2020年安全简报（2月）

一、国内外信息安全动态

微软警告 TA505组织正在改变网络攻击策略

微软安全专家发现TA505网络犯罪团伙正在发起网络钓鱼活动，使用带有HTML重定向器附件发送恶意Excel文档。据悉，这是TA505团伙首次采用这种策略。

TA505黑客团伙自2014年以来一直活跃于零售和银行业。该团伙以一些规避技术而闻名，随着时间推移这些技术被用于安全规避控制，主要是通过几种恶意软件渗透到公司内部，如滥用所谓的LOLBins，使得受害者在合法情况下滥用程序。此外，TA505集团还与Locky、BitPaymer、费城、globeimparter和Jaff勒索软件家族一起参加了旨在分发Dridex
banking特洛伊木马的活动。

网络安全公司Eversion的安全专家发表报告称：TA505已经危害了1000多个组织。

“我们在对这场运动的分析过程中，我们能确定至少一家总部位于美国的电气公司、一家美国州政府网络以及世界上最大的25家显示出妥协迹象的银行都包含其中。”

目前，微软通过发布推特证实这项网络钓鱼活动。

“这是第一次使用HTML重定向器观察Dudear
，其中，攻击者还使用不同语言的HTML文件。值得注意的是，他们还使用IP回溯服务来跟踪下载恶意Excel文件的固定IP地址。”

此外，微软专家还透露，攻击者正在使用电子邮件上附带的的HTML定向程序。一旦受害者打开邮件，HTML就会定向下载一个恶意的Excel文件，而该文件最终将丢弃有效载荷，攻击者可以使用IP回溯服务跟踪下载恶意Excel文件的计算机的IP地址。这是TA505第一次使用这种技术，过去，该组织使用携带恶意软件的垃圾邮件或者使用恶意的url来作为附件，在受害者被诱骗打开Excel文档后，不可以使用在线预览，但可进行文档编辑。

目前有好消息称：微软安全情报部门已经确认微软威胁防护系统能够中和攻击，office
365能够检测此活动中使用的恶意附件和URL，microsoft defender atp也能够检测TA
505使用的恶意html、excel文件和有效负载。

WhatsApp 桌面客户端曝出远程文件访问和代码执行漏洞

**Facebook 刚刚修复了 WhatsApp 桌面平台中一个严重的安全漏洞，消除了允许攻击者从
Windows / Mac
上的本地文件系统中读取文件、甚至远程代码执行的隐患。**该漏洞由安全研究人员 Gal
Weizman 和 PerimeterX 共同发现，美国国家标准技术研究所（NIST）评估的严重等级为
8.2 。

早在 2017 年的时候，研究人员就已经发现过可更改他人回复文字的问题。Weizman
意识到，他可以利用富媒体制作以假乱真的消息，将目标重定向到他指定的位置。

安全研究人员进一步证实了此事，可以利用 JavaScript
达成一键式持久性跨站脚本攻击（XSS）。

最终绕过 WhatsApp 的 CPS 规则来增强攻击能力，甚至实现远程代码执行

经过一番挖掘，研究人员意识到这一切都是可行的。因为 Facebook 提供的 WhatsApp
桌面应用程序版本，正式基于过时的 Chrome 69 版本。

问题在 Chrome 78 正式推出时曝光，早几个版本中使用的 javascript
技俩的功能已得到修补。

若 WhatsApp 将其 Electron Web 应用程序从 4.1.4
更新到发现此漏洞时的最新版本（7.x.x），那 XSS 也将不复存在。

Facebook 表示，CVE-2019-18426 漏洞影响 0.3.9309 之前的 WhatsApp 桌面客户端、以及
2.20.10 之前的 iPhone 客户端。

有关漏洞的详情，还请移步至 Weizman 的 PerimeterX 博客文章中查看。

僵尸网络 Emotet 能通过相邻 Wi-Fi 网络传播

Emotet
是最具危险性的恶意程序之一，它能窃取银行账号，安装不同类型的其它恶意程序。最近其运营者被发现开始采用新的方法进行传播：通过相邻的
Wi-Fi 网络。它利用名为 wlanAPI 的 API 收集附近无线网络的
SSID、信号强度、加密方法如 WPA，然后使用一个常用用户名密码组合列表尝试登陆。

如果成功登陆，被感染的设备会枚举所有连接到该网络的非隐藏设备，然后使用第二个密码列表去猜测连接设备的凭证。

它还会尝试猜共享资源的管理员密码。如果它成功猜出连接设备的密码，那么它就会加载
Emotet 和其它恶意程序。弱密码用户最好修改密码使用强密码。

因严重 IE 漏洞 微软再为已停止支持的 Windows 7 发布安全更新

**Windows
7和IE浏览器都已经于上月停止支持，但由于最新曝光的严重IE漏洞微软决定再次为Windows
7系统提供安全补丁。**在发现了一个被黑客广泛使用的JavaScript引擎漏洞之后，微软决定为所有IE
9之前的旧版浏览器提供安全更新。

CVE-2020-0674公告中写道：

这个远程代码执行漏洞存在于IE浏览器处理脚本引擎对象的内存中。该漏洞可能以一种攻击者可以在当前用户的上下文中执行任意代码的方式来破坏内存。成功利用此漏洞的攻击者可以获得与当前用户相同的用户权限。

如果当前用户使用管理用户权限登录，则成功利用此漏洞的攻击者可以控制受影响的系统。然后，攻击者可能会安装程序。查看，更改或删除数据；或创建具有完全用户权限的新帐户。

