各位 Buffer 早上好，今天是 2018 年 12 月 11日星期二。今天的早餐铺内容有：卡巴斯基曝光DarkVishnya银行内网攻击案件细节；Google 被指责将合规网站和程序误标记为恶意；Google Play里的22款应用发现含有后门；银行木马DanaBot新增散布垃圾邮件功能；工信部：向基础电信运营商发放5G频谱，指导5G系统试验的基站部署。

卡巴斯基曝光DarkVishnya银行内网攻击案件细节

2017~2018 年间，卡巴斯基实验室的专家们受邀研究了一系列的网络盗窃事件。据悉，东欧至少有 8 家银行成为了这种袭击的目标（统称 DarkVishnya），造成了数千万美元的损失。

研究内容是通过一个直连公司本地网络的未知设备。

每次攻击可分为相同的几个阶段：首先，犯罪分子以快递员、求职者等为幌子，潜入组织大楼、并将设备连接到本地网络。在本地网络内，该设备会显示为“未知计算机、外部闪存驱动器、甚至键盘”。然后再通过内置或 USB 连接的 GPRS / 3G / LTE 调制解调器，远程访问被植入的设备。

攻击的第二阶段，攻击者远程连接到设备、并扫描本地网络，以访问共享文件夹、Web服务器、和其它开放式资源。用于获取有关网络的信息，尤其是业务相关的服务器和工作站。与此同时，攻击者试图暴力破解或嗅探这些机器的登录凭证。

为克服防火墙的限制，它们使用本地TCP服务器来植入shellcode，若防火墙阻止其从一个网段跳跃到另一个网段、但允许反向连接，则攻击者会借助其它可被利用的资源，来构建所需的通信隧道。

随后，犯罪分子会实施第三阶段：登录目标系统，使用远程访问软件来保留访问权限，接着在受感染的计算机上启用 msfvenom 创建的恶意服务。因为黑客利用了无文件攻击（Fileless Attacks）和 PowerShell，所以能够绕过白名单技术、或者域策略。即便遇到了无法绕过的白名单，或者 PowerShell 被目标计算机阻止，网络犯罪分子亦可借助 impacket、winecesvc.exe 或 psexec.exe 等可执行文件，发动远程攻击。

最后，卡巴斯基实验室曝光了如下恶意软件：

not-a-virus.RemoteAdmin.Win32.DameWare

MEM:Trojan.Win32.Cometer

MEM:Trojan.Win32.Metasploit

Trojan.Multi.GenAutorunReg

HEUR:Trojan.Multi.Powecod

HEUR:Trojan.Win32.Betabanker.gen

not-a-virus:RemoteAdmin.Win64.WinExe

Trojan.Win32.Powershell

PDM:Trojan.Win32.CmdServ

Trojan.Win32.Agent.smbe

HEUR:Trojan.Multi.Powesta.b

HEUR:Trojan.Multi.Runner.j

not-a-virus.RemoteAdmin.Win32.PsExec

Shellcode 监听端口：

tcp://0.0.0.0:5190

tcp://0.0.0.0:7900

Shellcode 连结点：

tcp://10.**.*.***:4444

tcp://10.**.*.***:4445

tcp://10.**.*.***:31337

Shellcode 管道：

\\.\xport

\\.\s-pipe

[securelist]

Google 被指责将合规网站和程序误标记为恶意

近日，有一些软件开发者指责 Google Safe Browsing 将他们的网站或程序误标记为恶意页面、软件，对其流量和日常运营造成了影响，而这是由于 Google 的错误策略导致的。包括 Greatis、Antibody Software、Scooter Software、IBE Software 在内的知名软件公司，在12月1日时都被发现有部分程序被 Google Safe Browsing 标记。

Google 在标记程序或页面后，会通过 Search Console 通知管理员在其项目或网站上有检测到恶意软件（前提是管理员有将网站添加至其中）。然而，这些者表示，他们在 Google 旗下的 Virustotal 上测试后发现，他们的程序或网站是干净的。

在这些开发者在 Google 论坛表示谴责后，该问题似乎已于12月3日得到解决，他们的网站和程序已经可以在没有警告信息的情况下访问和下载。部分软件可能仍会显示“此类文件可能会损害您的计算机”的提醒，但至少已可以将其下载到本地。目前Google尚未对此事做出解释。[开源中国]

Google Play里的22款应用发现含有后门

Sophos 公司的安全研究人员从Google Play官方应用商店发现了22款包含后门的应用，应用的总下载量超过200万，最流行的一款是手电筒应用 Sparkle Flashlight，其下载量超过一百万。应用含有的后门能悄悄从攻击者控制的服务器上下载文件。

这些应用主要被用于广告欺诈，研究人员将它们命名为 Andr/Clickr-ad，通过欺骗性的广告点击获取收入，它给用户带来的问题是电池续航力的下降和数据流量的增加。后门潜在可用于下载任何恶意程序。Google 已经从商店里移除了这些恶意应用。[solidot]

银行木马DanaBot新增散布垃圾邮件功能

根据网络安全公司ESET的研究，它的运营商最近一直在测试电子邮箱地址收集和垃圾邮件发送功能，能够滥用现有受害者的Webmail帐户来进一步传播恶意软件。除了这些新特征之外，ESET还发现了DanaBot运营商一直在与GootKit背后的犯罪团伙合作的证据。

GootKit是另一种高级木马，一直被认为是某个独立犯罪团伙的私有工具。2018年9月份，DanaBot在欧洲的活动开始激增。根据ESET的研究，注入目标Webmail服务页面的JavaScript可以分为两个主要特征：

1.DanaBot从现有受害者的邮箱中收集电子邮箱地址。这是通过在受害者登录后将恶意脚本注入目标Webmail服务的网页、分析受害者的电子邮件，并将其找到的所有电子邮箱地址发送到C＆C服务器来实现的。

2.如果目标Webmail服务基于Open-Xchange套件（如流行的意大利Webmail服务libero.it），DanaBot还会注入另一个脚本，该脚本能够使用受害者的邮箱隐秘地将垃圾邮件发送给收集到的电子邮箱地址。

恶意电子邮件将作为对现有受害者邮箱中电子邮件的回复发送，使其看起来像是邮箱所有者发送的。此外，通过这种方式发送的恶意电子邮件将具有有效的数字签名。与典型的银行木马相比，DanaBot目前的功能要更加丰富。[secrss]

工信部：向基础电信运营商发放5G频谱，指导5G系统试验的基站部署

近日，工业和信息化部向中国电信、中国移动、中国联通发放了5G系统中低频段试验频率使用许可。其中，中国电信和中国联通获得3500MHz频段试验频率使用许可，中国移动获得2600MHz和4900MHz频段试验频率使用许可。

5G系统试验频率使用许可的发放，有力地保障了各基础电信运营企业开展5G系统试验所必须使用的频率资源，向产业界发出了明确信号，将进一步推动我国5G产业链的成熟与发展。下一步，工业和信息化部将积极指导各基础电信运营企业做好5G系统试验的基站部署，开展好5G系统基站与同频段、邻频段卫星地球站等其他无线电台站的干扰协调工作，确保各类无线电业务兼容共存，促进我国5G产业的健康快速发展。[工信部]