阿里聚安全一周一讯第37期出炉,一起来看本周的安全热点吧~
一、安全资讯
2016年最易受攻击的操作系统,Android排名第一
CVE Details提供的统计数据显示,Android,Debian Linux和Ubuntu Linux是2016年最易受攻击的三种产品。在这一年中,Android的漏洞数量最多,达到523个,其次是Debian Linux,有319个,Ubuntu Linux为278个。令人惊讶的是,Adobe Flash Player排位第四,有266个漏洞。
iOS 10 iMessage字符崩溃Bug又来了
近日,黑客@vincedes3发现了一个从iOS 8 到 iOS 10.2.1 b2通用的iMessage字符崩溃Bug,该Bug同样利用了和当年iOS 8的iMessage短信Bug的类似手法,将一段恶意代码发送给受害者,受害者在接收短信后,浏览短信即可中招,此后短信应用陷入死机状态,除非打开修复网页程序,否则再也无法打开短信应用。
工作原理:在受害者打开短信的时候,触发了大量能够引起短信程序崩溃的字符,当用户浏览该短信的时候,cpu进行了大量的计算直到短信app点不动。当用户关掉短信程序后,再次打开短信程序,系统试图加载上一次内容,依然会触发该bug。修复方法请查看文章详情。
勒索软件新年第一枪,从感染LG智能电视开始
近日有美国LG智能电视的用户为了看电影而下载了一款包含勒索程序的App,在观看电影时突然跳出一个假冒的 FBI 警告页面,大致写道所下载的非法内容已被发现,设备目前已被锁定,要想解锁该设备需缴纳 500 美元。在LG官方人员的帮助下,选择将现有的资料全部删除,还原到出厂设定,恢复了电视的正常运作。 经过对公布的截图进行分析,推测用户感染了勒索软件Cyber.Police。这是一款Android手机锁屏勒索软件,可以锁定用户设备并且勒索赎金。它既可以感染移动设备,也可以感染智能电视。至于智能电视的系统被感染的原因,很可能用户看电影的这个App不是从Play Store官方商店下载的,而是从第三方下载的。现在国内的智能设备也越来越普遍,小编提醒大家不要随意下载陌生来源的APP,防止中招。
勒索软件新套路:阅读两篇勒索软件文章后提供免费解密
安全研究员 Michael Gillespie 发现了 Koolova 勒索软件正在开发的新变种,该勒索软件要求受害者阅读两篇有关勒索软件的文章,然后将会提供免费的解密密钥。两篇文章分别是Google安全的博客的“Stay safe while browsing”,以及BleepingCompute的“Jigsaw Ransomware Decrypted: Will delete your files until you pay the Ransom”。
Koolova 勒索软件会展示一个倒计时,用户必须在倒计时结束前阅读完两篇文章,否则它将开始删除加密的文件。一旦阅读完文章,软件的解密按钮将可以按下了。用户点击按钮后,勒索软件将会连接指令控制中心,获取解密密钥。
FBI网站被黑致数据泄露?官方称这根本是个骗局
著名黑客CyberZeist最近入侵了FBI网站(FBI.gov),并将几个备份文件(acc_102016.bck,acc_112016.bck,old_acc16.bck等)公布在了Pastebin,数据内容包括姓名、SHA1加密密码、SHA1盐和电子邮件等。
黑客宣称攻破FBI官网利用的是Plone CMS系统的0-day漏洞。然而在这则消息放出后,Plone坐不住了,其安全团队特别发布了一篇博客文章,表示:这件事情与我们根本无关,绝对是栽赃!并用五个证据来证实这为什么是一场骗局的原因。这是要开撕的节奏吗?这是要打CyberZeist的脸……
《中国网络安全企业50强》(2016年下)发布
本文的调查对象为从500家安全企业中挑选出的200家候选企业,调查数据基于2016年上半年的各项数据和企业信息。
由于此次调查的统计口径为2016年上半年,而安全又是一个在一年的不同时期,有着明显收入不平衡特色的行业。因此适当的降低了收入的权重,偏重于同期增长和技术产品创新。榜单中企业的位置,不可避免的有所变化。但总的来看,大部分企业都在迅速增长,反映了安全市场的快速上升趋势。根据数据反馈,可以预估2016年全年的市场规模有着20%至30%的增长率,网络安全自由市场的真实规模将接近300亿元。 本文为国内外相关行业和机构了解中国网络安全市场的基本状况提供借鉴与参考。
想学网络安全?读读这11本书!