在网络攻击情境中，攻击者可能会制作专门利用该IE漏洞的特制网站，然后诱使用户查看该网站。攻击者能够访问托管在IE渲染引擎上的应用或者微软Office办公文档中嵌入标记为“初始化安全”的ActiveX控件。攻击者还可能利用受感染的网站，接受或托管用户提供的内容或广告。这些网站可能包含可以利用此漏洞的特制内容。

该漏洞利用可以通过任何可承载HTML的应用程序（例如文档或PDF）来触发，并且在Windows
7、8.1和10上具有“严重”等级，并且目前正被黑客广泛使用。
Microsoft将发布针对所有这些操作系统以及Windows Server
2008、2012和2019的补丁程序。

黑客利用疫情传播 Emotet 恶意程序 日本地区最猖獗

网络诈骗者往往会抓住时下热点，欺骗用户点击链接或者下载含有恶意代码的软件。例如在过去几个月中，就有诈骗者利用澳大利亚山火进行虚假众筹，以及出售假冒的科比·布莱恩特纪念品等等。时下最热门的话题莫过于新型冠状病毒，因此诈骗者利用该新闻进行传播恶意程序就没有奇怪的了。

这些恶意行为最早是由CheckPoint发现的，这些网络诈骗者发送了当地或者全球世界卫生组织的官方文件。如果用户打开这些看上去合法的文件，那么计算机就会被感染。

根据初步调查这种恶意行为在日本最为猖獗，诈骗者伪装日本残疾人福利服务提供商分发了携带有Emotet（连续4个月位排行第4的恶意软件）的电子邮件附件。这些电子邮件似乎正在报告感染在日本几个城市中蔓延的位置，这鼓励受害者打开文档，如果打开该文档，则尝试在其计算机上下载Emotet。

也有报道称，诈骗者正在使用带有恶意链接的网络钓鱼电子邮件，乍一看似乎将用户定向到疾病控制与预防中心（CDC）的官方网站，而实际上他们被引导到鼓励用户访问的页面他们输入他们的电子邮件帐号密码。

关于 Apache Tomcat 存在文件包含漏洞的安全公告

国家信息安全漏洞共享平台（CNVD）近日发布了一份关于 Apache Tomcat
存在文件包含漏洞的安全公告，安全公告编号：CNTA-2020-0004，具体信息如下:

2020 年 1 月 6
日，国家信息安全漏洞共享平台（CNVD）收录了由北京长亭科技有限公司发现并报送的
Apache Tomcat 文件包含漏洞（CNVD-2020-10487，对应
CVE-2020-1938）。攻击者利用该漏洞，可在未授权的情况下远程读取特定目录下的任意文件。目前，漏洞细节尚未公开，厂商已发布新版本完成漏洞修复。

一、漏洞情况分析

Tomcat 是 Apache 软件基金会 Jakarta 项目中的一个核心项目，作为目前比较流行的 Web
应用服务器，深受 Java 爱好者的喜爱，并得到了部分软件开发商的认可。Tomcat
服务器是一个免费的开放源代码的 Web 应用服务器，被普遍使用在轻量级 Web
应用服务的构架中。

2020 年 1 月 6
日，国家信息安全漏洞共享平台（CNVD）收录了由北京长亭科技有限公司发现并报送的
Apache Tomcat 文件包含漏洞。Tomcat AJP
协议由于存在实现缺陷导致相关参数可控，攻击者利用该漏洞可通过构造特定参数，读取服务器
webapp
下的任意文件。若服务器端同时存在文件上传功能，攻击者可进一步实现远程代码的执行。

CNVD 对该漏洞的综合评级为“高危”。

二、漏洞影响范围

漏洞影响的产品版本包括：

Tomcat 6

Tomcat 7

Tomcat 8

Tomcat 9

CNVD 平台对 Apache Tomcat AJP
协议在我国境内的分布情况进行统计，结果显示我国境内的 IP 数量约为 55.5
万，通过技术检测发现我国境内共有 43197 台服务器受此漏洞影响，影响比例约为 7.8%。

三、漏洞处置建议

目前，Apache 官方已发布 9.0.31、8.5.51 及 7.0.100 版本对此漏洞进行修复，CNVD
建议用户尽快升级新版本或采取临时缓解措施：

1. 如未使用 Tomcat AJP 协议：

如未使用 Tomcat AJP 协议，可以直接将 Tomcat 升级到 9.0.31、8.5.51 或 7.0.100
版本进行漏洞修复。

如无法立即进行版本更新、或者是更老版本的用户，建议直接关闭
AJPConnector，或将其监听地址改为仅监听本机 localhost。

具体操作：

（1）编辑 <CATALINA_BASE>/conf/server.xml，找到如下行（<CATALINA_BASE> 为
Tomcat 的工作目录）：

<Connector port="8009"protocol=“AJP/1.3” redirectPort=“8443” />

（2）将此行注释掉（也可删掉该行）：

<!–<Connectorport=“8009” protocol="AJP/1.3"redirectPort=“8443” />–>

（3）保存后需重新启动，规则方可生效。

2. 如果使用了 Tomcat AJP 协议：

建议将 Tomcat 立即升级到 9.0.31、8.5.51 或 7.0.100 版本进行修复，同时为 AJP
Connector 配置 secret 来设置 AJP 协议的认证凭证。例如（注意必须将
YOUR_TOMCAT_AJP_SECRET 更改为一个安全性高、无法被轻易猜解的值）：

<Connector port="8009"protocol=“AJP/1.3”
redirectPort="8443"address=“YOUR_TOMCAT_IP_ADDRESS”
secret=“YOUR_TOMCAT_AJP_SECRET”/>

