌官方状态页面显示，包括 Gmail, Calendar, Drive, Docs, Sheets,  Slides, Hangouts, Meet, Chat 和 Voice 在内的谷歌服务均无法使用。那些依赖于谷歌云架构的第三方服务同时也受到影响，目前谷歌官方并没有完全恢复的预估时间，也没有公布关于本次宕机事件的根本原因。

威胁分析报告

启明星辰：深度分析并溯源Dofloo僵尸物联网背后的“黑雀”

2019年4月开始，启明星辰ADLab观察到Confluence远程代码执行漏洞CVE-2019-3396被Dofloo僵尸网络家族用于攻占设备资源，Confluence 是一个专业的企业知识管理与协同软件，常用于构建企业wiki。本次漏洞是由于Confluence Server 和Confluence Data中的Widget Connector存在服务端模板注入漏洞，攻击者构造特定请求可远程遍历服务器任意文件，甚至实现远程代码执行攻击。Dofloo僵尸网络家族不仅开始利用高危漏洞进行攻击，而且其背后的黑客还利用一种更具影响力的“黑雀攻击”来入侵产业链，以掌控更加强大的网络攻击资源。黑雀攻击与供应链攻击有异曲同工之妙，只是攻击的目标不是常规的产业链，而是黑客产业链；受攻击链的末端也不是普通用户，而是极具危害性的黑客群体。

TA505组织新攻击活动针对智利金融机构

CyberInt Research的调查人员发现，说俄语的网络犯罪组织TA505有进一步活动。在CyberInt公开披露其TTPs后，发现该组织以智利的金融机构为目标，其操作方式略有改变，TA505这一次利用MSI安装程序部署AMADAY恶意软件家族。AMADAY植入后，TA505可以从受害者那里窃取金融机构和零售商客户的电子邮件通信和敏感信息。这进一步使得该组织能够窃取联系人列表，从而通过发送看似合法的恶意电子邮件(似乎来自可信来源)来攻击其他组织。

ESET：Turla APT组织对武器化PowerShell的使用

与俄罗斯有关联的网络间谍组织Turla正在将PowerShell脚本武器化，并将其用于攻击欧盟外交官。Turla至少从2007年以来就一直在针对政府机构和私营企业。此前已知的受害者名单还包括瑞士国防公司RUAG、美国国务院和美国中央司令部。为了混淆检测，该组织最近开始使用PowerShell脚本，这些脚本提供了直接的内存加载、恶意软件可执行程序和库的执行，这允许它们绕过检测。

趋势：新恶意软件BlackSquid利用漏洞投放XMRig

6月3日，趋势科技报道了一个新的恶意软件家族，它利用多种web服务器漏洞和字典攻击来攻击web服务器、网络驱动器和可移动驱动器。根据创建的注册表和主组件文件名将该恶意软件命名为了BlackSquid。它使用反虚拟化、反调试和反沙箱方法来决定是否继续安装，还具有像蠕虫一样的横向传播行为。该软件使用了一些臭名昭著的漏洞: EternalBlue; DoublePulsar;CVE-2014-6287、CVE-2017-12615、CVE-2017-8464;针对多个版本的三个ThinkPHP漏洞。此外，网络犯罪分子可能正在测试这种恶意软件程序中使用的技术的可行性，以便进一步开发。据观测，在5月的最后一周使用BlackSquid攻击次数最多的国家是泰国和美国。

会议政策赛事

北约：面对网络威胁，将采取更积极的方式回应

北约秘书长表示，应对网络攻击的方法不局限于防御，且反击不仅限于网络空间。

据外媒报道，北约秘书长Jens Stoltenberg在伦敦举行的网络防御承诺会议上介绍了北约应对网络威胁的方案。Jens Stoltenberg称，北约正在推进在网络空间所能做的极限，并将对网络攻击采取更积极的方式。北约应对网络攻击的方法不局限于防御，且反击不仅限于网络空间。北约盟国已经同意将国家网络能力或进攻性网络纳入联盟的行动和任务。北约秘书长称，网络攻击和传统攻击一样具有破坏性。网络攻击可能会瘫痪关键的基础设施、破坏民主，并给经济造成数十亿美元的损失，且网络攻击变得越来越频繁、复杂和更具破坏性，但北约应对网络攻击的条件仍未正式确定。

