最近,VirusTotal 根据以色列、韩国、越南、中国、新加坡、印度、哈萨克斯坦、菲律宾、伊朗、英国等受影响最大的国家,发布了基于 8000万样本分析的勒索软件报告。
谷歌的网络安全部门 VirusTotal 将大部分活动归因于 GandCrab 勒索软件是服务 (RaaS) 组 (78.5二是 Babuk (7.61%)、Cerber (3.11%)、Matsnu (2.63%)、 Wannacry (2.41%)、Congur (1.52%)、Locky (1.29%)、Teslacrypt (1.12%)、Rkor (1.11%) 和 Reveon (0.70%)。
关键点如下:
- GandCrab 2020年 前两季度大部分勒索软件活动,Babuk 2021年 7月, 勒索软件家族推动感染激增。
- 基于 Windows 可执行文件或动态链接库 (DLL), 2% 以 为基础Android 的。
- 分析样本和 5% Windows SMB 信息泄露和远程执行相关的漏洞利用有关。
- Emotet、Zbot、Dridex、Gozi 和 Danabot 是分发勒索软件的主要恶意软件工件。
据CheckPoint的全球威胁指数显示,Trickbot 8 月份跌至第二位,9月份重返恶意软件榜首。远程访问木马njRAT第一次进入前十,取代Phorpiex。据报道,Trickbot 一名团伙成员实际上因美国调查而被捕。CheckPoint研究人员报告说,与 2020 年相比,2021 年全球组织攻击每周增加40%,但大部分(如果不是全部)本可以预防。组织不能拖延采用预防优先的网络安全方法。
Web Server Exposed Git Repository Information Disclosure是最常被利用的漏洞,影响全球组织抽样的44% ,其次是“Command Injection Over HTTP,43% 影响组织抽样。HTTP Headers Remote Code Execution排名第三,全球影响力也为 43%。
2021年09月“十恶不赦”
*与上个月相比,箭头表示排名变化。
本月,Trickbot它是影响全球4% 抽样组织的最受欢迎的恶意软件,其次是 Formbook和 XMRig,全球3% 抽样组织分别受到影响。
↑ Trickbot – Trickbot 是模块化僵尸网络和银行木马程序,不断更新功能、特性和分销载体Trickbot 成为一种灵活定制的恶意软件,可作为多用途活动的一部分分发。 ↓ Formbook – Formbook 是一种信息窃取器,可以来自各种 Web 浏览器中获取凭据,收集屏幕截图、监控和记录击键,并且可以根据其 C&C 命令下载和执行文件。 ↑ XMRig – XMRig 是一种开源 CPU 挖掘软件,用于门罗币加密货币的挖掘过程,于2017年5月首次出现在野外。 ↓ Agent Tesla – Agent Tesla 是一种高级 RAT,作为键盘记录器和信息窃取器,它可以监控和收集受害者的键盘输入、系统键盘和截图,并将凭证泄露到安装在受害者机器上的各种软件中(包括 Google Chrome、Mozilla Firefox 和 Microsoft Outlook 电子邮件客户端)。 ↓Glupteba – Glupteba 是僵尸网络逐渐成熟的后门。到2019年 ,包括通过公共比特币列表的 C&C 地址更新机制、集成浏览器盗窃功能和路由器开发器。 ↓Remcos – Remcos 是一种 RAT,于 2016年首次出现在野外。Remcos 恶意 通过添加到垃圾邮件电子邮件 Microsoft Office 文档自我分发,旨在绕过 Microsoft Windows UAC 安全,恶意软件执行高级权限. ↑ Tofsee – Tofsee 是一种后门木马,至少从 2013年开始运行。Tofsee 是一种多用途工具,可以进行 DDoS 攻击、发送垃圾邮件、挖掘加密货币等。 ↓ Ramnit – Ramnit 是一种可以窃取银行凭证的银行木马,FTP 密码,会话 cookie 个人数据。 ↑ Floxif – Floxif 是一种信息窃取器和后门Windows 操作系统设计。在 2017 年被用作大规模攻击活动的一部分,攻击者将 Floxif(和 Nyetya)插入到 CCleaner(一个实用的清洁程序)免费版本感染了200多万用户,包括谷歌、微软、思科和英特尔等大型科技公司。 ↑ njRAT – njRAT 是一种主要针对中东政府机构和组织的远程访问木马。它首次出现在2012年 ,具有捕获按钮、访问受害者的相机、窃取存储在浏览器中的凭证、上传和下载文件、执行过程和文件操作以及查看受害者桌面等多种功能。njRAT 在命令和控制服务器软件的支持下,通过网络钓鱼攻击和偷渡下载感染受害者,并通过感染 USB 密钥或网络驱动传输。09月份漏洞Top10
