恶意软件的起起落落,来来回回, 在夏季短暂休整11 月显示 Emotet 的回归,Lokibot 是一种商品信息窃取器,旨在从各种应用程序中获取凭据,包括:Web 浏览器、电子邮件客户端和 IT 管理工具。作为特洛伊木马,它的目标是通过伪装成合法程序潜入系统,不被发现。可以通过网络钓鱼电子邮件、恶意网站、SMS 和其他消息传递平台进行分发。这种受欢迎程度的上升可以通过以在线查询、订单和付款确认消息为主题的垃圾邮件活动的增加来解释。
2022年11月“十恶不赦”
*箭头表示与上个月相比排名的变化。
AgentTesla仍然是本月最流行的恶意软件,影响全球6%的组织,其次是Emotet和Qbot,每个组织的全球影响均为4%。
↔ AgentTesla – AgentTesla 是一种高级 RAT,用作键盘记录器和信息窃取器。它能够监控和收集受害者的键盘输入、系统键盘、截取屏幕截图并将凭证泄露到安装在受害者机器上的各种软件(包括 Google Chrome、Mozilla Firefox 和 Microsoft Outlook)。
↑ Emotet – Emotet 是一种先进的、自我传播的模块化木马。Emotet 曾被用作银行木马,最近被用作其他恶意软件或恶意活动的分发者。它使用多种方法来保持持久性和规避技术以避免被发现。此外,它还可以通过包含恶意附件或链接的网络钓鱼垃圾邮件进行传播。
↑ Qbot – Qbot AKA Qakbot 是一种银行木马,首次出现于 2008 年,旨在窃取用户的银行凭证和击键。它通常通过垃圾邮件进行分发,并采用多种反虚拟机、反调试和反沙盒技术来阻碍分析和逃避检测。
↓ SnakeKeylogger – Snake 是一种模块化的 .NET 键盘记录器和凭证窃取程序,于 2020 年 11 月下旬首次被发现。其主要功能是记录用户的击键并将收集到的数据传输给威胁参与者。蛇感染对用户隐私和在线安全构成重大威胁,因为它可以窃取各种敏感信息。它也被证明是一个特别规避和持久的键盘记录器。
↔ XMRig – XMRig 是一种用于挖掘 Monero 加密货币的开源 CPU 挖掘软件。威胁行为者经常滥用此开源软件,将其集成到他们的恶意软件中以进行非法挖矿。
↑ Formbook – Formbook 是一种针对 Windows 操作系统的信息窃取程序,于 2016 年首次被发现。它在地下黑客论坛中以恶意软件即服务 (MaaS) 的形式销售,以其强大的规避技术和相对低廉的价格而闻名。Formbook 可以从各种网络浏览器获取凭证、收集屏幕截图、监控和记录击键以及根据其 C&C 的命令下载和执行文件。
↓ IcedID – IcedID 是一种银行木马,于 2017 年 9 月首次出现。它通过垃圾邮件活动传播,并经常使用 Emotet 等其他恶意软件来帮助其扩散。IcedID 使用进程注入和隐写术等规避技术,并通过重定向攻击(安装本地代理将用户重定向到假冒克隆站点)和 Web 注入攻击窃取用户财务数据。
↔ Ramnit – Ramnit 是一种模块化银行木马,于 2010 年首次被发现。Ramnit 窃取网络会话信息,使其运营商能够窃取受害者使用的所有服务的帐户凭据,包括银行、公司和社交网络帐户。该木马使用硬编码域以及由 DGA(域生成算法)生成的域来联系 C&C 服务器并下载其他模块。
↑ Raspberry Robin – Raspberry Robin 是一种蠕虫,于 2021 年 9 月首次被发现,通过受感染的 USB 设备进行传播。该恶意软件使用多个合法的窗口实用程序来与其 C&C 服务器通信并执行恶意负载。
↑ Phorpiex – Phorpiex 是一个僵尸网络(又名 Trik),自 2010 年以来一直活跃,在其高峰期控制了超过一百万台受感染的主机。它以通过垃圾邮件活动分发其他恶意软件系列以及助长大规模垃圾邮件和性勒索活动而闻名。
全球受攻击最多的行业
本月,教育/研究仍然是全球受攻击最严重的行业,其次是政府/军队,然后是医疗保健。
- 教育/研究
- 政府/军队
- 卫生保健
最常被利用的漏洞
