今天是2月26日星期一，今天的早餐内容有：湖南省儿童医院疑似遭受比特币勒索；SamSam勒索软件攻击科罗拉多交通部门；伊朗黑客在最近的攻击中使用新的木马程序；保护隐私，安卓9.0将禁止后台应用调用摄像头和麦克风权限；腾讯推出TRP-AI反病毒引擎，网络安全步入AI+快车道。

【漏洞攻击】

SamSam勒索软件攻击科罗拉多交通部门，关闭了2000台电脑

2月21日星期三，科罗拉多交通部门（DOT）在感染了SamSam勒索软件后关闭了超过2000台电脑。

该机构的IT人员正在与其防病毒提供商McAfee合作，重新接入电脑之前，对受影响的工作站进行补救，并保护其他终端。

交通部官员告诉当地媒体，关键系统并未受到影响，例如管理道路监控摄像头，交通警报，留言板等。在该机构关闭其大部分员工的IT网络后，该机构的Twitter继续播送交通信息。

官员透露了勒索软件的名称 - SamSam。这与1月份感染医院，市议会和ICS公司的勒索软件一样。

黑客从这些攻击中赚取了超过30万美元。其中一名受害者，印第安纳州的一家医院同意支付55,000美元的赎金需求，尽管有备份。医院官员表示，支付赎金比从备份恢复所有计算机数据更容易，更快。

[BleepingComputer]

PSA：黑客用Chaos后门攻击存在漏洞的Linux主机

黑客正在使用SSH暴力攻击来攻击弱密码Linux系统，并且部署Chaos后门。

根据GoSecure专家的说法，后门并不是真正的新玩意，并且是“sebd”Linux rootkit的组件之一，该组件在2013年开始使用，后来在HackForums提供免费下载。

现在看来，有人从sebd rootkit源代码中提取了后门，并将其重命名为“Chaos”，并将其用作Linux服务器攻击的第一阶段有效负载。

在GoSecure发现的攻击中，黑客使用Chaos把主机加入僵尸网络，僵尸网络通过IRC协议控制受攻击的Linux主机。

后门本身实际上并不那么先进，也没有利用任何新的漏洞。后门实际上并不依赖任何攻击，而只是利用了弱密码。

[BleepingComputer]

伊朗黑客在最近的攻击中使用新的木马程序

据Palo Alto Networks报道，在最近的攻击中，伊朗黑客使用了新的木马程序，这个组织被称为OilRig。

作为一个主要针对中东地区组织的高度活跃的黑客组织，OilRig试图在针对中东一家保险机构和金融机构的两起袭击中使用名为OopsIE的木马。黑客使用钓鱼邮件展开了攻击

第一起攻击事件发生在2018年1月8日，并在两分钟内将两封电子邮件发送到同一组织的两个不同电子邮件地址。这两个消息都来自与全球主要金融机构的黎巴嫩域名相关的电子邮件地址，但来自Palo Alto Networks的研究人员认为邮件地址是假的。

1月16日，OilRig公司瞄准了另一家公司。 OopsIE木马直接从命令和控制（C＆C）服务器下载。

[SecurityWeek]

【行业动态】

企业安全意识培训调查：哪种网络钓鱼邮件具有接近 100％ 的点击率？

近期，Wombat也发布了企业年度钓鱼统计报告，从这份报告中我们可以清晰地看到不同地区企业间的差异，不同的企业使用不同的工具对终端用户进行钓鱼培训。

在美国，多数企业使用基于在线的安全意识培训工具和模拟的钓鱼攻击来训练雇员。而在英国，企业普遍选择的是非主动的训练方式（培训视频、介绍等形式）。

其中，46% 的美国企业双周或按月进行安全培训，而在英国企业中这个比例约占21%。

而从培训结果来看，61%的美国企业能够能通过培训得到可量化的培训结果，而英国企业仅占28%。

[helpnetsecurity]

保护隐私，安卓9.0将禁止后台应用调用摄像头和麦克风权限

由于安卓系统权限管理机制不够完善，黑客可以通过获取麦克风、摄像头等权限在不知情的情况下窃取用户隐私信息。而为了改变这一现状，安卓9.0（初步代号定为Pistachio Ice Cream，Android P）将禁止空闲后台应用访问智能手机的相机或麦克风。

这两种变化的被认可并合并到周一Android源代码[ 1，2 ]中，详细见下图

如果UID闲置（在后台时间超过了一定时间），它应该无法使用相机。如果UID变得空闲，我们会生成一个错误并关闭这个UID的摄像头。如果空闲UID中的应用程序尝试使用相机，我们会立即生成错误。由于应用程序应该已经能够处理这些错误，所以将此策略应用于所有应用程序是安全的，以保护用户隐私。

[FreeBuf]

【国内新闻】

湖南省儿童医院疑似遭受比特币勒索，致使系统瘫痪

2月24日，湖南省儿童医院服务器疑似中了某种勒索病毒，所有数据文件被强行加密，导致系统瘫痪，患者一度无法正常就医。知情人士透露，黑客特意留下的联系后门，医院被告知需要在六小时内支付一个比特币作为赎金。

该医院系统故障大概在今天早上7点钟开始，一网友在上午8点多在微博上表示，医院仍然处于瘫痪状态，大批患者无法就医。不过在上午10点半，医院启动了应急预案，增派人力接诊滞留病人，同时加大了就医流程的巡查，确保医疗安全，10时30分左右医院门诊已恢复接诊，急诊危急重症病人通道畅通。

[FreeBuf]

腾讯推出TRP-AI反病毒引擎，网络安全步入AI+快车道

致力于“Make AI everywhere”的腾讯，在AI技术的研发上正逐步迈入快车道。继人工智能医学影像产品“觅影”及软件空间安全测绘系统“阿图因”之后，腾讯近日宣布另一项人工智能安全产品——TRP-AI反病毒引擎正式落地。该引擎基于腾讯先进的AI应用场景研究，结合腾讯安全团队长期对Android平台恶意代码检测，和病毒攻防对抗经验，设计的实时行为监测、抗免杀技术强、深度学习的AI反病毒引擎，可大幅提升病毒查杀效率，被行业认为是下一代反病毒引擎的代表之一。

根据腾讯发布的《腾讯TRP-AI反病毒引擎白皮书》（下简称《白皮书》）显示，TRP- AI反病毒引擎首次引入基于APP行为特征的动态检测，并结合AI深度学习，对新病毒和变种病毒有更强的泛化检测能力，能够及时发现未知病毒，变异病毒，和及时发现病毒恶意代码云控加载，更为智能的保护用户手机安全。

[亿欧]