2021年六月份恶意软件之“十恶不赦”排行榜
最近,滴滴被有关部门审查、美国软件商Kaseya 遭REvil 勒索软件供应链攻击、美国CISA 发布 2020 年风险和漏洞评估分析以及工信部、网信办、公安部联合印发《网络产品安全漏洞管理规定》等信息,扑面而来可谓是一个平凡而不平淡的日子里,感受无处不在的网络安全讯息。微软突然又爆发,漏洞数量突破一百,是前两个月之和还多。美国CISA评估报告显示,成功地在 49% 的攻击中使用网络钓鱼链接进行初始访问,在 42% 的 RVA 中使用 Web 协议进行命令和控制,在大约 30% 的攻击中使用传递哈希进行横向移动, 在25% 的事件中使用RDP,在 37.5% 的“攻击”中,有效账户被用于提权。数据主要从本地系统收集(占 32% 的攻击),并使用 C&C 渠道泄露(占 68% 的情况)。在许多情况下成功的其他攻击技术包括网络钓鱼附件、利用面向 Web 的应用程序、凭据转储、账户发现、WMI、Mshta 以及使用档案进行数据泄露。自从Emotet僵尸网络在 1 月份被关闭以来,Trickbot 木马和僵尸网络已经流行起来,其不断更新新功能、特性和分发载体,使其成为一种灵活且可定制的恶意软件,Ryuk和 REvil等知名勒索软件组织首先依赖各种形式的恶意软件进行感染的初始阶段,其中一个关键正是 Trickbot。
2021年06月“十恶不赦”*箭头表示与上个月相比的排名变化。本月,Trickbot是最流行的恶意软件,影响了全球全球抽样组织的 7% ,其次是XMRig和Formbook,分别影响了全球全球抽样组织的 3% 。然而,前三名的位置,排序基本上保持不变。1、↔ Trickbot – Trickbot是模块化的僵尸网络和银行木马,不断更新以提供新功能,功能和分发媒介。Trickbot为灵活且可自定义的恶意软件,可以作为多用途活动分发。2、↔ XMRig – XMRig是用于Monero加密货币挖掘过程的开源CPU挖掘软件,于2017年5月首次在野外出现。前几天,与朋友聊天谈论时,还在说比特币的挖矿成本已经不是太经济了,然而Monero加密货币还有许多前景,或者这也是这类恶意软件不断扩张的原因吧。利益驱动一切!3、↔ Formbook – Formbook是一个信息窃取工具,可以从各种Web浏览器中收集凭证,收集屏幕截图、监视器和日志,并可以根据其C&C订单下载和执行文件。4、↑ Glupteba– Glupteba– Glupteba是一个后门程序,逐渐成熟发展成为僵尸网络。到2019年,包括通过公共BitCoin列表提供的C&C地址更新机制,集成的浏览器窃取功能和路由器利用程序。5、↓ AgentTesla– Agent Tesla是一种高级RAT,用作键盘记录程序和信息窃取程序,能够监视和收集受害者的键盘输入、系统键盘、截取屏幕快照、以及将凭据泄露到受害者计算机上安装的各种软件(包括Google Chrome、Mozilla Firefox和Microsoft Outlook电子邮件客户端)。6、↑ Ramnit – Ramnit是一种银行木马,可窃取银行凭据、FTP 密码、会话 cookie 和个人数据。7、↑ Qbot – Qbot是一银行木马,于2008年首次出现,窃取用户的银行凭证和键盘信息。Qbot通常通过垃圾邮件分发,采用了多种反虚拟机,反调试和反沙盒技术来阻止分析和逃避检测。8、↔ Phorpiex – Phorpiex 是一个僵尸网络,通过垃圾邮件活动分发其他恶意软件系列以及推动大规模性勒索活动。9、↑ xHelper – xHelper 是自 2019 年 3 月以来发现的恶意应用程序,用于下载其他恶意应用程序和显示广告,能够对用户隐藏自己,并且可以在卸载时重新安装。10、↑ NJRat – njRAT 是一种远程访问木马,主要针对中东的政府机构和组织,于 2012 年首次被出现,具有多种传播能力,如通过网络钓鱼攻击和偷渡式下载感染受害者,并在命令和控制服务器软件的支持下通过受感染的 USB储存或网络驱动器传播。