本月,“ Web Servers Malicious URL Directory Traversal ”是最常被利用的漏洞,影响 了全球46%的组织,其次是“ Web Server Exposed Git Repository Information Disclosure ”,影响为45%。“ HTTP Headers Remote Code Execution ”仍然是第三大最常使用的漏洞,全球影响为42%。
↑ Web 服务器恶意 URL 目录遍历 (CVE-2010-4598,CVE-2011-2474,CVE-2014-0130,CVE-2014-0780,CVE-2015-0666,CVE-2015-4068,CVE-2015-7254, CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-2020-8260) – 有在不同的网络服务器上存在目录遍历漏洞。该漏洞是由于 Web 服务器中的输入验证错误导致的,该错误未正确清理目录遍历模式的 URI。成功的利用允许未经身份验证的远程攻击者泄露或访问易受攻击的服务器上的任意文件。
↓ Web 服务器暴露的 Git 存储库信息泄露– Git 存储库中报告了一个信息泄露漏洞。成功利用此漏洞可能会导致无意中泄露帐户信息。
↔ HTTP 标头远程代码执行(CVE-2020-10826、CVE-2020-10827、CVE-2020-10828、CVE-2020-13756) ——HTTP 标头让客户端和服务器通过 HTTP 请求传递附加信息。远程攻击者可能会使用易受攻击的 HTTP 标头在受害者的机器上运行任意代码。
↑ 通过 HTTP 的命令注入(CVE-2021-43936、CVE-2022-24086) ——已报告通过 HTTP 的命令注入漏洞。远程攻击者可以通过向受害者发送特制请求来利用此问题。成功的利用将允许攻击者在目标机器上执行任意代码。
↑ Dasan GPON 路由器身份验证绕过 (CVE-2018-10561) – Dasan GPON 路由器中存在身份验证绕过漏洞。成功利用此漏洞将允许远程攻击者获取敏感信息并获得对受影响系统的未授权访问。
↔ MVPower DVR 远程代码执行——MVPower DVR 设备中存在远程代码执行漏洞。远程攻击者可以利用此弱点通过精心设计的请求在受影响的路由器中执行任意代码。
↔ PHP 复活节彩蛋信息泄露 – PHP 页面中报告了一个信息泄露漏洞。该漏洞是由于不正确的 Web 服务器配置造成的。远程攻击者可以通过向受影响的 PHP 页面发送特制 URL 来利用此漏洞。
↔ WordPress portable-phpMyAdmin 插件身份验证绕过 (CVE-2012-5469) – WordPress portable-phpMyAdmin 插件中存在身份验证绕过漏洞。成功利用此漏洞将允许远程攻击者获取敏感信息并获得对受影响系统的未授权访问。
↑ PHPUnit 命令注入 (CVE-2017-9841) – PHPUnit 中存在一个命令注入漏洞。成功利用此漏洞将允许远程攻击者在受影响的系统中执行任意命令。
↓ Apache Log4j 远程代码执行 (CVE-2021-44228 ) – Apache Log4j 中存在远程代码执行漏洞。成功利用此漏洞可能允许远程攻击者在受影响的系统上执行任意代码。
顶级移动恶意软件
本月Anubis仍然是最流行的移动恶意软件,其次是Hydra和AlienBot。
Anubis – Anubis 是一种专为 Android 手机设计的银行木马恶意软件。自从最初被发现以来,它已经获得了额外的功能,包括远程访问木马 (RAT) 功能、键盘记录器和录音功能以及各种勒索软件功能。已在 Google 商店中提供的数百种不同应用程序中检测到它。
Hydra – Hydra 是一种银行木马,旨在通过请求受害者启用危险权限来窃取金融凭证。
AlienBot – AlienBot 是一种适用于 Android 的银行木马,作为恶意软件即服务 (MaaS) 在地下出售。它支持键盘记录、用于凭据盗窃的动态覆盖以及用于绕过 2FA 的 SMS 收集。使用 TeamViewer 模块提供额外的远程控制功能。
