2021年二月份恶意软件之“十恶不赦&rdquo
最近一直在整理有关等级保护相关内容,有关这个系列还需要坚持下去。本月我们已经从微软方面揭晓,得知微软本月第二个周二发布了包括多达89个安全漏洞的补丁,其中Internet Explorer中被积极利用的零日漏洞的修复程序,可能允许攻击者在目标计算机上运行任意代码。在这些漏洞中,有14个被列为严重,在严重性上列为75,有5个Bug为活跃攻击。
网络攻击依然活跃,或许随着应用的复杂化,攻击只会越来越活跃。时时关注网络安全资讯动态,有助于提升我们的网络安全意识,提升我们的网络安全防护水平。
Trickbot之类的恶意软件使用新技术进行恶意活动,2021年2月恶意软件Trickbot木马,从1月份的第三位上升到首位。Trickbot通过恶意垃圾邮件活动进行分发,向用户PC分发带有恶意JavaScript文件的.zip存档,诱使用户下载,打开此文件后,将尝试从远程服务器下载更多恶意负载。
黑客将继续使用现有的威胁和工具,Trickbot则因其多功能性和在先前攻击中的成功记录而广受欢迎。即使消除了主要威胁,许多其他威胁仍在继续对全球网络构成高风险,因此组织必须确保已建立了强大的安全系统,以防止其网络受到破坏并最大程度地降低风险。对所有员工进行安全培训变得至关重要,需要组织内人员具备识别传播Trickbot和其他恶意软件的恶意电子邮件类型所需的技能。
Web服务器暴露的Git存储库信息泄露是最普遍利用的漏洞,影响了全球抽样全球48%的组织,其次是HTTP标头远程执行代码(CVE-2020-13756),其影响了全球抽样46%的组织。世界各地的组织。MVPower DVR远程执行代码在漏洞利用排名中名列第三,影响了全球抽样45%的组织。
2021年02月“十恶不赦”
*箭头表示与上个月相比的排名变化。
本月,Trickbot上升至恶意软件的榜首,对全球抽样组织的影响为3%,紧随其后的是XMRig和Qbot,分别对全球抽样3%的组织产生了影响。继续老生常谈,根据国外安全企业报道的排名,进行一个排序。
1. ↑ Trickbot – 是一个占主导地位的银行木马,不断使用新功能,功能和发行媒介进行更新。这使Trickbot成为灵活且可自定义的恶意软件,可以作为多用途活动的一部分进行分发。
2. ↑XMRig – XMRig是用CPU挖掘加密货币Monero的恶意挖掘软件,于2017年5月首次被出现。
3. ↑Qbot – Qbot是一个银行木马,2008年首次出现,旨在窃取用户的银行凭证和键盘。Qbot通常通过垃圾邮件进行分发,它采用了多种反虚拟机,反调试和反沙盒技术来阻止分析和逃避检测。
4. ↑Formbook – Formbook是一个信息窃取器,可以从各种Web浏览器中收集凭证、收集屏幕截图、监视和记录击键,并可以根据其C&C设置下载和执行文件。
5. ↓ Phorpiex– Phorpiex是一个僵尸网络,以通过垃圾邮件活动分发其他恶意软件家族以及推动大规模的Sextortion(性勒索)活动而闻名。
6. ↑Glupteba – Glupteba是一个后门,它逐渐成熟为一个僵尸网络。到2019年,它包括通过公共BitCoin列表提供的C&C地址更新机制,集成的浏览器窃取功能和路由器利用程序。
7. ↓ Dridex – Dridex是针对Windows平台的木马程序,通过垃圾邮件附件下载传播。Dridex连接远程服务器并发送有关受感染系统的信息,可以下载并执行从远程服务器接收的任意功能模块。
8. ↑Ramnit – Ramnit是一个窃取银行凭证,FTP密码,会话cookie和个人数据的银行木马。
9. ↔RigEK – RigEK针对Flash、Java、Silverlight和InternetExplorer攻击。感染链从重定向到登录页面开始,该页面包含JavaScript,JavaScript检查易受攻击的插件并进行利用。