06月份漏洞Top10本月,HTTP Headers Remote Code Execution是最常被利用的漏洞,影响了全球抽样 47% 的组织,其次是MVPowerDVR Remote Code Execution,影响了全球抽样 45% 的组织。“DasanGPON Router Authentication Bypass”在被利用漏洞榜中排名第三,全球抽样影响力为44%。1、↑HTTP标头远程代码执行(CVE-2020-10826、CVE-2020-10827、CVE-2020-10828、CVE-2020-13756)——HTTP标头让客户端和服务器通过HTTP请求传递附加信息。黑客可能会使用易受攻击的HTTP标头在受害机器上运行任意代码。2、↑MVPowerDVR远程代码执行–MVPowerDVR设备中存在远程代码执行漏洞。黑客可以利用此弱点通过精心设计的请求在受影响的路由器中执行任意代码。3、↑DasanGPONRouterAuthenticationBypass(CVE-2018-10561)–DasanGPON路由器中存在一个身份验证绕过漏洞。成功利用此漏洞将允许远程攻击者获取敏感信息并未经授权访问受影响的系统。4、↓Web服务器暴露的Git存储库信息泄露–一个信息泄露漏洞。成功利用此漏洞可能会无意中泄露账户信息。5、↔ApacheStruts2内容类型远程代码执行(CVE-2017-5638、CVE-2017-5638、CVE-2019-0230)——使用Jakarta多部分解析器的ApacheStruts2中存在一个远程代码执行漏洞。黑客可以通过发送无效的内容类型作为文件上传请求的一部分来利用此漏洞,会导致在受影响的系统上执行任意代码。6、↑OpenSSLTLSDTLSHeartbeatInformationDisclosure(CVE-2014-0160,CVE-2014-0346)–OpenSSL中存在信息泄露漏洞,又名Heartbleed,是由于处理TLS/DTLS心跳包时出现错误造成的。黑客可以利用此漏洞泄露连接的客户端或服务器的内存内容。7、↓HTTP命令注入-HTTP有效负载命令注入漏洞。远程攻击者可以通过向受害者发送特制的请求来利用此漏洞,允许攻击者在目标机器上执行任意代码。8、↑NoneCMSThinkPHP远程代码执行(CVE-2018-20062)—NoneCMSThinkPHP框架中存在远程代码执行漏洞,允许远程攻击者在受影响的系统上执行任意代码。9、↑MuieblackcatPHPScanner–漏洞扫描产品。远程攻击者可以使用Muieblackcat来检测目标服务器上的漏洞。10、↓SQL注入(不同技术)——在从客户端到应用程序的输入中插入SQL查询注入,同时利用应用程序软件中的安全漏洞。5月份移动恶意软件TOP3本月移动恶意软件TOP3中,xHelper在最流行的移动恶意软件中排名第一,其次是Hiddad和XLoader。1、 xHelper–自2019年3月以来在野外发现的恶意应用程序,用于下载其他恶意应用程序并显示广告,对用户隐藏自己,并且可以在被卸载的情况下重新自我安装。2、 Hiddad–Hiddad是一种Android恶意软件,重新打包合法应用程序,然后将它们发布到第三方商店。主要功能是展示广告,也可以访问操作系统内置的关键安全细节。3、XLoader–XLoader是一款Android间谍软件和银行木马,使用DNS欺骗来分发受感染的Android应用程序,以收集个人和财务信息。2021年一月份恶意软件之“十恶不赦”排行榜2021年二月份恶意软件之“十恶不赦”排行榜2021年三月份恶意软件之“十恶不赦”排行榜2021年四月份恶意软件之“十恶不赦”排行榜2021年五月份恶意软件之“十恶不赦”排行榜