如无法立即进行版本更新、或者是更老版本的用户，建议为 AJPConnector 配置
requiredSecret 来设置 AJP 协议认证凭证。例如（注意必须将 YOUR_TOMCAT_AJP_SECRET
更改为一个安全性高、无法被轻易猜解的值）：

<Connector port="8009"protocol=“AJP/1.3”
redirectPort="8443"address="YOUR_TOMCAT_IP_ADDRESS"require

附：参考链接

https://tomcat.apache.org/connectors-doc/ajp/ajpv13a.html

https://tomcat.apache.org/tomcat-8.0-doc/config/ajp.html

https://stackoverflow.com/questions/21757694/what-is-ajp-protocol-used-for

Wi-Fi 漏洞 Kr00k 曝光：全球数十亿台设备受影响

由赛普拉斯半导体（Cypress
Semiconductor）和博通（Broadcom）制造的Wi-Fi芯片存在严重安全漏洞，让全球数十亿台设备非常容易受到黑客的攻击，能让攻击者解密他周围空中传输的敏感数据。

在今天开幕的RSA安全会议中，这项安全漏洞被公开。而对于Apple用户而言，该问题已在去年10月下旬发布的iOS
13.2和macOS 10.15.1更新中得到了解决。

安全公司ESET在RSA会议上详细介绍了这个漏洞，黑客可以利用称为Kr00k的漏洞来中断和解密WiFi网络流量。该漏洞存在于赛普拉斯和博通的Wi-Fi芯片中，而这是拥有全球市场份额较高的两大品牌，从笔记本电脑到智能手机、从AP到物联网设备中都有广泛使用。

其中亚马逊的Echo和Kindle、苹果的iPhone和iPad、谷歌的Pixel、三星的Galaxy系列、树莓派、小米、华硕、华为等品牌产品中都有使用。保守估计全球有十亿台设备受到该漏洞影响。

黑客利用该漏洞成功入侵之后，能够截取和分析设备发送的无线网络数据包。Ars
Technica表示：

Kr00k利用了无线设备从无线接入点断开关联时出现的漏洞。如果终端用户设备或AP热点遭到攻击，它将把所有未发送的数据帧放入发送缓冲区，然后再无线发送它们。易受攻击的设备不是使用先前协商并在正常连接期间使用的会话密钥来加密此数据，而是使用由全零组成的密钥，此举使解密变得不太可能。

一件好事是，Kr00k错误仅影响使用WPA2-个人或WPA2-Enterprise安全协议和AES-CCMP加密的WiFi连接。
这意味着，如果使用Broadcom或Cypress
WiFi芯片组设备，则可以防止黑客使用最新的WiFi验证协议WPA3进行攻击。

据发布有关该漏洞的详细信息的ESET
Research称，该漏洞已与潜在受影响的各方一起公开给了Broadcom和Cypress。目前，大多数主要制造商的设备补丁已发布。关于该漏洞的信息，可以访问https://www.welivesecurity.com/wp-content/uploads/2020/02/ESET_Kr00k.pdf

二、国内外重大安全事件

美国拉辛市遭勒索软件攻击 多行业网络受影响

1月31日，美国威斯康星州的拉辛市被勒索软件入侵，事件发生后，该市大部分计算机系统瘫痪。

该地政府科技网站发布报告称：本市的计算机网络系统周五被勒索软件入侵，至周日下午网络系统仍处于瘫痪状态。目前，该市的网站、电子邮件以及在线支付系统都收到影响。拉辛警方发布Facebook，称其目前无法支付事件的处理费用，也无法提供事件的侦测报告。

周五，该市的信息管理部门开启了事件响应程序，地方当局以及联邦政府对事件展开调查，调查声称税收以及911公共安全系统未受这次勒索软件入侵影响。

鲍威尔在一份声明中称：MIS worked over the weekend
公司联合网络安全公司制作了一个周密的计划，在不传播勒索软件的情况下恢复网络系统，目前对事件发生原因以及波及范围都在进行调查。

去年12月，Maze勒索软件运营商发布消息，称其利用勒索软件盗取彭萨科拉市的2GB文件。

去年11月，路易斯安娜州政府遭到勒索软件攻击，多州的服务机构包括机动车管理局、卫生部以及运输发展部都受到影响。这一事件使得路易斯安那州关闭了该州的几个网站以及邮件和互联网服务。

8月份，近23个地方政府遭受勒索软件攻击，佛罗里达州的一些城市也受到黑客影响。去年6月，佛罗里达州被勒索软件攻击系统，里维埃拉海滩城同意支付60万美元的赎金来解密其数据。几天后，莱克城也同意支付近50万美元的赎金机密遭勒索软件攻击系统。

Toll 证实遭受勒索软件攻击 其在澳州各地的货物交付速度放缓

澳大利亚物流公司Toll Group已证实，其上周五遭受的
“网络安全事件”是勒索软件引起的。Toll在周二下午的更新声明中写道：“我们可以确定这起网络安全事件是由于有针对性的勒索软件攻击而导致，我们决定立即隔离并禁用某些系统，以限制攻击的蔓延。”

该公司表示：“我们迅速采取行动以减轻潜在影响，我们正在进行详细调查，以期尽快恢复所有相关系统。”

该公司拥有40000多名员工。周一晚上，为预防起见，该公司关闭了许多系统，这影响了其一些面向客户的应用程序。

Toll
表示，目前还没有证据表明任何个人数据已经丢失。“我们在1月31日（周五）就意识到了这一问题，一旦发现，我们迅速采取行动禁用了相关系统，并展开了详细的调查以了解原因，并采取了应对措施。”

Toll
在声明中继续说道：“我们将继续进行彻底的调查，我们将全天候工作，以尽早恢复正常服务。随着我们安全地使系统恢复在线状态，我们将继续提供更新。”该事件导致Toll恢复为手动流程，以清除勒索软件攻击造成的积压未交付货物。

