一周海外安全事件回顾

面对勒索软件，要么养成良好的上网习惯，要么成为黑产的VIP客户。选择权在你。

CryptoLocker勒索软件。

何为勒索软件呢?可以想象这样一个场景。有一天，你突然发现你的很多文件不能打开了。然后，会看到这样一个倒数计时器，要求支付2比特币(约536 英镑)的赎金以获得解密密钥。否则，你的那些文件再也打不开了(http://www.freebuf.com/articles/system /17847.html)。体会一下：

抱歉，你中招了，更直接一点说，你被勒索软件勒索了。

本周英国国家打击犯罪调查局(NCA)发布国家紧急警报，称一场大规模的垃圾邮件勒索事件。这些邮件中包含了一款名为CryptoLocker的勒 索程序，把目标瞄准了1千万英国的email用户。该程序会加密用户的文档，然后要求用户提供赎金才恢复用户的正常访问。 (http://www.freebuf.com/articles/system/17847.html)

据对大量中招者的调查发现，crytolocker 软件多伪装为快递公司，如UPS或FedEx。软件采用了2048位加密(意味着放弃破解这一暴力的招数吧)，黑客自己保留私钥，把公钥发给收到感染的计 算机上。隐藏为pdf文件，事实上文件采用了双扩展名(.pdf.exe)(http://readwrite.com/2013/11/08 /cryptolocker-prevent-remove-eradicate#awesm=~oo0pSzpD9tKFB8)。文件往往是压缩文件， 这意味着用户不仅需要下载这个文件，还要解压缩，还要运行它。

这也验证了不做死就不会死。

如何防范crytolocker 软件呢?这里，我权且像一位资深安全专家一样扯一下淡：

1)安装并及时更新杀毒软件。(其实多半没什么用)

2)提高防范社工的意识。别什么邮件都打开，什么附件都下载，什么文件打开。(这点真的很重要，打飞机都比上网时什么都要点一下更有意义，特别是你的邮件。)

3)平时注意备份一些关键的文档。(嗯，也很重要!这个习惯应该像打飞机一样养成)

当然，你也可以像一个SB一样认栽、掏钱。当然，这样做的结果是——可能你会成为黑客的VIP用户。

“行为主义者”的反击

“行为主义者”Anonymous(注：抱歉我不太喜欢用hacktivist或“黑客主义者”来称呼Anons)每周都在奉献着不同的题材。

Anonymous印度尼西亚的组织挂了澳政府警察和央行网站。作为对澳政府监听印尼总统、其妻和部长电话行为的抗议，一个自称“印尼网军” (Indonesian Cyber Army)的组织今天发动攻击，导致澳政府警察部门和央行网站不可访问。当然，类似这样的政治性攻击，其结果往往是适得其反。澳政府被打后说，黑客攻击不 会改变澳政策，同时将追究攻击者责任(http://voiceofrussia.com/news/2013_11_21/Anonymous- attack-Australian-police-central-bank-websites-9797/)。

据路透社报道，本周FBI对美国政府发出警告，“匿名者”黑客团体已经秘密侵入美国政府多个机构的电脑中窃取敏感信息，他们的行动已持续了几近一年之久(http://www.freebuf.com/news/17579.html)。

OK，“行为主义者”也可以APT的哦。

悲催的网游行业

网络游戏行业也是每周安全事件评论的常客。这也许和笔者非常关注网游，并曾经深度沉迷于《传奇》的原因有关。当然，在安全这个大前提下，网游是一个相当悲催的行业。

沙盒类游戏TUG在Alpha版本测试时遭到DDoS攻击，玩家无法登录游戏(http://massively.joystiq.com /2013/11/15/tug-suffers-from-ddos-attack/)。游戏管理者在描述攻击的时候，采用了“relentless” (凶狠)这个词，可见当时攻击者破坏游戏测试的强烈意图。网络游戏遭受DDoS攻击是非常普遍的事，有玩家报复，也有竞争因素。

《战地4》服务器遭DDoS，玩家无法组队团战。在上周末打算联机组队打《战地4》的玩家一定会非常失望，因为游戏服务器不能提供正常的服务——服 务器被DDoS攻击了。DICE官方证实了遭到DDoS攻击的事实，并发表了歉意。http://www.vg247.com/2013/11/18 /battlefield-4-pc-servers-hampered-by-ddos-attack-this-weekend/。

附图是《战地4》中中国军人的形象，其中女兵名叫韩娜。大家可以体会一下。实话讲，我觉得不怎么地。另外一个背着RPG的中国士兵倒是蛮酷的。

永远的APT，永远的天朝

本周，Fireeye称内存攻击(in-memory attack )呈明显上升势头(http://searchsecurity.techtarget.com/news/2240209511/FireEye- report-points-to-growing-significance-of-in-memory-attacks)。F“友商”称，内存攻击是 当前APT的重要手段。当攻击者拿下网站后，利用浏览器的漏洞(IE 0day，微软躺枪)将名为“Hydraq/McRAT”的恶意代码下载到访问者计算机的内存中。下载成功后，这台计算机将成为任由摆布的僵尸，随时听候 CC控制台的指令。

由于代码在内存中，要求攻击者的手一定要快，一旦计算机关机就意味着一切都白干了。当然，F“友商”提到了内存驻留攻击(memory-resident attack)，即可以把恶意代码转存到目标本地的硬盘中，这样做的目的就像种了一粒种子，接下来。。。你懂得。

接下来吐下槽。如果Fireeye、Mandiant等“友好”厂商(以下简称“友商”)的文章看多，潜意识里会有这样一个公式：

APT = China

不知道是思维定势，还是中了什么魔法，这些“友商“在分析APT的时候，倒着倒着总能倒到天朝。

某S友商发现一个专门利用Ichitaro漏洞的木马(注：Ichitaro是日本非常流行的字处理软件)。安全人员对比利用微IE浏览器内存损坏 的0day漏洞(CVE-2013-3893)和利用Ichitaro漏洞的木马，惊奇地发现，两个木马有很大的相似性。更为“震精”的是，木马代码和去 年Mandiant公司发现的某APT攻击木马如出一辙。http://www.theregister.co.uk/2013/11/18 /new_york_times_hackers_linked_to_japan_ichitaro_attacks/。

看到Mandiant了，大家应该明白了——天朝再次躺枪。剩下的就不说了。