(“十恶不赦”中的“十”在我们常规使用过程中多是个虚指,在我们此文中就做实指用。为了突出表达对恶意软件的态度,信手拈来,于此释之。)
从国外安全厂商Check Point提供信息了解到,最新全球威胁指数显示远程访问木马(RAT)越来越突出,而对恶意加密恶魔软件的加密继续在排名中占主导地位。
威胁情报研究人员首次发现远程访问木马(RAT)已进入全球威胁指数的前10名。名为“FlawedAmmyy”,此类型的攻击允许攻击者远程控制受害者的机器以获得完全访问权限,可以控制远程机器的摄像头和麦克风,收集抓取屏幕,窃取登录凭据和敏感文件,以及侵犯性地监控受害者的行为。
Coinhive仍然是高居该指标的恶意软件之榜首,全球影响力占被统计设备的18%,而Cryptoloot已经上升到名列第二,影响全球被统计设备的8%的组织。密码窃取管理器仍然是主要威胁,针对用户数据的系列恶意软件表明登录凭据,敏感文件,银行和支付信息等并未失去对网络罪犯的有利可图的吸引力。
2018年10月“十恶不赦”:
*箭头与上个月的排名变化有关。
1. ↔Coinhive - Cryptominer,用于在用户访问网页时执行Monero加密货币的在线挖掘,在用户不知情的情况下通过挖掘门罗币获得收入利润。植入的JavaScript使用用户机器的大量算力来挖掘加密货币,并可能致使系统崩溃。
2. ↑ Cryptoloot - Cryptominer,利用受害者的CPU或GPU功率和现有的资源开采加密的区块链和发布新的加密货币,是Coinhive的有力竞争对手,已从上月的第三名上升到本月的第二名,着实有点恐怖。
3. ↓基于Dorkbot -IRC-是一种基于IRC设计的蠕虫,可以以操作员执行远程代码,以及下载其他恶意软件到被感染的机器。是一个银行木马,其主要动机是窃取敏感信息并可以发起拒绝服务攻击,本月影响程度较上月有所下降,由上月第二名下降为第三名。
4. ↑Roughted -大规模攻击各种网站和有效负载,以提供用于恶意广告传播,如诈骗广告软件,漏洞利用工具包和勒索软件。可用于攻击任何类型的平台和操作系统,并可以绕过广告拦截软件和指纹识别,以确保其进行最有效的相关攻击。本月影响有所上升,较上月上升两个名次。
5. ↓Andromeda - Modularbot是一款模块化僵尸程序,主要用作后门。在受感染的主机上,可以修改以创建不同类型的僵尸网络,运行其他的恶意软件。
6. ↓Jsecoin -可以嵌入网站的JavaScript矿工。使用JSEcoin,可以直接在浏览器中运行矿工,以换取无广告体验,游戏内货币和其他奖励。
7. ↑XMRig -XMRig-是一种开源利用CPU进行挖掘恶意软件,用于挖掘Monero加密货币,并于2017年5月首次被发现。
8. ↓Ramnit- BankingTrojan是一款能够窃取银行凭据,FTP密码,会话cookie和个人数据的银行特洛伊木马。
9. ↔Conficker-允许远程操作和恶意软件下载的蠕虫。受感染的计算机由僵尸网络控制,僵尸网络与其命令和控制服务器联系以接收指令。
10.↑ FlawedAmmyyRAT -远程访问木马(RAT),是自 “Ammyy Admin”的远程管理软件泄漏的源代码开发而成的。该木马已被用于高度针对性的电子邮件攻击以及大规模垃圾邮件活动,并实现了常见的后门功能,允许攻击者管理文件,捕获屏幕,远程控制受害者的机器,建立RDPSessionsService等。
Triada是Android的模块化后门,在统计的移动恶意软件列表中名列第一。它取代了Android银行木马和信息窃取者Lokibot,后者已跌至第二位。Hiddad作为本月第三大的移动恶意软件已经重返榜单。
十月份三大移动恶意软件:
1. Triada - Android的模块化后门,为下载的恶意软件授予超级用户权限,便于其嵌入到系统进程中。Triada也被视为欺骗浏览器中加载的URL的工具。
2. Lokibot - Android银行木马和信息窃取程序,同时可能作为一个勒索软件出现以锁定手机,防止用户以管理员权限删除。
3. Hiddad - Android恶意软件,重新打包伪装成合法应用程序,然后将其发布到第三方商店。主要功能是恶意发布广告,也能够访问操作系统内的关键安全细节,允许攻击者获取敏感的用户数据。
同时安全研究人员还分析了最易受利用的漏洞。CVE-2017-7269再次成为最易成为漏洞列表的首位,占全球被统计数量的48%的组织受到影响。排在第二位的是OpenSSL TLS DTLSHeartbeat信息披露,占全球被统计数量46%的组织受到影响,其次是Web服务器PHPMyAdmin错误配置代码注入影响了42%的组织。
10月份最易利用的三大漏洞:
1. ↔MicrosoftIIS WebDAVScStoragePathFromUrl缓冲区溢出(CVE-2017-7269) - 通过Microsoft Internet Information Services6.0通过网络向Microsoft Windows Server 2003 R2发送精心设计的请求,远程攻击者可以执行任意代码或导致拒绝服务条件在目标服务器上。这主要是由于HTTP请求中对长报头的不正确验证导致的缓冲区溢出漏洞。
2. ↑OpenSSL TLS DTLS心跳信息泄露(CVE-2014-0160; CVE-2014-0346) -由于处理TLS / DTLS心跳包时出错,OpenSSL中存在信息泄露漏洞。攻击者可以利用此漏洞披露已连接客户端或服务器的内存内容。
3. ↑Web服务器PHPMyAdmin错误配置代码注入 -PHPMyAdmin中已报告代码注入漏洞。该漏洞是由于PHPMyAdmin配置错误造成的。远程攻击者可以通过向目标发送特制的HTTP请求来利用此漏洞。