该公司解释称：“由于我们决定在近期的网络安全威胁后禁用某些系统，因此，我们将通过遍及全球的手动和自动流程相结合的方式继续满足许多客户的需求，尽管其中一些流程会出现延迟或中断。”

关于包裹，Toll表示其处理中心将继续运行运送，处理和调度功能，“尽管在某些情况下速度有所放缓”。

客户还可以通过公司的呼叫中心进行预订，而在线预订平台仍处于禁用状态。

Toll表示，其正在与有关当局合作，并将安全事项报告给有关机构进行刑事调查。

1060多万名米高梅酒店客人信息被公布在黑客论坛上

据外媒报道，**本周，超1060万名住在米高梅国际度假(MGM
Resorts)酒店的客人的个人详细信息被公布在了一个黑客论坛上。**除了普通游客之外，遭新曝光的信息还包括了一些名人、科技公司老总、记者、政府官员以及来自全球最大科技公司的职工。

米高梅度假村发言人通过电子邮件确认了这一事件。

泄露了什么？

根据外媒ZDNet的分析，今天被曝光的MGM数据转储包含了10,683,188名曾在MGM酒店住过的客人的个人详细信息。

泄露的文件中包含了个人详细信息，诸如全名、家庭住址、电话号码、电子邮件和生日等。

ZDNet跟一部分酒店客人进行了联系并确认他们曾住在这家酒店以及他们的时间表和泄漏文件中所含数据的准确性。

结果他们得到了来自国际商务旅客、参加技术会议的记者、参加商务会议的CEO以及前往拉斯维加斯分支机构的政府官员的确认。

米高梅度假村称他们去年已经通知客人

米高梅发言人告诉ZDNet，本周被发布到网上的数据源于去年发生的安全事件。

“去年夏天，我们发现未经授权的云服务器访问，该云服务器包含了某些以前为米高梅度假村的某些客人提供的信息。我们有信心，这一事件并不涉及任何财务、支付卡或密码数据问题。”

这家连锁酒店表示，将根据适用的州法律及时通知所有受影响的酒店客人。

此外，米高梅度假酒店还告诉ZDNet，他们聘请了两家网络安全取证公司对发生在去年的服务器数据泄露事件进行内部调查。

这家公司说道：“在米高梅度假酒店，我们非常重视保护访客数据的责任，并且我们已经加强和增强了网络的安全性以防止再次发生这种情况。”

SIM交换和鱼叉式钓鱼的潜在危险

尽管去年米高梅的安全事件备受关注，但本周在一个人气黑客论坛上发布了此数据转储仍旧吸引了很多黑客的注意。

发现此漏洞并通知记者的Under the
Breach公司则强调了该漏洞存在的高度敏感性。该公司告诉ZDNet，这些用户现在面临着接收鱼叉式网络钓鱼电子邮件以及SIM被更换的更高风险。

据Under the Breach披露，他们在泄露文件中看到了Twitter
CEO杰克·多尔西、流行歌手贾斯汀·比伯以及DHS和TSA一些官员的名字。

对此，米高梅度假酒店告诉ZDNet，这些数据都是老数据。ZDNet表示他们确实从今天致电的所有酒店客人中确认了这一说法，这些客人在2017年以后都没有入住过这家酒店。另外，该外媒拨打的某些电话号码也已经打不通，不过仍有许多电话号码能够接通并且有人接了电话。

美国一天然气公司在感染勒索软件后关闭两天

美国国土安全部网络安全和基础设施安全署的公告显示，有一家未公开名字的天然气公司在感染勒索软件后关闭设施两天。感染发生在该公司的天然气压缩设施，攻击始于钓鱼邮件内的恶意链接。

攻击者从其 IT 网络渗透到作业 OT 网络，其 IT 和 OT
网络都被勒索软件感染。感染没有扩散到控制压缩设备的可编程逻辑控制器，因此该公司没有失去对操作设施的控制。工作人员关闭了压缩设施两天，但由于管道传输的依赖性，它的关闭连带影响到了其它地方的压缩设施。

黑客在 PayPal 的 Google Pay 集成中发现漏洞 进行未经授权的付款

据外媒ZDNet报道，**近日黑客在PayPal的Google
Pay集成中发现了一个漏洞，现在正使用它通过PayPal帐户进行未经授权的交易。**自上周五以来，用户报告称在其PayPal历史中突然出现了源自其Google
Pay帐户的神秘交易。

受害者报告说，黑客滥用Google
Pay帐户来使用链接的PayPal帐户购买产品。根据截图和各种证词，大多数非法交易发生在美国商店，尤其是在纽约各地的Target商店。而大多数受害者似乎是德国使用者。

根据公开报告，估计此次损失在数万欧元左右，一些未经授权的交易远超过1000欧元。黑客正在利用哪些漏洞尚不清楚。PayPal告诉ZDNet，他们正在调查此问题。在这篇文章发表之前，谷歌发言人没有返回置评请求。

德国安全研究员Markus
Fenske周一在Twitter上表示，周末报告的非法交易似乎与他和安全研究员Andreas
Mayer在2019年2月向PayPal报告的漏洞相似，但PayPal没有优先考虑修复。

Fenske告诉ZDNet，他发现的漏洞源于以下事实：当用户将PayPal帐户链接到Google
Pay帐户时，PayPal会创建一个虚拟卡，其中包含其自己的卡号，有效期和CVC。当Google
Pay用户选择使用其PayPal帐户中的资金进行非接触式付款时，交易将通过该虚拟卡进行收费。

