八月安全大事件第一期

文 魏十七/Murasaki/懶惰的小胖宅

0x01比特幣交易網站Bitfinex被黑，約價值數億人民幣比特幣被盜

近日，比特幣交易網站Bitfinex發表聲明稱將會關閉網站數日來進行漏洞維護。

在Bitfinex中，網站用戶可以登記和交易不同的加密貨幣。根據Alexa的網站排名，目前Bitfinex還不算太知名，但人氣一直在上漲。

在前段時間，網站收到不少用戶投訴，用戶稱自己賬戶下的資金被盜。8月2日，Bitfinex的工程師發現一個漏洞，黑客可以通過該漏洞盜取用戶資金。隨後，Bitfinex宣布關閉網站，並且在網站發布通告，維護期間將會凍結用戶資金。

隨後自稱是Bitfinex的工作人員發表聲明稱，確認約有119756個比特幣被黑客盜取，約合6700萬美元（4.4億人民幣），每個用戶賬戶餘額將損失原有的36.067%，這將是比特幣歷史上第二大失竊事件

截至目前，Bitfinex僅發現有比特幣被盜，其他的虛擬貨幣暫未發現有被盜情況。

0x02暴雪再遭DDoS攻擊，英雄聯盟也中槍

8月3日，暴雪在歐洲和美國的伺服器以及英雄聯盟在北美的伺服器遭受攻擊，出現宕機，隨後，自稱PoodleCorp的黑客組織在推特上宣布對此事負責，稱其對暴雪和英雄聯盟的部分地區伺服器發動了DDoS攻擊。

隨後暴雪公司方面確認伺服器遭受到攻擊。

隨後PoodleCorp宣稱他們將轉移攻擊目標。PoodleCorp自稱他們成功攻陷過多家知名公司伺服器，包括英雄聯盟、戰網、PokemenGO、PornHub等等

僅在上半年，暴雪就至少遭遇過三次大規模的DDoS攻擊，其中最大規模的攻擊來自著名黑客組織蜥蜴。

0x03 新型攻擊技術可從HTTPS網站中竊取用戶信息

近日，安全研究專家向外界展示了如何利用http://nytimes.com網站上的廣告來攻擊其他HTTPS協議網站。

首先科普一下，HTTPS（全稱：Hyper Text Transfer Protocol over Secure Socket Layer），是以安全為目標的HTTP通道，它與http協議最大的不同就是多了ssl層加密，可以理解為安全版http。現在它被廣泛用於安全敏感的通訊。安全性一直作為HTTPS的亮點之一。

但是現在，HEIST技術的發現，允許攻擊者在無法監控終端用戶網路通信數據的情況下，也能夠竊取到目標用戶經過加密處理的個人信息，此舉完全不要藉助中間人攻擊，將一個看似無害的JavaScript文件隱藏在一個網頁廣告或者網站頁面中，便可實施攻擊，也就是說，相比以前的CRIME攻擊和BREACH攻擊，此技術突破了更多限制，只需要誘使目標用戶去訪問一個惡意網站即可。

Van Goethem是參與研發這項技術的安全專家，他在接受採訪時表示：「HEIST技術的存在，將會使得很多其他的攻擊技術更加容易進行。在這之前，攻擊者為了進行某些特定類型的攻擊（例如CRIME攻擊和BREACH攻擊），可能還需要藉助中間人攻擊等方法。但是現在，他們只需要誘使目標用戶去訪問一個惡意網站，就可以成功實現攻擊。」

那麼如何抵抗這種攻擊呢，Van Goethem表示：「我現在只知道一種方法能夠緩解這種攻擊所帶來的影響，即禁用第三方cookie。這樣一來，HTTPS網站所發送的響應信息就與目標用戶無關了。」目前，大多數網頁瀏覽器都會默認開啟第三方cookie功能。而且有的在線服務還必須要求用戶開啟第三方cookie，否則服務將無法正常運行。

也就是說目前沒有很好的方法可以對付HEIST，一些網站部署的基礎防禦措施也並沒有很大幫助，在未來如果發生大規模的HEIST攻擊，並沒有很好的解決辦法，推測也許會出現不少與此相關的安全事件。

關於此攻擊手段的技術分析可參考（http://bobao.360.cn/news/detail/3408.html）

0x04高通曝高危漏洞，全球9億安卓用戶或受影響

今日，安全研究專家在高通晶元內發現了一系列嚴重的Android安全漏洞，受這些漏洞影響的Android設備將會超過九億台。更可怕的是，大部分受漏洞影響的Android設備可能永遠都不會被修復。

Check Point安全公司的研究人員在拉斯維加斯的DEF CON 24安全會議上對此4種新漏洞進行了披露。這一組漏洞代號為「Quadrooter」。這些漏洞存在於配備了高通晶元的Android設備中，受影響的Android系統版本為Android 6.0及其以下版本。攻擊者可以利用這些漏洞來獲取到配備了高通晶元的設備的完整訪問許可權。

這四個漏洞分別為：

1. CVE-2016-2503：該漏洞被發現存在於高通晶元的GPU驅動程序中，該漏洞已修復。

2. CVE-2016-2504：該漏洞被發現存在於高通晶元的GPU驅動程序中，該漏洞已修復。

3. CVE-2016-2059：該漏洞被發現存在於高通晶元的內核模塊中，該漏洞已修復。

4. CVE-2016-5340：該漏洞被發現存在於高通晶元的GPU驅動程序中，該漏洞已修復。

攻擊者只需要開發一個簡單的惡意軟體，一旦惡意軟體成功安裝進目標設備，攻擊者就能夠直接獲取到感染設備的root訪問許可權，這就意味著攻擊者在不需要與用戶進行任何交互的情況下完全控制設備。

