游戏安全资讯精选 2017年第十二期 挖矿软件WaterMiner潜伏在《侠盗猎车手》，Carbon Black预测勒索软件市场增长了2502%，如何用云盾WAF实现虚拟补丁

摘要：挖矿软件WaterMiner潜伏在《侠盗猎车手》，Carbon Black预测勒索软件市场增长了2502%，如何用云盾WAF实现虚拟补丁

【本周游戏行业DDoS攻击态势】

【游戏行业安全动态】

挖矿软件WaterMiner潜伏在《侠盗猎车手》点击查看原文

WaterMiner会嵌入到游戏模块中，当用户下载模块，恶意软件就会随之入侵，还可以逃避任何监视工具。

WaterMiner的压缩文件会被托管在Yandex.Disk上，Yandex.Disk相当于是俄罗斯的Google。压缩文件提供了所宣称的修改功能，然而，在数十个文件中，它包含一个名为“pawncc.exe”的文件，如下图所示。一旦下载开始执行， “pawncc.exe”也就开始了活动。pawncc.exe一旦在受害者的系统上执行，则会启动一连串的事件，最终导致WaterMiner的运行。（本段来源于嘶吼）

Carbon Black勒索软件调查报告：2016年到2017年，勒索软件市场增长了2502%，且势头继续看涨点击查看原文

概要：

（1）暗网市场中，研究人员发现了 45000 个勒索软件。但这是由于恶意软件作者使用不同的收费模式造成的，有些按单个软件定价，有些按月订购或按年订购。

（2）暗网中的勒索软件市场规模已经从 249287.05 美元涨到了 6237248.90 美元，增长率高达 2502% 。FBI 提供的数据也表示，2016 年的勒索赎金总额约为 1 亿美元，高于 2015 年的 2400 万美元。

（3）一体化的 RaaS 本身就是一条完善的勒索链，其中集成了分发通道（攻击套件，spam 僵尸网络等）；可以对比特币勒索进行管理的支付模式；对文件的加密与解锁，还有对用户的技术支持，所有的这些都集成在一个简单的 web 后台面板中。

（4）地下的勒索软件经济已趋于成熟，和现有的软件商业模式类似，包括开发，售后，分发，经销，质保等各个环节。整个勒索软件行业越来越像一个合法的行业。

点评：

目前挖矿类的软件攻击主要为软件捆绑式入侵和漏洞入侵实现挖矿软件成功运行，对于企业用户，建议按照以下措施防御：首先是部署阶段：(1)更新所有的补丁。如果有一个业务需要新上线部署，建议对操作系统、应用服务软件更新所有的补丁，确保所有的软件处于最新状态。（2）划分安全域，配置好防火墙策略

根据业务情况，划分不同的安全域，实用ECS安全组或iptables配置好网络访问控制策略，防止暴露不必要的服务，为黑客提供入侵条件。（3）加固操作系统和软件：对操作系统和应用服务软件进行加固，例如：配置强口令、修改默认登陆名、禁止不必要的服务、开启日志审计功能尽可能记录所有的日志

阿里云安全加固手册，帮助提高业务安全性：点击查看

第二是运维阶段：（1）定期关注安全漏洞并及时更新补丁：安全漏洞的不是一蹴而就的，近几年，大规模使用的操作系统、开源软件（例如：Struts2、tomcat等应用中间件或框架）被曝出系列高危漏洞，需要运维人员实时关注各厂商发布的漏洞信息，根据漏洞信息更新软件，防止被黑客利用。（2）部署搭建入侵检测或防御基础安全能力：针对黑客入侵检测、主机恶意文件查杀(webshell、木马)、web攻击行为，应部署必要的产品，提供基本的检测和防御能力（3）确保应用程序代码无漏洞：业务代码漏洞是造成入侵的主要根源，开发人员和运维人员应确保按照安全开发规范开发，防止源头上出现安全问题，从而被黑客利用。（4）应用白名单：确保企业级业务服务器不乱安装非业务软件，所有的业务软件必须要确保为官方发布的软件，防止发生供应链攻击行为导致被黑客长时间入侵利用。

【相关安全事件】

WiFi网络WPA2 KRACK漏洞分析报告点击查看原文

概要：安全研究员Mathy Vanhoef发现的WPA2协议的KRA（Key Reinstallation Attacks）漏洞，利用WPA2协议标准加密密钥生成机制上的设计缺陷，四次握手协商加密密钥过程中第三个消息报文可被篡改重放，导致在用密钥被重新安装。

WiFi网络通过WPA2 handshake四次握手消息协商用于后续数据通信的加密密钥，其中交互的第三个消息报文被篡改重放，可导致中间人攻击重置重放计数器(replay counter)及随机数值(nonce)，重放给client端，使client安装上不安全的加密密钥。

点评：此漏洞攻击方式被命名为Key reinstallation attacks密钥重装攻击，除了影响已经在用的数据加密密钥，同时也影响PeerKey, group key, Fast BSS切换FT握手等，会导致WiFi通信数据加密通道不安全，存在被嗅探、篡改和重放等风险，攻击者可获取WiFi网络中的数据信息。几乎所有支持Wi-Fi的设备（Android, Linux, Apple, Windows, OpenBSD, MediaTek, Linksys等）都面临安全威胁，危害较大。该漏洞相关影响取决于被攻击的握手过程和数据加密协议，例如AES-CCMP可被重放和解密，TCP流量存在被劫持和注入恶意流量的可能，WPATKIP和GCMP可被重放、篡改及解密，影响会更大，因为GCMP两端使用的相同的认证密钥。

【云上视角】

技术实操：如何用云盾WAF实现虚拟补丁点击查看原文

概要：企业安全团队除了通过WAF制作虚拟补丁，临时缓解漏洞影响，实际在漏洞响应过程中之执行了如下动作：对网站代码和Web服务器进行深入安全调查

确保本次白帽子发现漏洞之前，该漏洞不曾被黑客利用；找到开发大牛，对PHP代码漏洞进行修复并发布上线；增强服务器安全监控，部署阿里云安骑士客户端

彻查公司内部同类开源项目的版本及漏洞情况；制定Web安全漏洞测试规范；重新评估网站的综合安全性；将先知安全众测列入下一阶段工作计划；技术作者提到：“安全从来就不是单一环节的问题，从业人员必须能够从一个点看到多个层面的问题，从而有效提升企业信息系统的整体安全行，并将安全运营带入正轨。”

原文链接