Fenske
在接受采访时说道：“如果仅将虚拟卡锁定到POS交易，就不会有问题，但是PayPal允许将该虚拟卡用于在线交易。”Fenske现在认为，黑客找到了一种方法来发现这些“虚拟卡”的详细信息，并且正在使用卡的详细信息在美国商店进行未经授权的交易。

研究人员表示，攻击者可以通过三种方式获取虚拟卡的详细信息。首先，通过从用户的手机/屏幕读取卡的详细信息。其次，通过编程方式，使用感染用户设备的恶意软件。第三，通过猜测。Fenske说道：“攻击者可能只是强行将卡号和有效期强行加起来，而有效期大约在一年左右。这使得搜索空间很小。”他补充说：“
CVC无关紧要。任何人都被接受。”

PayPal工作人员正在研究不同的问题-包括Fenske最新描述的攻击情形以及他的2019年2月漏洞报告。

PayPal发言人告诉ZDNet：“客户帐户的安全是公司的重中之重。我们正在审查和评估此信息，并将采取任何必要的行动来进一步保护我们的客户。”

三、专题文摘

节日期间某企业远程办公遭遇 XRed 病毒攻击

原文：https://s.tencent.com/research/report/880.html

腾讯企业安全应急响应中心（下称腾讯安全）接到某互联网公司求助，该公司一位业务主管分享到内部工作群的远程办公工具及电子表格文件被发现感染病毒，导致部门200多名员工电脑被感染，该公司担心系统业务安全受到威胁。

一、概述

受疫情影响，多个省市延长春节假期，一些企事业单位、互联网公司或推迟开工日期，或全员进行远程办公，一部分员工使用个人电脑临时替代工作电脑，增加了企业被感染的风险。

近日，腾讯企业安全应急响应中心（下称腾讯安全）接到某互联网公司求助，该公司一位业务主管分享到内部工作群的远程办公工具及电子表格文件被发现感染病毒，导致部门200多名员工电脑被感染，该公司担心系统业务安全受到威胁，希望腾讯安全协助处理。

接到求助后，腾讯安全工程师和该公司密切配合，快速梳理了相关信息，通过溯源发现是该企业在进行远程办公时，某位业务主管使用个人电脑办公，该电脑被XRed病毒感染，致使电脑EXE文件及电子表格文件均被病毒感染，通过内部工作群分享远程办公工具之后，造成该病毒在同事间扩散。

通过分析，腾讯安全专家发现XRed病毒是具备远程控制、信息窃取能力的感染型病毒，可以感染本地EXE文件及xlsx电子表格文件，病毒可通过文件分享和U盘、移动硬盘等媒介传播。

该企业因发现比较及时，使用腾讯电脑管家或腾讯T-sec终端安全管理系统清除病毒后，已完美恢复被感染的文件，本次病毒攻击未对该企业造成重大影响。

二、病毒感染源排查

1.该公司前期内部排查：公司网管注意到某员工通过内部工作群分享的压缩包中远程办公工具exe文件被感染，而公司统一提供的远程办公工具exe则为正常文件。因此基本确认病毒传播源头。

2.腾讯安全工程师对此进行了远程排查，发现怀疑感染病毒的电脑有如下现象：
（1）在该电脑上解压文件，发现解压出来的exe文件对比原始文件大，已被感染

（2）任意复制一个exe文件放到桌面上，exe文件都会被感染，感染后文件描述被修改成触摸板设备驱动程序，据此可以基本确认该病毒为同行已披露过的“Synaptics”蠕虫病毒。

（3）继续检查发现，这台中毒电脑上破解版压缩软件并未发现“供应链污染”类问题。基本可以确认是这台个人电脑更早前某个时刻感染XRed病毒，在本次应急用作工作电脑远程办公使用，对外分享文件时，被该公司IT人员监测发现异常。

三、阻断病毒传播和修复方案

该公司IT人员立即对感染病毒的机器进行断网处理，避免进一步扩散。

在确认电脑管家云主防可以拦截病原体“Synaptics.exe”之后，立即要求未安装“腾讯T-sec终端安全管理系统”的电脑安装腾讯电脑管家。病原体“Synaptics.exe”有超过2万个变种，最近一次更新是2020年1月，目前仍处于活跃状态，建议企业及时升级杀毒软件，做好防范。

对已感染病毒对电脑，使用腾讯电脑管家（或腾讯T-sec终端安全管理系统）进行全盘查杀修复被感染的文件。XRed病毒感染方式相对比较特殊（详情可参见后续“样本详细分析”部分），腾讯电脑管家可以准确识别和完美修复，将被感染文件还原成原始状态。

四、样本详细分析

根据该病毒在写入的日志信息以及Gmail用户名的关键词，将该感染型病毒名确定为“XRed”。XRed病毒最近四个月较为活跃，有一定增长态势。

该病毒通过感染指定位置的32位的“.exe”后缀文件与“.xlsx”后缀文件，使其恶意代码可以通过文件共享大量传播但不会导致系统明显卡顿。

如下三个指定的感染位置：
%USERPROFILE%\Desktop
%USERPROFILE%\Documents
%USERPROFILE%\Downloads

