本文转载自微信公众号「祺印说信安」,作者何威风。转载本文请联系齐印说信安微信官方账号。
微软上个月更新了44个漏洞安全补丁,本月发布了66个漏洞,3个被评为紧急,62个被评为重要,一个被评为中等严重性。
三个NETGEAR产品安全漏洞急需修复,分别称为“第七地狱”(CVSS 评分:9.8)、“恶魔之声”(CVSS 评分:9.8)和“龙之恐惧(CVSS 评分:7.8)”, 是三个安全漏洞Google 安全工程师 GynvaelColdwind 报告,NETGEAR相关补丁已于9月13日发布,受影响的用户需要及时进行安全升级和修复。
最近发现的微软MSHTML引擎远程代码执行漏洞(CVE-2021-40444)通过微软Office文档运行。如果攻击者伪造微软Office执行文执行,攻击者将恶意安装和运行ActiveX攻击控件。自8月中旬以来,CVE-2021-40444它已经被许多黑客组织使用。在微软意识到这一点后,它于9月7日发布了安全咨询和风险缓解措施,并于9月14日开始发布漏洞补丁。换句话说,这个漏洞被一些攻击者用作零日漏洞大约一个月。
2021年8月全球最新威胁指数显示,Formbook成为最流行的恶意软件,取代了长达三个月的第一个Trickbot,后者已经跌到了第二位。TrickBot主要用于美国、加拿大、英国、德国、澳大利亚、奥地利、爱尔兰、伦敦、瑞士和苏格兰的银行网站。TrickBot这似乎是2016年9月首次出现,Dyre的继任者。TrickBot是用C 开发编程语言。
Formbook它首次出现在2016年,是一种可以从各种信息中窃取的信息程序Web根据其命令和控制,浏览器可以收集凭证、屏幕截图、监控和记录键(C&C)命令下载和执行文件。
Formbook的代码是用C语言编写,有汇编插入,包含许多技能,使研究人员更难分析。通常通过在线钓鱼电子邮件和附件进行分发,以防止Formbook最好的感染方法是密切关注任何看起来奇怪或来自未知发件人的电子邮件。
Web Server ExposedGit Repository Information Disclosure影响全球45%组织的漏洞是最常用的,其次是“HTTP Headers RemoteCode Execution”,全球43%的组织受到影响。“Dasan GPON Router Authentication By pass”全球影响力达到40%,在利用漏洞榜中排名第三。
2021年08月“十恶不赦”
*与上个月相比,箭头表示排名变化。
本月,Formbook 是影响全球抽样组织的最受欢迎的恶意软件4.5% ,其次是Trickbot和AgentTesla, 4% 和3%分别影响全球抽样组织。
1. ↑Formbook–Formbook它是一种可以从各种方面窃取信息的工具Web收集浏览器中的凭证,收集屏幕截图、监视器和日志,并根据其进行C&C下载和执行订单文件。
2. ↓Trickbot–Trickbot不断更新模块化僵尸网络和银行木马,提供新功能、功能和分销媒体。Trickbot恶意软件为灵活定制,可作为多用途活动分发。
3. ↑AgentTesla–Agent Tesla是一种高级RAT,用作键盘记录程序和信息窃取程序,可以监控和收集受害者的键盘输入、系统键盘、屏幕快照和各种安装在受害者计算机上的软件(包括Google Chrome、Mozilla Firefox和Microsoft Outlook电子邮件客户端)。
4. ↓XMRig–XMRig是用于Monero开源加密货币挖掘过程CPU挖掘软件于2017年5月首次出现在野外。比特币的挖掘成本不太经济,但是Monero加密货币仍有许多前景,或者这就是为什么这种恶意软件继续扩张。利益驱动一切!
