2017年亚洲受勒索软件攻击最多； 500万台安卓手机感染恶意软件构成僵

竹外桃花三两枝，春江水暖鸭先知。蒌蒿满地芦芽短，正是河豚欲上时。

各位 BUffer 早上好，今天是 2018 年 3 月 19 日星期一，农历二月初三。温暖的春天到来了，营养又健康的早餐吃起来！今天的 BUF 早餐内容主要有：微软发布安全情报报告，显示亚洲是 2017 年受勒索软件影响最大的地区；网络攻击者想要引爆沙特石油公司；约 500 万台国产安卓手机被预装恶意软件 RottenSys，构成庞大僵尸网络；3 款流行 VPN 有漏洞，或泄露用户真实 ip 等隐私信息；执法专用工具 GrayKey 可暴力解锁 iPhone；英特尔推出新硬件级保护措施，防范 spectre 类似漏洞；人民法院依法维护网络安全，发挥审判职能作用，营造清朗网络空间。

以下请看详细内容：

微软近日发布了其第 23 号安全情报报告，基于对 2017 年 2 月到 12 月的数据分析，亚洲成为 2017 年遭到勒索软件攻击最多的地区。其中，缅甸和孟加拉国是受影响最严重的两个国家，分别占 0.48％ 和 0.36％，而委内瑞拉则排在第三位，达到 0.33％。遭遇勒索软件攻击较少的地区或国家包括日本、芬兰和美国，所有这些地区的平均每月遭遇勒索软件攻击的概率为 0.03％。

此外，安卓锁屏软件 LockScreen 是 2017 年最活跃的勒索软件。2017 年臭名昭著的 WannaCry、Cerber 等也在排行榜前几名。[来源：bleepingcomputer]

以色列和美国通过 Stuxnet/Olympic Games 破坏了伊朗铀浓缩离心机，现在疑似伊朗的攻击者对美国的盟友及其同地区竞争对手沙特发动了类似的网络攻击。调查人员相信攻击者的目标不只是毁灭沙特石化公司的数据，而是试图通过破坏安全系统诱发爆炸。实现物理破坏的网络攻击过去几年正日益常见，安全专家担心未来此类的事件会更多。

攻击发生在去年八月，攻击者被认为拥有大量的时间和资源，因此很有可能得到政府的支持，攻击没有引发爆炸要感谢攻击代码中的一个错误。攻击者入侵了施耐德公司保护设备安全运转的工业控制器 Triconex，该型号的控制器被全世界 1.8 万家工厂使用，其中包括核处理设施。调查人员在工作站计算机中发现了一个设计破坏系统的文件，但代码中的一个 bug 无意中关闭了工厂的生产系统。调查人员不知道恶意程序是如何进入到计算机中，他们不相信是内贼做的。[来源：Solidot]

CheckPoint 的研究人员近日发现中国某恶意团伙在大量传播 RottenSys 恶意软件，感染 500 多万台流行安卓设备。这个恶意软件使用两种技术逃避检测，一是在设置时间延迟操作；二是利用dropper，最初不会显示任何恶意活动，但一旦设备激活、dropper 连接到 C&C 服务器之后，服务器就会向 dropper 发送一系列恶意活动所需的组件名单。

此外，恶意代码需要依赖两个开源项目才能实现：利用 Small 可视化框架创建可视化组件容器，随后， RottenSys 就能运行平行任务，越过安卓系统的限制；此外，还能利用 MarsDaemon 库，让进程被用户关闭的情况下还能保持激活，最后注入广告。