根据Check Point的调查研究的全球威胁指数显示,经过多次季节性活动,Emotet僵尸网络在跻身恶意排行榜,而Coinhive 连续第12 个月稳居在第1 位。
安全研究人员在11月发现了一些Emotet僵尸网络的季节性活动。在研究人员看到Emotet僵尸网络通过多个重大节日活动(包括以感恩节为主题的活动)开始迅速传播后,已快速进入威胁指数排名前7 位。
Emotet僵尸网络曾被用作银行木马,然而最近它的使用范围明显已经发生了一些变化,攻击者可以通过它部署其他恶意软件和进行恶意攻击。其设计充分考虑了持久性和可规避性。通过包含感恩节主题链接和附件的电子邮件进行分发,其影响力与上个月相比增加了25%。
2018年11月“十恶不赦”:
*箭头与上个月的排名变化有关。
1.↔Coinhive - Cryptominer,用于在用户访问网页时执行Monero加密货币的在线挖掘,在用户不知情的情况下通过挖掘门罗币获得收入,植入的JavaScript使用用户机器的大量算力来挖掘加密货币,并可能致使系统崩溃。
2.↔Cryptoloot - Cryptominer,使用受害者的CPU或GPU电源和现有的资源开采加密的区块链和发掘新的机密货币,是Coinhive的有力竞争对手,本月把持了上月获得的第二名地位。
3.↑Andromeda - Modularbot是一款模块化僵尸程序,主要用作后门。在受感染的主机上,可以修改以创建不同类型的僵尸网络,运行其他的恶意软件。本月在原来基础上,上升了两个名次。
4.↔Roughted -大规模攻击各种网站和有效负载,以提供用于恶意广告传播,如诈骗广告软件,漏洞利用工具包和勒索软件。可用于攻击任何类型的平台和操作系统,并可以绕过广告拦截软件和指纹识别,以确保其进行最有效的相关攻击。本月影响有所上升,较上月上升两个名次。
5.↓基于Dorkbot -IRC-是一种基于IRC设计的蠕虫,可以以操作员执行远程代码,以及下载其他恶意软件到被感染的机器。是一个银行木马,其主要动机是窃取敏感信息并可以发起拒绝服务攻击,本月影响程度较上月有所下降,由上月第三名下降为第五名。
6.↔Jsecoin -可以嵌入网站的JavaScript矿工。使用JSEcoin,可以直接在浏览器中运行矿工,以换取无广告体验,游戏内货币和其他奖励。
7.↑Emotet -自我传播和高级模块化的木马。Emotet曾经被用作银行木马,最近被用作其他恶意软件或恶意广告的分销商。它使用多种方法来维护持久性和规避技术以避免检测。此外,它还可以通过包含恶意附件或链接的网络钓鱼垃圾邮件进行传播。
8.↑Conficker-允许远程操作和恶意软件下载的蠕虫。受感染的计算机由僵尸网络控制,僵尸网络与其命令和控制服务器联系以接收指令。本月较上月,提升一个名次。
9.↓XMRig - XMRig -是一种开源利用CPU进行挖掘恶意软件,用于挖掘Monero加密货币,并于2017年5月首次被发现。
10.↑Nivdort- 多用途机器人,也称为Bayrob,用于收集密码,修改系统设置和下载其他恶意软件。它通常通过垃圾邮件传播,其中收件人地址以二进制文件编码,从而使每个文件都具有唯一性。
Triada是Android的模块化后门,在顶级移动恶意软件列表中排名第一。Hiddad已经攀升至第二位,取代了Android银行木马和信息窃取者Lokibot,后者已跌至第三位。
11月的“最受欢迎”前三大移动恶意软件:
1. Triada - Android的模块化后门,为下载的恶意软件授予超级用户权限,有助于它嵌入到系统进程中。Triada也被视为欺骗浏览器中加载的URL。
2. Hiddad - Android恶意软件,重新打包合法应用程序,然后将其发布到第三方商店。它的主要功能是显示广告,但它也能够访问操作系统内置的关键安全细节,允许攻击者获取敏感的用户数据。
3. Lokibot - Android银行木马和信息窃取程序,它也可以变成勒索软件,以锁定手机,以防其管理员权限被删除。
11月份最易利用的三大漏洞:
1. ↔MicrosoftIIS WebDAVScStoragePathFromUrl缓冲区溢出(CVE-2017-7269) -通过Microsoft Internet Information Services6.0通过网络向Microsoft Windows Server 2003 R2发送精心设计的请求,远程攻击者可以执行任意代码或导致拒绝服务条件在目标服务器上。这主要是由于HTTP请求中对长报头的不正确验证导致的缓冲区溢出漏洞,依然是最易受影响的一个漏洞。
2. ↑OpenSSL TLS DTLS心跳信息泄露(CVE-2014-0160; CVE-2014-0346) -由于处理TLS / DTLS心跳包时出错,OpenSSL中存在信息泄露漏洞。攻击者可以利用此漏洞披露已连接客户端或服务器的内存内容。
3. ↑OpenSSL tls_get_message_body函数init_msg结构使用后免费(CVE-2016-6309) - 在OpenSSL的tls_get_message_body函数中报告了一个释放后使用的漏洞。未经身份验证的远程攻击者可以通过向易受攻击的服务器发送精心设计的消息来利用此漏洞。攻击者利用该漏洞可以在系统上执行任意代码。