今年1月,国外安全研究人员发现了一项利用Linux服务器发布后门特洛伊木马的新活动,称为SpeakUp。SpeakUp能够提供任何有效负载并在受感染的计算机上执行,并逃避所有安全供应商的防病毒软件的检测。我们也在前几天用“SpeakUp特洛伊木马针对Linux服务器攻击”这篇文章进行了介绍。 SpeakUp目前提供XMRigMiner,到目前为止,它主要是针对东亚和拉丁美洲的服务器进行攻击,同时包括一些AWS托管服务器。
像SpeakUp这样的威胁是对网络信息安全的严峻警告,因为它们可以逃避检测,然后向受感染的机器分发更多可能更危险的恶意软件。由于Linux广泛用于企业服务器,因此SpeakUp有可能会成为全年规模和严重程度同时增长的威胁。同时1月份 Cryptominers仍然很普遍,再次占据前4个位置,Coinhive依然保持其位列榜首。破坏性的多用途恶意软件形式仍然普遍存在,前十名中的恶意软件形式中有一半目前能够将更多恶意软件下载到受感染的计算机并分发各种恶意软件。另外,加密勒索病毒Gandcrab挤进第九名,同时该病毒在我国各地都有出现,还请大家对此做好防范。有关该病毒防范,可以参照我以前的文章“一起简单聊一下新GandCrab勒索病毒防护”以及参考此前两篇关于RDP攻击及GandCrab病毒攻击的文章。
2019年1月“十恶不赦”:
*箭头与上个月的排名变化有关。
1. ↔Coinhive - Cryptominer,用于在用户访问网页时执行Monero加密货币的在线挖掘,在用户不知情的情况下通过挖掘门罗币获得收入,植入的JavaScript使用用户机器的大量算力来挖掘加密货币,并可能致使系统崩溃。
2. ↔ XMRig -XMRig -是一种开源利用CPU进行挖掘恶意软件,用于挖掘Monero加密货币,并于2017年5月首次被发现。
3. ↑Cryptoloot - Cryptominer,使用受害者的CPU或GPU电源和现有的资源开采加密的区块链和发掘新的机密货币,是Coinhive的有力竞争对手,本月较上月上升一个名次,获得的第三名地位。
4. ↓ Jsecoin - 可以嵌入网站的JavaScript矿工。使用JSEcoin,可以直接在浏览器中运行矿工,以换取无广告体验,游戏内货币和其他奖励。较上个月下降一个名次,获得第四名的地位。
5. ↔ Emotet -自我传播和高级模块化的木马。Emotet曾经被用作银行木马,最近被用作其他恶意软件或恶意广告的分销商。它使用多种方法来维护持久性和规避技术以避免检测。此外,它还可以通过包含恶意附件或链接的网络钓鱼垃圾邮件进行传播。
6. ↔Nivdort - 多用途机器人,也称为Bayrob,用于收集密码,修改系统设置和下载其他恶意软件。它通常通过垃圾邮件传播,其中收件人地址以二进制文件编码,从而使每个文件都具有唯一性。
7. ↔Dorkbot -IRC-是一种基于IRC设计的蠕虫,可以以操作员执行远程代码,以及下载其他恶意软件到被感染的机器。是一个银行木马,其主要动机是窃取敏感信息并可以发起拒绝服务攻击,本月影响程度较上月同为第七名。
8. ↑Lokibot - Lokibot是一个主要由网络钓鱼电子邮件分发的窃取信息,用于窃取各种数据,如电子邮件凭证,以及CryptoCoin钱包和FTP服务器的密码等。
9. ↑Gandcrab- GandCrab是通过RIG和GrandSoft Exploit Kits分发的勒索软件,以及垃圾邮件。勒索软件是在一个附属计划中运作的,加入该程序的人支付了GandCrab作者30%-40%的赎金收入。作为回报,联盟会员可以获得功能齐全的网络面板和技术支持。该加密病毒,春节前在我国多地被发现,医疗行业许多单位中招,还请大家重视该病毒的传播趋势。
10. ↓Ramnit -是一款能够窃取银行凭据, FTP密码,会话cookie和个人数据的银行特洛伊木马。
Hiddad是Android的模块化后门,取得特权后为下载的恶意软件提供突破口,已经取代Triada第一的位置,成为顶级移动恶意软件列表中的第一名。Lotoor紧随其后,位居第二位,而Triada排名第三位。
1月份三大移动恶意软件:
- Hiddad - Android的模块化后门,为下载的恶意软件授予超级用户权限,有助于它嵌入到系统进程中。
- Lotoor - Hack工具利用Android操作系统上的漏洞获取受感染移动设备的root权限。
- Triada - 适用于Android的Modular Backdoor,它为下载的恶意软件授予超级用户权限,有助于它嵌入到系统进程中。Triada也被视为欺骗浏览器中加载的URL。
另据,国外安全研究人员分析了最受利用的网络漏洞。CVE-2017-7269保持在第一位,全球影响力为47%。紧随其后的是Web Server Exposed Git Repository Information Disclosure排在第二位,OpenSSL TLS DTLS心跳信息披露排在第三位,分别影响了全球46%和45%的组织。
1月份三大漏洞:
- ↔MicrosoftIIS WebDAV ScStoragePathFromUrl缓冲区溢出(CVE-2017-7269) - 通过Microsoft Internet Information Services 6.0将精心设计的请求通过网络发送到Microsoft Windows Server 2003 R2,远程攻击者可以执行任意代码或导致拒绝服务条件在目标服务器上。这主要是由于HTTP请求中对长报头的不正确验证导致的缓冲区溢出漏洞。
- ↑Web服务器暴露的Git存储库信息泄露 - Git存储库中报告了一个信息泄露漏洞。成功利用此漏洞可能会无意中泄露帐户信息。
- ↓OpenSSL TLS DTLS心跳信息泄露(CVE-2014-0160; CVE-2014-0346) - OpenSSL中存在信息泄露漏洞。该漏洞是由于处理TLS / DTLS心跳包时出错。攻击者可以利用此漏洞披露已连接客户端或服务器的内存内容。
最后温馨提示广大朋友们,请核查自己的IT资产,是否在影响之列,充分采取必要的防护措施,保障信息系统的安全稳定运行,做到将风险降到力所能及的最小,为信息系统安全持续性运行创造良好的安全氛围与安全文化,使信息系统运行能够正常化、持续化、长久化。