5. ?Glupteba–Glupteba是一个后门程序,逐渐成熟发展成为僵尸网络。到2019年,包括通过公共BitCoin列表提供的C&C集成浏览器窃取功能和路由器使用程序的地址更新机制。
6.↑Remcos–Remcos是一种RAT,2016年首次出现在野外。Remcos恶意添加到垃圾邮件中MicrosoftOffice文档分发本身旨在绕过Microsoft Windows UAC恶意软件由高级权限执行。
7. ↓Ramnit–Ramnit可以窃取银行凭证的银行木马,FTP 密码,会话 cookie 个人数据。
8.↓Tofsee–Tofsee至少在2013年,它是一种后门木马。Tofsee是一种多用途工具,可以进行DDoS攻击、发送垃圾邮件、挖掘加密货币等。
9. ↑Phorpiex–Phorpiex僵尸网络以通过垃圾邮件活动分发其他恶意软件系列和促进大规模勒索活动而闻名。
10.↑Floxif–Floxif专为信息窃取器和后门Windows操作系统设计。攻击者将在2017年被用作大规模攻击活动的一部分Floxif(和Nyetya)插入到CCleaner(一个实用的清洁程序)免费版本感染了包括谷歌、微软、思科和英特尔在内的200多万用户。
08月份漏洞Top10
本月,Web Server Exposed Git Repository Information Disclosure影球45%的组织是最常用的漏洞,其次是HTTP Headers Remote Code Execution,影响全球43%抽样的组织。Dasan GPON Router Authentication Bypass全球抽样影响力达到40%,在利用漏洞榜中排名第三。
1. ?Web暴露的服务器Git存储信息泄露–Git存储库报告了一个信息泄露漏洞。成功使用此漏洞可能会无意中泄露账户信息。
2. ?HTTP执行标头远程代码(CVE-2020-10826、CVE-2020-10827、CVE-2020-10828、CVE-2020-13756)——HTTP标头允许客户端和服务器通过标头通过标头HTTP请求传递额外信息。远程攻击者可能会使用易受攻击HTTP标头在受害机器上运行任何代码。
3. ↑Dasan GPON Router Authentication Bypass(CVE-2018-10561)–DasanGPON路由器中存在一个身份验证绕过漏洞。成功利用此漏洞将允许远程攻击者获取敏感信息并未经授权访问受影响的系统。
4. ↓MVPower DVR执行远程代码–MVPowerDVR设备中存在执行远程代码漏洞。远程攻击者可以利用此弱点通过精心设计的请求在受影响的路由器中执行任意代码。
5. ↑Apache Struts 2 Content-Type Remote Code Execution(CVE-2017-5638,CVE-2017-5638,CVE-2019-0230)–使用Jakarta多部分分析器ApacheStruts2远程代码执行存在漏洞。攻击者可以通过发送无效的内容类型作为文件上传请求的一部分来利用这个漏洞。成功使用任何代码都可能导致在受影响的系统上执行。
6. ↑HTTP的命令注入-已报告基础HTTP负载命令注入漏洞。远程攻击者可以通过向受害者发送特殊请求来利用这个问题。成功使用将允许攻击者在目标机器上执行任何代码。
7. ↓Open SSL TLSD TLS Heartbeat Information Disclosure(CVE-2014-0160,CVE-2014-0346)–OpenSSL存在信息泄露漏洞。这个漏洞,又名Heartbleed,是由于处理TLS/DTLS心跳包是由错误引起的。攻击者可以利用这个漏洞泄露连接到客户端或服务器的内存。
8. ↑None CMS Think PHP执行远程代码(CVE-2018-20062)——None CMS Think PHP框架中存在执行远程代码漏洞。成功利用此漏洞可能允许远程攻击者在受影响的系统上执行任意代码。
9. ↓PHPUnit命令注入(CVE-2017-9841)–PHPUnit命令中有漏洞。成功利用这个漏洞将允许远程攻击者在受影响的系统中执行任何命令。
10. ↑Netgear DGN未经身份验证的命令执行-Netgear DGN未经身份验证的命令执行漏洞存在于设备中。这个漏洞是因为NetgearDGN由于身份验证检查的处理。成功的攻击可能会导致未经身份验证的命令执行。
8恶意软件在月份移动TOP3
恶意软件本月移动TOP3中,本月xHelper在最流行的移动恶意软件中排名第一,其次是AlienBot和FluBot。
1.xHelper–自2019年3月以来,在野外发现的恶意应用程序被用于下载其他恶意应用程序并显示广告。该应用程序可以隐藏用户,甚至在卸载时重新安装。
2.AlienBot–AlienBot恶意软件系列Android设备的恶意软件是服务(MaaS),它允许远程攻击者将恶意代码注入合法的金融应用程序作为第一步。攻击者可以访问受害者的账户,最终完全控制他们的设备。
3.FluBot–FluBot是一种Android僵尸网络恶意软件,通过网络钓鱼SMS消息分发,通常冒充物流配送品牌。一旦用户单击消息中的链接,FluBot在手机上安装并访问所有敏感信息。
参考来源:
CheckPoint官网,微软官网,NETGEAR官方网站方账号文章等