最近,VirusTotal 发布基于 8000 万个样本分析的勒索软件报告,报告称2020 年和 2021 年上半年活跃的勒索软件家族多达 130 个,其中以色列、韩国、越南、中国、新加坡、印度、哈萨克斯坦、菲律宾、伊朗和英国成为受影响最大的国家8000 万个勒索软件相关样本的综合分析显示。
谷歌的网络安全部门 VirusTotal 将大部分活动归因于 GandCrab 勒索软件即服务 (RaaS) 组 (78.5%),其次是 Babuk (7.61%)、Cerber (3.11%)、Matsnu (2.63%)、 Wannacry (2.41%)、Congur (1.52%)、Locky (1.29%)、Teslacrypt (1.12%)、Rkor (1.11%) 和 Reveon (0.70%)。
关键点如下:
- GandCrab 占 2020 年前两个季度的大部分勒索软件活动,Babuk 勒索软件家族在 2021 年 7 月推动了感染激增。
- 检测到的勒索软件文件中有 95% 是基于 Windows 的可执行文件或动态链接库 (DLL),而 2% 是基于 Android 的。
- 大约 5% 的分析样本与与 Windows 特权提升、SMB 信息泄露和远程执行相关的漏洞利用有关。
- Emotet、Zbot、Dridex、Gozi 和 Danabot 是用于分发勒索软件的主要恶意软件工件。
据CheckPoint的全球威胁指数显示,Trickbot 在 8 月跌至第二位,在9月份重回恶意软件榜首。远程访问木马njRAT首次进入前十,取代Phorpiex。据报道,Trickbot 的一名团伙成员实际上因美国调查而被捕。CheckPoint的研究人员报告说,与 2020 年相比,2021 年全球每周针对组织的攻击增加了40%,但其中大部分(如果不是全部)本可以预防。组织不能拖延采用预防优先的网络安全方法。
Web Server Exposed Git Repository Information Disclosure是最常被利用的漏洞,影响全球组织抽样的44% ,其次是“Command Injection Over HTTP,影响组织抽样43% 。HTTP Headers Remote Code Execution在漏洞列表中排名第三,全球影响力也为 43%。
2021年09月“十恶不赦”
*箭头表示与上个月相比的排名变化。
本月,Trickbot是最流行的恶意软件,影响了全球抽样 4% 的组织,其次是 Formbook和 XMRig,分别影响了全球抽样3% 的组织。
- ↑ Trickbot – Trickbot 是一个模块化僵尸网络和银行木马程序,不断更新新功能、特性和分发载体,使 Trickbot 成为一种灵活且可定制的恶意软件,可以作为多用途活动的一部分进行分发。
- ↓ Formbook – Formbook 是一个信息窃取器,可以从各种 Web 浏览器中获取凭据,收集屏幕截图、监控和记录击键,并且可以根据其 C&C 命令下载和执行文件。
- ↑ XMRig – XMRig 是一种开源 CPU 挖掘软件,用于门罗币加密货币的挖掘过程,于 2017 年 5 月首次出现在野外。
- ↓ Agent Tesla – Agent Tesla 是一种高级 RAT,用作键盘记录器和信息窃取器,能够监视和收集受害者的键盘输入、系统键盘、截屏,并将凭据泄露到安装在受害者机器上的各种软件中(包括 Google Chrome、Mozilla Firefox 和 Microsoft Outlook 电子邮件客户端)。
- ↓ Glupteba – Glupteba 是一个逐渐成熟为僵尸网络的后门。到 2019 年,包括通过公共比特币列表的 C&C 地址更新机制、集成的浏览器窃取器功能和路由器开发器。
- ↓ Remcos – Remcos 是一种 RAT,于 2016 年首次出现在野外。Remcos 通过附加到垃圾邮件电子邮件的恶意 Microsoft Office 文档进行自我分发,旨在绕过 Microsoft Windows UAC 安全性并以高级权限执行恶意软件.