本月Web Server Exposed Git Repository Information Disclosure它是影响全球抽样 4% 组织的最常用漏洞,其次是Command Injection Over HTTP,全球抽样 43% 的组织受到影响。HTTP Headers Remote Code Execution全球抽样影响力也为 43%,在最常用的漏洞列表中排名第三。
1.Web 服务器暴露的 Git 存储信息泄露 – Git 存储库报告了一个信息泄露漏洞,成功使用可能会无意中泄露账户信息。 2.↑基于 HTTP的命令注入-已报告了基于 HTTP 注入漏洞命令。远程攻击者可以通过向受害者发送特殊请求来利用这个问题。成功使用将允许攻击者在目标机器上执行任何代码。 3.↓ HTTP 标头远程代码执行(CVE-2020-10826、CVE-2020-10827、CVE-2020-10828、CVE-2020-13756)—— HTTP 标头让客户端和服务器通过 HTTP 要求传递额外信息,远程攻击者可以使用易受攻击的 HTTP 标头在受害机器上运行任何代码。 4.↑ Web恶意 服务器URL 目录遍历(CVE-2010-4598、CVE-2011-2474、CVE-2014-0130、CVE-2014-0780、CVE-2015-0666、CVE-2015-4068、CVE-2545 CVE-2016-4523、CVE-2016-8530、CVE-2017-11512、CVE-2018-3948、CVE-2018-3949、CVE-2019-18952、CVE-2020-5410、CVE-820)那里-820不同的 Web 服务器上有目录遍历漏洞。这个漏洞是因为 Web 由于服务器输入验证错误,目录遍历模式的 URL,未经身份验证,允许远程攻击者披露或访问易受攻击服务器上的任何文件。 5.↓ MVPower DVR 远程代码执行– MVPower DVR 设备中存在远程代码执行漏洞,远程攻击者可以通过精心设计的请求在受影响的路由器中执行任何代码。 6.↓ Dasan GPON Router Authentication Bypass (CVE-2018-10561) – Dasan GPON 路由器中的身份验证绕过了漏洞,成功使用该漏洞将允许远程攻击者在未经授权访问的情况下获取敏感信息。 7 . ↑ Apache Struts2 Content-Type Remote Code Execution (CVE-2017-5638,CVE-2017-5638,CVE-2019-0230) – 使用 Jakarta 多分析器的 Apache Struts2 中有一个远程代码执行漏洞。攻击者可以通过发送无效的内容类型作为文件上传请求的一部分来利用这个漏洞,并成功地使用任何可能导致影响系统的代码。 8 . ↓ OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160,CVE-2014-0346) – OpenSSL 有信息泄露漏洞。这个漏洞,又称 Heartbleed,因为处理 TLS/DTLS 如果心跳包出现错误,攻击者可以利用这个漏洞泄露连接到客户端或服务器的内存。 9.↑ NoneCMS ThinkPHP 远程代码执行(CVE-2018-20062) ——NoneCMS ThinkPHP 框架中存在远程代码执行漏洞,可能允许远程攻击者在受影响的系统上执行任何代码。 10.Netgear DGN 未经身份验证的命令执行– Netgear DGN 设备中存在未经身份验证的命令执行漏洞,因为 Netgear DGN 由于身份验证检查的处理,成功的攻击可能导致未经身份验证的命令执行。9恶意软件在月份移动TOP3
本月 xHelper 仍然是最受欢迎的移动恶意软件之一,其次是 AlienBot 和 FluBot。
- xHelper – 自2019年以来在野外发现的恶意应用程序已下载其他恶意应用程序并显示广告,可以隐藏用户,甚至在卸载时重新安装。
- AlienBot – AlienBot 恶意软件系列用于 Android 设备的恶意软件是服务 (MaaS),允许远程攻击者作为第一步,在合法的金融应用程序中注入恶意代码。攻击者可以访问受害者的账户,最终完全控制他们的设备。
- FluBot – FluBot 是一种 Android 僵尸网络恶意软件,通过网络钓鱼 SMS 新闻分发,通常冒充物流配送品牌。一旦用户单击消息中的链接,FluBot 将在手机上安装并访问所有敏感信息。