被感染的文件被执行时，会执行恶意逻辑，包括释放伪装名为“Synaptics.exe”的文件常驻系统，进行远程控制，回传窃取的敏感信息等恶意行为。

主要功能逻辑如下图所示：

被感染的可执行文件体积增量约为753KB，包含一个名为“EXERESX”的资源，该资源是原始正常的程序。被感染的文件资源如下图所示。

EXERESX”资源会在宿主文件运行时被释放到当前目录并设置隐藏属性后执行。添加“
.cache”前缀拼接文件名，如下图所示。

该病毒释放并加载名为“KBHKS”的动态库资源，通过设置相关钩子消息以记录键盘输入信息及其窗口信息等，
Hook代码关键逻辑如下：

病毒使用“XLSM”资源感染xlsx后缀文件，并将“.xlsx”后缀改为“.xlsm”。修改office组件设置以及xlsm后缀目的为了能够自动静默启用宏。

“XLSM”资源包含了恶意VBA脚本，恶意功能如下：

篡改Word和Excel组件的宏设置，启用所有宏。

通过公有云盘下载并执行Synaptics.exe病毒。

键盘记录特殊虚拟键码转换如下图所示

用于回传敏感信息的邮箱账密、配置与病毒本体的更新链接等硬编码配置如下图所示：

具有基础的远程控制功能，包括执行CMD命令、屏幕截图、打印目录、下载文件、删除文件等。功能代码如下图所示：

远控功能

IOCs:
md5
13358cfb6040fd4b2dba262f209464de
C2 & URL
xred.mooo.com
freedns.afraid.org/api/?action=getdyndns&sha=a30fa9*****797bcc613562978
hxxps://docs.google.com/uc?id=0BxsM*****aHFYVkQxeFk&export=download
hxxps://www.dropbox.com/s/zh*****hwylq/Synaptics.rar?dl=1
hxxp://xred.site50.net/syn/*****.rar
病毒作者邮箱地址
xredline1@gmail.com
xredline2@gmail.com
xredline3@gmail.com

参考资料：
https://www.freebuf.com/articles/terminal/222991.html

观点 |切实加强个人信息保护 有效发挥大数据对疫情防控的支撑作用

问：对于曝光的返乡人员的姓名、住址、身份证号码、手机号码等信息被公开传播的情况，是否涉及到违反法律法规？传播这些信息会带来哪些危害？

答：根据《网络安全法》等法律法规，姓名、住址、身份证号码、手机号码等信息能够识别特定个人身份，无疑属于个人信息。结合当前疫情防控背景和民众的恐慌情绪影响，肺炎确诊者、疑似者及密切接触者往往被视为高危人群，其个人信息一旦泄露、传播可能会引发一些骚扰、恐吓行为，甚至出现已被确诊的谣言等等，这可能会使得信息被公开人员及其家人的身心健康受到损害或者引发歧视性待遇等，这些信息理应作为个人敏感信息受到更高程度的保护。

不仅《网络安全法》要求“任何个人和组织不得窃取或者以其他非法方式获取个人信息，不得非法出售或者非法向他人提供个人信息”，《传染病防治法》中也明确规定了不得故意泄露传染病病人、病原携带者、疑似传染病病人、密切接触者涉及个人隐私的有关信息。显而易见，没有明确法律授权的组织和机构，或者不是依法参与政府组织开展的疫情防控工作的人员，不得未经被收集者同意而收集使用确诊者、疑似者及密切接触者的个人信息，更不能在微信群、朋友圈等私自传播上述信息，否则属于侵害公民个人信息的行为，情节严重的可能构成侵害公民个人信息罪。如果是疾病预防控制机构、医疗机构、基层工作人员等泄露上述信息，还会构成加重情节。对于已经泄露的确诊者、疑似者及密切接触者个人信息，各地网信部门、公安机关也应当及时制止或阻断，以减少不利影响，避免对合法信息采集工作造成阻碍。同时，呼吁广大网友不要传播此类信息，积极向有关部门举报恶意传播人员。

问：有关组织或个人在统计和利用返乡、返工人员信息时，应该秉承什么样的原则？具体可以采取哪些措施保护个人信息？

对返乡、返工人员信息的统计和利用，最重要的是做好疫情有效防控和个人信息保护之间的平衡。出于传染病防治等公共卫生保障目的，从武汉等疫情严重地区返乡、返工人员应当接受并配合疾病防控有关部门开展的走访调查等工作，同时疾病防控相关部门内部之间也需要共享此类信息。

目前各地疾病防控机构、基层街道社区等普遍开展走访调查工作，统计相关人员个人信息。这个过程涉及到个人信息的采集、汇总、共享、披露等多个环节，每个环节都应当注意做好个人信息保护工作，以防出现数据泄露、丢失、滥用等情形。

比如，采集过程中，如果各地疾病防控机构、基层街道社区等以纸质填表方式开展的走访调查，则需要严格要求纸质材料不被拍照、复印，进行统一回收，保管妥当。如果以电子方式记录或汇总相关信息，需要责任到人，并保存在特定的终端，并将数据和备份数据加密存储。

在汇总存储环节，尽可能相对集中管理和处理个人信息，采用严密的访问控制、审计、加密等安全措施。

在向疫情防控工作相关方共享、传输相关数据时，应确认对方是有权获取数据的机构或个人，并采取加密传输的措施。

最后，在个人信息使用过程中，需要做到专采专用，严格限制于疾病防控目的，不得挪作他用，并且在疫情防控结束后按照规定予以妥善处置。

问：有关组织对外披露疫情相关的信息时，在保护个人信息方面有什么注意点？

答：对于疫情报告、通报和公布等对外披露工作，仅公开返乡人员流动统计数据、确诊患者仅公开性别、确诊日期、发病症状等非个人信息，即可满足社会一般公众对疫情状况的知情权，而不应公开姓名、年龄、身份证号码、电话号码、家庭住址等。对于确诊或疑似病例所在地区的公众，可公开确诊或疑似病例的大致居住区域，满足此类公众对防控需求的知情权，都不必要公开其具体的个人信息。