- ↑ Tofsee – Tofsee 是一种后门木马,至少从 2013 年开始运行。Tofsee 是一种多用途工具,可以进行 DDoS 攻击、发送垃圾邮件、挖掘加密货币等。
- ↓ Ramnit – Ramnit 是一种银行木马,可窃取银行凭据、FTP 密码、会话 cookie 和个人数据。
- ↑ Floxif – Floxif 是一个信息窃取器和后门,专为 Windows 操作系统设计。它在 2017 年被用作大规模攻击活动的一部分,攻击者将 Floxif(和 Nyetya)插入到 CCleaner(一种清理实用程序)的免费版本中,从而感染了超过 200 万用户,其中包括谷歌等大型科技公司,微软、思科和英特尔。
- ↑ njRAT – njRAT 是一种远程访问木马,主要针对中东的政府机构和组织。于 2012 年首次出现,具有多种功能:捕获按键、访问受害者的相机、窃取浏览器中存储的凭据、上传和下载文件、执行进程和文件操作以及查看受害者的桌面。njRAT 通过网络钓鱼攻击和偷渡式下载感染受害者,并在命令和控制服务器软件的支持下通过受感染的 USB 密钥或网络驱动器传播。
09月份漏洞Top10
本月Web Server Exposed Git Repository Information Disclosure是最常被利用的漏洞,影响了全球抽样 44% 的组织,其次是Command Injection Over HTTP,影响了全球抽样 43% 的组织。HTTP Headers Remote Code Execution在最常被利用的漏洞列表中排名第三,全球抽样影响力也为 43%。
- 1.Web 服务器暴露的 Git 存储库信息泄露 – Git 存储库中报告了一个信息泄露漏洞,成功利用此漏洞可能会无意中泄露账户信息。
- 2.↑基于 HTTP的命令注入-已报告了基于 HTTP 漏洞的命令注入。远程攻击者可以通过向受害者发送特制的请求来利用此问题,成功的利用将允许攻击者在目标机器上执行任意代码。
- 3.↓ HTTP 标头远程代码执行(CVE-2020-10826、CVE-2020-10827、CVE-2020-10828、CVE-2020-13756)—— HTTP 标头让客户端和服务器通过 HTTP 请求传递附加信息,远程攻击者可能会使用易受攻击的 HTTP 标头在受害机器上运行任意代码。
- 4.↑ Web 服务器恶意 URL 目录遍历(CVE-2010-4598、CVE-2011-2474、CVE-2014-0130、CVE-2014-0780、CVE-2015-0666、CVE-2015-4068、CVE-2545 CVE-2016-4523、CVE-2016-8530、CVE-2017-11512、CVE-2018-3948、CVE-2018-3949、CVE-2019-18952、CVE-2020-5410、CVE-820)那里-820在不同的 Web 服务器上存在目录遍历漏洞。该漏洞是由于 Web 服务器中的输入验证错误导致的,该错误未正确清理目录遍历模式的 URL,成功利用允许未经身份验证的远程攻击者披露或访问易受攻击的服务器上的任意文件。
- 5.↓ MVPower DVR 远程代码执行– MVPower DVR 设备中存在远程代码执行漏洞,远程攻击者可以利用此弱点通过精心设计的请求在受影响的路由器中执行任意代码。
- 6.↓ Dasan GPON Router Authentication Bypass (CVE-2018-10561) – Dasan GPON 路由器中存在身份验证绕过漏洞,成功利用此漏洞将允许远程攻击者获取敏感信息并未经授权访问受影响的系统。
- 7 . ↑ Apache Struts2 Content-Type Remote Code Execution (CVE-2017-5638,CVE-2017-5638,CVE-2019-0230) – 使用 Jakarta 多部分解析器的 Apache Struts2 中存在一个远程代码执行漏洞。攻击者可以通过发送无效的内容类型作为文件上传请求的一部分来利用此漏洞,成功利用可能会导致在受影响的系统上执行任意代码。
- 8 . ↓ OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160,CVE-2014-0346) – OpenSSL 中存在信息泄露漏洞。该漏洞,又名 Heartbleed,是由于处理 TLS/DTLS 心跳包时出现错误造成的,攻击者可以利用此漏洞来泄露连接的客户端或服务器的内存内容。
- 9 .↑ NoneCMS ThinkPHP 远程代码执行(CVE-2018-20062) ——NoneCMS ThinkPHP 框架中存在远程代码执行漏洞,成功利用此漏洞可能允许远程攻击者在受影响的系统上执行任意代码。
- 10.Netgear DGN 未经身份验证的命令执行– Netgear DGN 设备中存在未经身份验证的命令执行漏洞,由于 Netgear DGN 处理身份验证检查的方式造成的,成功的攻击可能导致未经身份验证的命令执行。
9月份移动恶意软件TOP3
本月 xHelper 仍然是最流行的移动恶意软件中的第一名,其次是 AlienBot 和 FluBot。
- xHelper – 自 2019 年 3 月以来在野外发现的恶意应用程序,用于下载其他恶意应用程序并显示广告,能够对用户隐藏自己,甚至可以在卸载时重新安装。
- AlienBot – AlienBot 恶意软件系列是一种用于 Android 设备的恶意软件即服务 (MaaS),允许远程攻击者作为第一步,将恶意代码注入合法的金融应用程序中。攻击者可以访问受害者的账户,并最终完全控制他们的设备。
- FluBot – FluBot 是一种 Android 僵尸网络恶意软件,通过网络钓鱼 SMS 消息分发,通常冒充物流配送品牌。一旦用户单击消息中的链接,FluBot 就会安装并访问手机上的所有敏感信息。