联盟目前正在建设网络司令部，将在2023年全面运作，该司令部将协调和执行联盟的所有进攻性网络行动。

吴建平院士：IPv6是建设网络强国重要契机

互联网体系结构是互联网的关键核心技术，主要研究互联网的各部分功能组成及其相互关系。在这个体系结构中，网络层承上启下，保证全网通达，是核心。

网络层向下兼容当前各种通信系统，包括高速光纤通信系统、卫星通讯系统以及当前最热的3G、4G、5G等现代移动通信系统。各种各样的通信系统，使互联网自身的传输速度和带宽不断优化和发展。在网络层之上，由于信息技术的创新，新的应用层出不穷，使互联网成为推动整个社会进步的重要支撑力量。互联网是连接计算机的网络。目前在计算机技术领域，包括中央处理器的芯片技术以及软件的操作系统等信息社会发展中所依赖的最基础的关键核心技术，我们还处在艰苦的爬坡过坎阶段。互联网体系结构包含三个基本要素。第一是全网统一的传输格式。IPv4是现有互联网传输格式的协议，IPv6定义了未来新的传输格式，通过IPv6的格式定义，网络层过渡到了新的一代，传输格式是网络层的最基本要素，从互联网发明到今天已经50年，传输格式的迭代只有IPv4和IPv6的两个阶段。第二是转换方式。在统一的传输格式基础上，互联网要解决如何将数据和信息从网络的一个端点传送到另一个端点的传输模式。对于互联网的转换方式历史上曾经出现有连接、无连接两种不同的技术路线，经过长时间的比较竞争，互联网无连接分组交换技术成为主流，它保证了互联网的传输以最高效的方式得以实现。第三是路由控制。在传输格式和转换方式相对稳定的基础上，路由控制必须不断地满足不同应用和不同通讯手段、通讯方式变化的需求，以达到全网最优。

前沿技术

伊朗国家黑客武器库中，一项全新的黑客工具被公布

继在4月份公布了6个伊朗黑客工具后，一个Telegram频道Lab Dookhtegan又公布了伊朗国家黑客武器库中的一个工具。

据外媒报道，一个Telegram频道Lab  Dookhtegan公布了伊朗国家黑客武器库中的一个新黑客工具。新的伊朗黑客工具名为Jason，用来对微软的电子邮件服务器进行暴力攻击。

根据安全研究员Omri Segev Moyal的说法，Jason工具是一个GUI实用工具，可以使用预编译的用户名和密码组合列表来暴力破解Microsoft  Exchange电子邮件服务器。Moyal表示，这个工具早在2015年就已经编译完成，伊朗黑客至少使用了四年。

今年4月，同一个人公布了六种伊朗黑客工具的源代码，过去被黑客攻击的受害者的信息，以及伊朗政府黑客的真实身份。泄露的6个工具都属于代号为APT34（又称Oilrig或HelixKitten）的伊朗网络间谍组织，据信该组织由伊朗情报部门的成员组成。

Lab Dookhtegan自4月以来一直在对伊朗情报人员进行监听，几乎每天都在网上分享情报人员的真实姓名、社交媒体资料、电话号码或个人照片。

最初人们认为Lab Dookhtegan曾是伊朗情报部门的内部人员，但是目前有个新猜想，可能是外国情报机构想揭露伊朗黑客破坏国家网络的行动。

汽车被武器化的可能性有多大

在过去20年左右的时间里，科技的进步导致了对汽车的核心定义发生了巨大的变化。传统上，汽车被理解为一个孤立的机械机器，由化石燃料驱动，由人类驾驶。随着汽车技术的发展，这一定义也在不断演变。

现代汽车可以被描述为电动汽车、联网汽车、嵌入式软件汽车、无人驾驶汽车，甚至人工智能汽车。如果不对这些属性进行管理且不考虑安全性，会给人们带来安全风险。软件bug和设计缺陷可能导致发生未经授权的远程访问。随着车辆之间的联系越来越紧密，随着越来越多的软件进入安全关键系统，这些漏洞和缺陷会产生灾难性的故障，可能会导致人员伤亡。

到目前为止只探讨了单辆车的威胁。当从规模上看待这一威胁时，智能、互联、自动驾驶汽车可能成为21世纪的大规模杀伤性武器。想象一下，一队被远程控制的或者自动驾驶的汽车在路上乱撞。虽然监管机构已经起草了防止此类灾难性故障的立法、标准和合规要求，但是历史一次又一次地告诉我们，即使强制执行严格的法规遵循要求，也不足以防止违规和数据泄漏。

更糟的是，软件最基本的特性——修补和更新系统的能力在汽车世界中非常罕见。波耐蒙对汽车公司调查后发现，只有37%的受访者表示支持“空中下载”更新，25%的受访者表示不提供安全更新。这意味着，为了更新系统和修复安全问题，大多数汽车行业依赖于车主将汽车交付给经销商进行维护。一旦出现严重漏洞，可能导致汽车召回事件。安全专家认为，没有方法可以创建一个100%受保护的系统。目前应该集中精力嵌入安全，供应链安全的根本问题。