11本网络安全人员学习推荐书籍,覆盖了web安全、移动安全、无线安全、智能设备安全等领域。
二、技术分享
移动安全
“微信支付大盗”来袭,有人被盗近万元
近日,猎豹移动安全实验室捕获到一类高度危险的盗取微信支付资金类的手机病毒,多款手机ROM和APP中均捆绑了该病毒。中毒后,微信帐号随即被盗,严重威胁微信支付钱包及微信支付关联的银行卡资金安全,目前已有上千名用户中招。
该微信盗号木马暗藏于鱼龙混杂的各类第三方定制ROM和APP中,伪装为安卓系统服务模块,通过弹出伪造的微信登录和支付的钓鱼界面,获得用户的登录密码以及支付密码后,再通过监控用户短信等手段,远程窃取微信支付绑定的银行卡余额。本文分析了病毒原理及传播渠道。
内容安全
阿里巴巴直播内容风险防控中的AI力量
直播作为近来新兴的互动形态和2016年阿里巴巴双十一的一大亮点,其内容风险监控是一个全新的课题,它的技术的挑战大,管控难点多。本文分享了阿里巴巴在直播内容管控中独特的内容风险防控技术,支持秒级返回结果,高达99%以上的准确率。
IoT安全
移动应用:进入物联网的后门?
现在,每天都有大量新设备接入物联网,但是迫于市场的压力,这些设备的安全性和隐私性往往没有得到足够的重视。为了评估和改善这些设备的安全状况,研究人员需要对它们进行逆向工程。不幸的是,这可不是一个容易的任务,因为他们需要面对各种不同的智能对象,并且它们经常使用定制的硬件、固件、操作系统和协议,这意味着每次逆向工程都需要从头开始,这是相当费时费力的。
在本文中,我们将解决这个问题,并提出一个更容易的方法来逆向智能对象。我们的思路是,在许多情况下无需关注对象本身,而是关注相关的移动应用程序。我们详细介绍了该方法在三个智能对象上的应用,结果表明这种方法的效果非常棒。实验的设备包括:智能牙刷、智能手表和家用安全报警器。
物联网安全白皮书
由绿盟科技创新中心发布的物联网安全白皮书,附完整版PDF下载。
恶意软件
恶意软件常用的感染技术
通过“横向运动”,恶意软件可以进一步扩大其战果:从原始受感染设备传播到同一网络内的其他设备。最近,勒索软件已经开始使用这种传播方式:包括CryptoWall [1]、CryptoFortess [2]、DMA-Locker [3]和CryptoLuck [4]在内的许多著名的勒索软件家族,不仅对受害者机器上的文件进行加密,而且对已经映射和未映射的文件共享进行了"横向运动", 对这些共享中的文件进行加密,从而造成更大的危害。当然,对于许多针对性和非针对性攻击中使用的恶意软件来说,也有许多会进行"横向运动"的。
本文将为读者深入介绍恶意软件最常见的传播技术,其中包括网络内部传播技术和网络间传播技术。
三、安全工具
2017年最好用的Android渗透工具合集
在这篇文章中,我们将会给大家介绍几款超级好用的Android端黑客工具,这些App不仅功能十分强大,而且使用起来也非常的简单。在这些App的帮助下,用户可以直接使用自己的Android设备来完成某些渗透测试任务。(本文提及的安全工具和方法仅供试用及教学用途,禁止非法使用)
安卓无线渗透利器:Hijacker
Hijacker 是一个安卓平台下的无线渗透工具。它的功能非常强大,几乎集成了 aircrack-ng 套件,mdk3 和 reaver 这些工具的功能。而且采用图形化用户界面,相比命令行界面,使用起来也更加的方便简单!
四、安全活动
征集100个被骗的故事
为了提升大众的安全意识,从专业的角度为大众普及安全常识,弥补他们因受骗而造成的个人及财产损失,由嘶吼传媒联合新华网、阿里聚安全、百度安全、蚂蚁安全、腾讯反诈骗实验室等多家单位共同发起了面向大众征集《100个被骗的故事》公益行动,活动以“多一次分享,少一人被骗”为主题,力求通过“真实的案例分享、深度的专家解读、实在的资金弥补”倡导社会各界加入到行动中来,为维护良好的互联网安全秩序各尽其力。
网友可通过文字投稿、语音留言、视频录制、微活动参与、微话题互动等形式分享自己或身边人真实的受骗经历。
更多安全技术分享及资讯热点,请访问阿里聚安全博客