如果掌握涉及“密切接触传染源”的重点人群信息，需要与其直接取得联系的，应安排专人负责，保证其联系方式不被扩大传播，相关人员名单应进一步限定知晓范围，予以重点保护。

问：目前有专家建议利用手机信令或互联网大数据开展精准疫情防控，是否可行？能起到什么样的效果？

答：我国几乎全民手机上网，据统计，我国网民规模达8.54亿，其中使用手机上网的比例达99.1%，手机和App已成为绝大多数人的生活必备品，电信运营商和各大互联网公司等事实上掌握了大量公民的个人信息，特别是联系方式、地理位置和行踪轨迹信息，这为利用大数据助力疫情防控提供了可能。

一方面，上述信息经过处理无法识别特定个人且不能复原就不再是个人信息，其汇总后分析可得形成人群聚集热点分布以及人群跨区域流动等信息，对疫情发展预测分析、医疗资源调度等，具有重要意义。

另一方面，对于重点人群，例如传染病病人、病原携带者等，疾病预防控制机构等利用其位置信息能够有效地实施隔离等防护措施。同时通过数据回溯分析，疾病预防控制机构可以尽早发现疑似病患、密切接触者，也即是所谓的“接触追踪”，有助于及时隔离、切断传染源。

可以看到，相较于传统的走访、摸排、登记，将信息技术和大数据分析运用于传染病防控和监测，更加及时、准确，也更加有效。此外，大数据还有一个特点是可以不断学习、更迭、完善，有利于更好的分析掌握疾病传播规律，消除更多的“盲区”和不确定性，化被动为主动。在国外，也早就有利用通话明细记录开展埃博拉病毒防控的成功实践。

问：是否任何单位或者个人都能开展上述大数据分析？对此，我国目前的法律法规是如何规定的？

答：疾病防控大数据分析涉及大量个人信息，甚至是对特定人群的追踪分析，不是任何单位或个人都有授权、有能力开展的。首要关注的应是合法性，即是否具备明确的法律授权。目前，我国有关个人信息保护的法律法规均规定，收集、使用公民个人信息应当事先征得被收集者同意。《传染病防治法》《突发公共卫生事件应急条例》等法律法规中的有关规定，可以视为征得个人同意的例外，其目的是确保疫情防控的有效开展。在《传染病防治法》《突发公共卫生事件应急条例》中，获得明确授权的有疾病预防控制机构、医疗机构，以及直接参与到国务院和省、自治区、直辖市人民政府制定、实施的“突发事件应急预案”中的单位和个人。非上述单位和个人，不应在未征得个人同意的情况下将个人信息用于疫情管控、重点人群追踪等目的。

问：国外有没有在应对突发公共卫生事件时可以利用个人信息的具体规定？有什么经验值得我们参考？

答：就以全球“最严”个人信息保护法著称的欧盟《通用数据保护条例》（GDPR）为例，对于像新型冠状病毒感染肺炎疫情这样的突发公共卫生事件，除个人同意之外，GDPR还有另外三个合法性事由可供使用，分别是个人数据处理“为履行数据控制者承担法定义务所必须”、“为保护数据主体重大利益或其他自然人重大利益所必须”，“为执行公共利益之目的任务或数据控制者行使法定职能所必须”。这三个合法性事由，能有力地支撑其疾病预防控制机构、医疗机构，以及相关组织利用个人信息开展疫情防控工作。

当然，在具备合法性的前提下，GDPR还要求具体的数据处理要遵循以下基本原则包括：合法、公平、透明原则；目的限定原则；数据最少够用原则；准确性原则；存储期限限制原则；完整性和保密性原则；以及权责一致原则。

体现上述思路的一个典型例子是2013年欧盟通过的“关于严重的跨境健康威胁的决定”。该“决定”在欧盟范围内建立预警和响应系统，并明确可针对暴露于健康威胁、存在感染危险或已经感染的人可以采取接触追踪措施。在符合接触追踪的目的时，允许有权机构收集，并在相关成员国之间共享必要的个人信息。而在开展此种数据收集、使用时，“决定”要求数据收集、使用完全遵守欧盟个人信息保护法律框架的规定，也就是符合上述基本原则。

总的来说，我国《网络安全法》和《全国人民代表大会常务委员会关于加强网络信息保护的决定》等法律法规，建立了与国际接轨的个人信息保护法律框架。《传染病防治法》和《突发公共卫生事件应急条例》则在传染病暴发这样的突发公共卫生事件中，进一步建立了个人信息收集使用的法律授权，同时明确了法律责任。因此，在此次疫情防控工作中，所有单位和个人均应在法律框架内开展工作，高度重视个人信息保护工作，实现个人信息利用和安全之间的平衡，取得疫情防控阻击战的胜利。（完）

四、新技术与新漏洞

研究人员通过操纵电脑屏幕亮度来设法盗取数据

政府、银行、企业、工业和军事机构中的电脑通常在严格控制环境中运行，与互联网断开连接，并受到严格的监督。虽然这些安全措施使它们更难被破解，但过去已经探索出几个秘密通道，利用计算机的声音、热量，甚至硬盘驱动器的活动指示器来窃取编码数据。最新的尝试包括偷偷地改变显示器的亮度，然后用监控摄像机进行视频流捕获，最后通过图像处理解码。

研究人员已经能够通过简单地更改电脑屏幕亮度级别，来从电脑中提取数据，这是依赖于人类视觉限制新型光学隐蔽通道的一部分。据《黑客新闻》报道，以色列本·古里安大学网络安全研究中心负责人Mordechai
Guri博士与两名学者一起进行了这项研究。