10. ↑Floxif – Floxif是信息窃取者和后门程序,专为Windows OS设计。攻击者在其中将Floxif(和Nyetya)插入了免费版本的CCleaner(垃圾清理应用程序),从而感染了超过200万用户,其中包括谷歌,微软等大型科技公司,思科和英特尔。
02月份漏洞Top10
本月,Web服务器暴露的Git存储库信息公开是最普遍利用的漏洞,影响了全球抽样48%的组织,其次是HTTP标头远程执行代码(CVE-2020-13756),其影响了全球抽样46%的组织。MVPower DVR远程执行代码在被利用漏洞排名中名列第三,对全球抽样的影响为45%。
1. ↑ Web服务器公开的Git存储库信息泄露– Git存储库中已报告的信息泄露漏洞。成功利用此漏洞,可能导致无意中泄露账户信息。
2. ↔ HTTP头远程执行代码(CVE-2020-13756) - HTTP头让客户机和服务器通过与HTTP请求的附加信息。远程攻击者可能使用易受攻击的HTTP标头在受害计算机上运行任意代码。
3. ↓ MVPowerDVR远程执行代码– MVPower DVR设备中存在一个远程执行代码漏洞。远程攻击者可以利用此漏洞通过精心设计的请求在受影响的路由器中执行任意代码。
4. ↓Dasan GPON路由器身份验证绕过(CVE-2018-10561) –Dasan GPON路由器中存在身份验证绕过漏洞。成功利用此漏洞,远程攻击者可以获得敏感信息并获得对受影响系统的未授权访问。
5. ↓通过HTTP有效负载进行命令注入(CVE-2013-6719,CVE-2013-6720)–已报告通过HTTP有效负载进行命令注入漏洞。远程攻击者可以通过向受害者发送特制请求来利用此漏洞,可以在目标计算机上执行任意代码。
6. ↔SQL注入(不同的技术)–在客户端到应用程序的输入中插入SQL查询的注入,同时利用应用程序软件中的安全漏洞。
7. ↔Draytek Vigor命令注入(CVE-2020-8515)– Draytek Vigor中存在命令注入漏洞。成功利用此漏洞,远程攻击者可以在受影响的系统上执行任意代码。
8.↑PHP DIESCAN信息泄露(CVE-2012-5469)– WordPress Portable -phpMyAdmin插件中存在一个身份验证绕过漏洞。成功利用此漏洞,远程攻击者可以获得敏感信息并获得对受影响系统的未授权访问。
9. ↓ WordPress Portable-phpMyAdmin插件身份验证绕过– PHP页面中已报告的信息泄露漏洞。成功利用该漏洞可能导致服务器泄露敏感信息。
10.↔PHP php-cgi查询字符串参数代码执行(CVE-2012-1823,CVE-2012-2311,CVE-2012-2335,CVE-2012-2336,CVE-2013-4878)–一个远程执行代码漏洞用PHP报告。远程攻击者可以通过发送精心制作的HTTP请求来利用此漏洞。成功的利用将使攻击者可以在目标上执行任意代码。
02月份移动恶意软件Top3
本月份移动恶意软件排名一二三分别,Hiddad、xHelper和FurBall。
1. Hiddad – Hiddad是一种Android恶意软件,将合法应用重新打包,然后将其发布到第三方商店。主要功能是展示广告,也可以访问操作系统内置的关键安全性详细信息。
2. xHelper-自2019年3月以来在野外常见的恶意应用程序,用于下载其他恶意应用程序和显示广告,该应用程序可以向用户隐藏自身,并在卸载后重新安装。
3. FurBall – FurBall是一个Android MRAT(移动远程访问木马),由APT-C-50部署,APT-C-50是与伊朗政府建立联系的伊朗APT组织,恶意软件可追溯到2017年在多个活动中使用,至今仍处于活动状态。FurBall的功能包括窃取SMS消息、通话记录、环绕录音、通话录音、媒体文件收集、位置跟踪等。
本文授权转载自:“祺印说信安”公众号,如需转载,请联系原作者。