受影響的設備眾多，其中熱門的有：

－Samsung Galaxy S7、Samsung S7 Edge

－Sony Xperia Z Ultra

－OnePlus One、OnePlus 2、OnePlus 3

－Google Nexus 5X、Nexus 6、Nexus 6P

－Blackphone 1、Blackphone 2

－HTC One、HTC M9、HTC 10

－LG G4、LG G5、LG V10

－New Moto X（Motorola）

－BlackBerry Priv

但絕對不僅限於此，因為數量過於龐大，不一一列舉。

Android安全狀況一直令人堪憂，往往一個漏洞可以通過簡單的攻擊手段影響大量的設備，但其中很大一部分卻很有可能永遠不會被修復。所幸這一組漏洞是由安全研究員（白帽子）發現並且已經有了修復方案，不然大面積惡意利用則後果不敢想像。

近期高通公司的處理器晶元頻曝漏洞，即使是移動端CPU,GPU的主流品牌，在安全技術上也有許多有待加強的地方，對國內的一眾廠商來說，更是如此。

*關於QuadRooter漏洞的安全報告（https://www.checkpoint.com/resources/quadrooter-vulnerability-enterprise/）

*谷歌Project Zero項目團隊的技術文章http://googleprojectzero.blogspot.jp/2015/01/exploiting-nvmap-to-escape-chrome.html

*補丁修復

https://android.googlesource.com/kernel/msm/+/973f4134d9deb396415846f902848f0a32cb4cfa

0x05美國國家安全局被黑，其黑客工具遭到泄露

8月15日，一個（也許是一個團體）不知名的黑客在網上發表聲明聲稱他們成功黑進了「方程組」團隊（ "Equation Group" ）——一個據稱與情報組織NSA有著相當緊密聯繫的團隊 ——並且拖了一堆黑客軟體（惡意軟體，個人漏洞褲，和一些黑客工具） 。這確實是難以置信的，但據一些曾經檢測過泄露數據的網路安全專家所說，這些黑客工具居然全都是合法的。

黑客開出了條件——要求價值5億6千8百萬美刀的比特幣來贖回這些泄露的工具和數據

不僅如此，這群稱自己為「影子代言人」的黑客，要求1百萬的比特幣（越等價於5億6千8百萬美刀）才能在拍賣會上放出「最好的」黑客工具和更多的數據。

一直被認為隸屬於NSA（美國國家安全局）的「方程組」團隊，安全廠商卡巴斯基是這樣描述的——「在過去的20年一直是一個掌握超越任何已知複雜技術的威脅角色」

「方程組」團隊作為美帝政府贊助的一個黑客組織，他們還被認為與曾經臭名昭著的Regin和Stuxnet蠕蟲攻擊有關，然而這種猜測永遠不會被證實。

2天前（8月13日），「影子代言人」放出了一些自稱是來自「方程組」團隊在GitHub上已刪除的文件和Tumblr的文件。並且展示了一部分文件內容——《中國和美國的防火牆漏洞泄露》

這份文件包含了安裝腳本,配置控制伺服器，和涉嫌針對美國防火牆和路由器製造商（思科Juniper, Fortinet）的APT攻擊。

根據泄露的文件，中國公司「天融信（topsec）」也是一個「方程組」團隊的目標。

泄漏文件中提到一些曾經被愛德華斯諾登泄漏過的黑客工具，例如 "BANANAGLEE" 和 "EPICBANANA。"

「我們追尋著「方程組」的腳步，」「影子代言人」如是說，「我們查到了他們的來源，然後成功地黑了他們，並且我們找到了他們很多的黑客網路攻擊工具，你看看這張圖片，我們會免費放出一些他們的文件，這難道不是最好的證據嗎？」

雖然文件的真實性還未經測試，但是很多安全專家都表示——

「我還沒測試過這個漏洞，但是他們肯定看起來像是真實存在的漏洞利用」阿聯酋網路安全公司Comae Technologies的創始人 Matt Suiche對Daily Dot表示。

然而也有一些人認為這次的泄露可能只是一場單純的惡作劇罷了， 比特幣拍賣只是一場用於分散媒體注意力的把戲罷了。

「如果這是一場惡作劇，那麼肇事者一定花了很多心思在這上面。」安全專家Grugq對總部這樣表示。因為這些被泄露的文件看起來都十分的合理。

目前為止已確認放出的fortify和cisco的利用代碼均可工作。

有視頻通過使用其公布的snmp漏洞利用工具,在無密碼情況下以特權模式直接控制一台cisco asa 設備

（視頻地址http://v.youku.com/v_show/id_XMTY4NzgxNTM0MA==.html）

文件下載https://mega.nz/#!zEAU1AQL!oWJ63n-D6lCuCQ4AY0Cv_405hX8kn7MEsa1iLH5UjKU

解壓密碼： theequationgroup

————————————————————————————————————

題外話

身體恢復後大事件繼續更新。

採納知友們的意見，這次文章簡潔了很多，刪去了一些代碼和複雜的內容分析（因為大多數知友不會看，寫了顯得冗長）

有建議歡迎在評論區指出。

另外大事件常年招人。。

此文章不接受任何形式非授權轉載，非授權轉載後果自負

鞠躬。

by 魏十七

推薦閱讀：