尽管目标电脑不需要网络连接或物理访问来传递数据，但确实需要先感染恶意软件，该恶意软件将敏感信息编码为“字节流”，然后通过缩小尺寸在屏幕上对其进行调制亮度变化，人眼看不见。然后，被破坏的画面由摄像机记录下来，攻击者可以通过图像处理技术对其进行访问和解码。研究人员指出，这个秘密通道是不可见的，即使用户在电脑上工作，这种攻击也无法察觉。

通过显示-摄像头通信，屏幕被一系列的1和0调制，研究人员能够以0%的错误率重建信息。对于他们的实验，他们使用了安全摄像机、摄像头和智能手机，距离目标PC的距离不同，数据传输最大速度能够达到10bits/秒。作为应对此类攻击的对策，研究人员建议实施严格的政策，他们还建议在屏幕上使用偏振光片，这样可以为用户提供清晰的视野，但远处的摄像头只能录到暗屏。

MIT：区块链投票系统 Voatz 存在漏洞 易受攻击

麻省理工学院工程师团队的最新研究发现，在名为Voatz的区块链投票系统中存在一系列令人震惊的漏洞。对Voatz的Android应用程序进行反向工程后，研究人员得出结论称，通过入侵选民手机，攻击者几乎可以随意观察、压制和更改选票。该论文称，网络攻击还可能揭示给定用户在哪里投票，并可能在此过程中压制投票。

研究人员说，最令人不安的是，破坏了管理Voatz
API的服务器的攻击者甚至可以在投票到来时更改选票，这在理论上应该可以防止分布式分类账的威胁。

研究人员得出结论称：“鉴于本文所讨论的失败的严重性，缺乏透明度，选民隐私的风险以及攻击的琐碎性质，我们建议放弃将这个应用程序用于高风险选举的任何近期计划。”

Voatz的基于区块链的投票项目旨在替代缺席选票，安全研究人员对此表示怀疑，但许多科技界人士表示了浓厚兴趣，其获得了超过900万美元的风险投资。在Voatz系统下，用户将通过应用程序远程投票，并通过手机的面部识别系统验证身份。

Voatz已经在美国的一些次要选举中使用，在2018年西弗吉尼亚选举中收集了150多张选票。

Voatz
在博客文章中对MIT的发现提出了质疑，称该研究方法存在“错误”。该公司的主要抱怨是，研究人员正在测试Voatz客户端软件的过时版本，并且没有尝试连接到Voatz服务器本身。博客文章写道：“这种有缺陷的方法使关于其破坏整个系统能力的任何主张无效。”

Voatz的高管在与记者的电话中辩称，服务器端保护将阻止受感染的设备通过身份验证进入更广泛的系统。Voatz首席执行官Nimit
Sawhney说道：“他们的所有主张都基于这样的想法，因为他们能够破坏设备，因此能够破坏服务器。而这个假设是完全错误的。”

Voatz还强调了允许选民和选举官员事后核实选票的措施。该公司产品负责人Hilary
Braseth说道：“使用Voatz提交的每张选票都会产生纸质选票，使用Voatz的每位选民一旦提交，都会收到一张选票。”

到目前为止，这些解释并没有使安全专家印象深刻。

约翰·霍普金斯密码学家Matthew
Green在Twitter上指出：“设备只是将票发送到服务器。服务器可能会将它们放在区块链上，但是如果设备或服务器受到威胁，这将无济于事。Voatz需要解释他们如何处理这个问题。”

Voatz还在博文中指出了其正在进行的漏洞赏金计划和定期的代码审查，以证明该应用程序具有强大的安全性-但有些研究人员可能不同意。去年10月，该公司因FBI转介事件而备受抨击，消息人士告诉CNN该事件起源于密歇根大学的选举安全课程。其他人则批评了Voatz的赏金计划对研究人员来说是繁重且敌对的，这可能解释了为什么麻省理工学院的研究人员没有参加其中。

总体而言，这仍然不是第一次提出有关Voatz或区块链投票的安全问题。11月，参议员Ron
Wyden（D-OR）写信给五角大楼，提出对Voatz安全性的担忧，并要求对该应用程序进行全面审核。该请求最终被推迟。Wyden在一份声明中说道：“网络安全专家已经明确表明，互联网投票是不安全的。现在距离共和党人结束选举安全禁令和让国会通过整个选举系统的强制性安全标准已经过去了很长时间。”
Hilary
Braseth说道：“使用Voatz提交的每张选票都会产生纸质选票，使用Voatz的每位选民一旦提交，都会收到一张选票。”

到目前为止，这些解释并没有使安全专家印象深刻。

约翰·霍普金斯密码学家Matthew
Green在Twitter上指出：“设备只是将票发送到服务器。服务器可能会将它们放在区块链上，但是如果设备或服务器受到威胁，这将无济于事。Voatz需要解释他们如何处理这个问题。”

Voatz还在博文中指出了其正在进行的漏洞赏金计划和定期的代码审查，以证明该应用程序具有强大的安全性-但有些研究人员可能不同意。去年10月，该公司因FBI转介事件而备受抨击，消息人士告诉CNN该事件起源于密歇根大学的选举安全课程。其他人则批评了Voatz的赏金计划对研究人员来说是繁重且敌对的，这可能解释了为什么麻省理工学院的研究人员没有参加其中。

总体而言，这仍然不是第一次提出有关Voatz或区块链投票的安全问题。11月，参议员Ron
Wyden（D-OR）写信给五角大楼，提出对Voatz安全性的担忧，并要求对该应用程序进行全面审核。该请求最终被推迟。Wyden在一份声明中说道：“网络安全专家已经明确表明，互联网投票是不安全的。现在距离共和党人结束选举安全禁令和让国会通过整个选举系统的强制性安全标准已经过去了很长时间。”