时光荏苒,2018年瞬息而逝,在2018年的最后一个月份里,国外安全公司的研究人员发现, SmokeLoader在12月份跻身“十恶不赦”恶意软件名单。其作用主要用于加载其他恶意软件,如TrickbotBanker,AZORult Infostealer和PandaBanker,自2011年以来,研究人员已经关注此程序,在通过两次活动激增后,去年12月首次进入前10名。
尽管2018年所有加密货币的价格普遍下降,显现出了加密货币的泡沫属性,但恶意加密软件仍占前10名中名额的一半之多,占据了前4名。Coinhive 连续13 个月雄踞被统计恶意软件的第一位,全球近12%的组织受其影响。Emotet是一个用作恶意软件分销的高级木马,此次跃升至第五位,而Ramnit则是一种窃取登录凭据和其他敏感数据的银行木马,本月在第8位重回前10名。
2018年12月“十恶不赦”:
*箭头与上个月的排名变化有关。
1. ↔Coinhive- Cryptominer,用于在用户访问网页时执行Monero加密货币的在线挖掘,在用户不知情的情况下通过挖掘门罗币获得收入,植入的JavaScript使用用户机器的大量算力来挖掘加密货币,并可能致使系统崩溃。
2. ↑XMRig - XMRig -是一种开源利用CPU进行挖掘恶意软件,用于挖掘Monero加密货币,并于2017年5月首次被发现。
3. ↑ Jsecoin - 可以嵌入网站的JavaScript矿工。使用JSEcoin,可以直接在浏览器中运行矿工,以换取无广告体验,游戏内货币和其他奖励。
4. ↓ Cryptoloot- Cryptominer,使用受害者的CPU或GPU电源和现有的资源开采加密的区块链和发掘新的机密货币,是Coinhive的有力竞争对手,本月较上月下跌二个名次,获得的第四名地位。。
5. ↑ Emotet - 自我传播和高级模块化的木马。Emotet曾经被用作银行木马,最近被用作其他恶意软件或恶意广告的分销商。它使用多种方法来维护持久性和规避技术以避免检测。此外,它还可以通过包含恶意附件或链接的网络钓鱼垃圾邮件进行传播。
6. ↑Nivdort - 多用途机器人,也称为Bayrob,用于收集密码,修改系统设置和下载其他恶意软件。它通常通过垃圾邮件传播,其中收件人地址以二进制文件编码,从而使每个文件都具有唯一性。
7. ↓Dorkbot- IRC-是一种基于IRC设计的蠕虫,可以以操作员执行远程代码,以及下载其他恶意软件到被感染的机器。是一个银行木马,其主要动机是窃取敏感信息并可以发起拒绝服务攻击,本月影响程度较上月有所下降,由上月第五名下降为第七名。
8. ↑ Ramnit - 是一款能够窃取银行凭据,FTP密码,会话cookie和个人数据的银行特洛伊木马。
9. ↑Smokeloader - Windows的第二阶段下载器,用于下载其他恶意软件或其他插件。Smokeloader使用各种反分析技巧,用于欺骗和自我保护。Smokeloader通常用于加载许多已知的家族,包括Trickbot木马,Azorult infostealer和Panda等。
10. ↑Authedmine –是一款臭名昭着的JavaScript矿工CoinHive变异版本。与CoinHive类似,Authedmine是一个基于Web的加密挖掘器,用于在用户访问网页时执行Monero加密货币的在线挖掘,Authedmine是在运行挖掘脚本之前要求网站用户明确同意的。
Triada是Android的模块化后门,在顶级移动恶意软件列表中排名第一。Geurilla已经攀升至第二位,取代了Hiddad。与此同时,Lotoor已经取代Android银行木马和信息窃取者Lokibot排名第三。
12月份的三大移动恶意软件:
1. Triada - Android的模块化后门,为下载的恶意软件授予超级用户权限,有助于它嵌入到系统进程中。Triada也被视为欺骗浏览器中加载的URL。
2. Guerilla - Android广告点击工具,能够与远程命令和控制(C&C)服务器通信,下载其他恶意插件,并在未经用户同意或不知情的情况下执行激进的广告点击。
3. Lotoor - Hack工具利用Android操作系统上的漏洞获取受感染移动设备的root权限。
CheckPoint的研究人员还分析了最受利用的网络漏洞。保持第一名的是CVE-2017-7269,其全球影响力也略微上升至49%,而11月为47%。排在第二位的是OpenSSL TLS DTLS心跳信息披露,全球影响力为42%,紧随其后的是PHPMyAdmin错误配置代码注入,影响力为41%。
12月份的三大漏洞:
1. ↔MicrosoftIIS WebDAVScStoragePathFromUrl缓冲区溢出(CVE-2017-7269) - 通过MicrosoftInternet Information Services 6.0通过网络向Microsoft WindowsServer 2003 R2发送精心设计的请求,远程攻击者可以执行任意代码或导致拒绝服务条件在目标服务器上。这主要是由于HTTP请求中对长报头的不正确验证导致的缓冲区溢出漏洞。
2. ↔ OpenSSL的TLS DTLS心跳信息泄露(CVE-2014-0160; CVE-2014-0346) -一个信息泄露漏洞存在于OpenSSL的。该漏洞是由于处理TLS / DTLS心跳包时出错。攻击者可以利用此漏洞披露已连接客户端或服务器的内存内容。
3. ↑ Web服务器PHPMyAdmin错误配置代码注入 - PHPMyAdmin中已报告代码注入漏洞。该漏洞是由于PHPMyAdmin配置错误造成的。远程攻击者可以通过向目标发送特制的HTTP请求来利用此漏洞。