一,国际舆情概况
根据腾讯反病毒实验室的后台统计,12月讨论话题与11月份基本一致,热议话题仍然是漏洞、勒索敲诈、有害样本、攻击事件。而钓鱼事件,垃圾邮件也都保持着稳定的讨论热度,下图为12月资讯分布情况。
12月没有发生重量级安全事件,年底全球欢度节日,安全事件级别都有所下降,不过常见的安全事件类型依旧不断,如“圣诞节临近,出现伪装成Facebook登录页面的钓鱼网页”的钓鱼事件、“加拿大日产被黑,110万客户数据泄露 ”的数据泄露事件、“虚假发票附件”的垃圾邮件事件、以及各种勒索样本、银行木马、漏洞等安全事件。下文将具体列出12月最为典型的4起安全事件,一例为针对工业安全发起的攻击,此次攻击对工业安全来说又敲响了一次警钟;第二个案例是安卓挖矿程序,由于功能的负荷较重,从软件危害演变成硬件危害,带给用户更直观的危害感受;第三个案例是11月份就讨论很火的Mirai僵尸网络的变种Satori,该僵尸网络持续活跃,引起很大的重视,利用的相关漏洞也被厂商及时修复;第四个案例是一起漏洞事件,该漏洞是使用广泛的GoAhead Web Server的,此漏洞将影响IOT安全,在某款路由器上可成功复现。四个案例的详细介绍见下文。
二,热点安全事件概况
12月里没有出现讨论过热的安全事件,以下列举12月四个较典型案例。
1,工业基础设施遭受Triton攻击——热度☆☆
中东某企业关键基础设施遭受了恶意软件Triton的攻击,攻击者利用Triton攻击框架能与施耐德电气公司的Triconex安全仪表系统控制器SIS形成通信交互。
攻击者通过获取SIS工作站的远程访问控制权限,对SIS控制器进行重新编译,从而在SIS系统中部署Triton攻击框架,利用TriStation协议与SIS控制器发起通信,攻击者可以发送停止命令导致进程关闭,或向SIS控制器上传恶意代码造成保护失效。
2,安卓Loapi恶意软件,包含挖矿代码,会破坏电池——热度☆☆
本月发现一种Loapi新型安卓恶意软件,伪装成反病毒或色情应用程序,安卓Loapi恶意软件采用模块化构架,可用于执行各种各样的恶意活动,既可以参与DDOS僵尸网络攻击,也可发送短信轰炸。本月发现该恶意软件会针对Monero进行加密货币挖掘,由于挖矿行为产生的负荷比较重,所以会导致电池盖变形。
3,Mirai变种Satori僵尸网络利用华为路由器漏洞CVE-2017-17215进行攻击——热度☆☆☆
华为家用路由器HG532存在0day漏洞(CVE-2017-17215),可以远程执行任意代码,本月发现Satori僵尸网络在37215端口进行攻击,该攻击模式出现在美国、意大利、德国、埃及等地的传感器中,由华为路由器组成了僵尸网络。僵尸主机用伪造的UDP和TCP包对目标发起洪泛攻击,攻击开始后,僵尸主机发起对硬编码域名的DNS请求来解析C&C服务器的IP地址,从DNS响应中获取IP地址,并尝试用硬编码的接口连接。
4,GoAhead远程代码执行漏洞CVE-2017-17562——热度☆
GoAhead Web Server被广泛应用在嵌入式设备中,本月被爆出一个高危漏洞CVE-2017-17562,与 glibc 动态链接器结合使用, 可以利用特殊参数名称 ,如 LD_PRELOAD,实施远程代码执行。攻击者可以在请求的正文中POST其共享对象有效Payload, 并使用/proc/self/fd/0 引用它,目前在某款路由器上可成功复现。