本月漏洞补丁日,许多国际制造商和微软一样,周二发布了其产品安全补丁,如Adobe、Android、Cisco、Citrix、Intel、Linux distributions Oracle Linux,Red Hat,SUSE、Samba、SAP、Schneider Electric、Siemens等等。本月微软为其产品的55个漏洞发布补丁,涉及 Microsoft Windows 和 Windows 组件、Azure、Azure RTOS、Azure Sphere、Microsoft Dynamics、Microsoft Edge(基于 Chromium)、Exchange Server、Microsoft Office 和 Office 组件、Windows Hyper-V包括对 Excel 和 Exchange Server 修复两个积极使用的零日漏洞。可能被滥用来控制受影响的系统。从历史上看,微软今年11月的 5 补丁相对较低。
CheckPoint最新的 2021 年 10 月全球威胁指数显示,模块化僵尸网络和银行木马 Trickbot 仍然是影响全球抽样 4% 组织的最受欢迎的恶意软件列表之一Apache HTTP 服务器目录排名前十。它透露,教育/研究是本月世界上攻击最多的行业。这与我国一些统计数据显示的结果是一致的。原因是一个是黑客关注的,另一个是自身保护措施差(能力、管理和技术共同决定)。
Trickbot 已经是五次了CheckPoint恶意软件排名第一,可以窃取财务细节、账户凭证和个人身份信息,并在网络上横向传播和投放勒索软件。Emotet今年1月被铲除,Trickbot上位跻身恶意软件列表之首。其还在不断更新新功能、特性和分发载体,使其成为一种灵活且可定制的恶意软件,实现其多用途活动分发。
新漏洞Apache HTTP Server Directory Traversal10月份进入漏洞排名前十,排名第十。第一次被发现时,Apache 开发人员在 Apache HTTP Server 2.4.50 中发布了针对 CVE-2021-41773 修复程序,但使用Apache单位修复补丁不够积极,修复不够完善,Apache HTTP Server 目录中仍有漏洞。成功使用这个漏洞可能会允许攻击者访问受影响系统上的任何文件。
据CheckPoint在全球范围内,每周都有一个组织受到勒索软件的影响。许多攻击都是从一封简单的电子邮件开始的,因此如何识别教育和培训用户的潜在威胁是组织可以部署的最重要的防御措施之一。记住,教育和培训总是新的,需要持续进行,在等级保护中也有要求。毕竟,我们的等级保护是吸收国际先进经验和成果的再创新。我们怎么能不要求教育和培训呢。
CheckPoint教育/研究是世界上攻击最多的行业,其次是通信和政府/军事。Web恶意 服务器URL 目录遍历是利用最多的漏洞,影响了全球抽样 60% 组织,其次是Web 服务器暴露的 Git 存储信息泄露影响了全球55% 抽样组织。HTTP Headers Remote Code Execution排名第三,全球抽样影响54%。
2021年10月“十恶不赦”
*与上个月相比,箭头表示排名变化。
本月,Trickbot它是影响全球4% 抽样组织的最受欢迎的恶意软件,其次是XMRig和Remcos,全球抽样组织的3%和2%分别受到影响。
↑ Trickbot – Trickbot 是模块化僵尸网络和银行木马程序,不断更新功能、特性和分销载体Trickbot 成为一种灵活定制的恶意软件,可作为多用途活动的一部分分发。
↑ XMRig – XMRig 是一种开源 CPU 门罗币加密货币 月,门罗币加密货币挖掘软件首次出现在野外。
↑ Remcos – Remcos 是一种 RAT,于 2016年首次出现在野外。Remcos 恶意 通过添加到垃圾邮件电子邮件 Microsoft Office 文档分发本身旨在绕过 Microsoft Windows UAC 恶意软件以高级权限安全执行。
↑ Glupteba – Glupteba 是僵尸网络逐渐成熟的后门。截至2019年 , 具有公共比特币列表的功能C&C 地址更新机制、集成浏览器盗窃功能和路由器开发器。
↑ Tofsee – Tofsee 是一种后门木马,至少从 2013 年开始运行。Tofsee 是一种多用途工具,可用于 DDoS 攻击、发送垃圾邮件、加密货币挖掘等。
↑ Ramnit -Ramnit 是一种可以窃取银行凭证的银行木马,FTP 密码,会话 cookie 个人数据。
↓ Agent Tesla – Agent Tesla 是一种先进的 RAT,作为键盘记录器和信息窃取器,它可以监控和收集受害者的键盘输入、系统键盘和截图,并将凭证泄露到安装在受害者机器上的各种软件中(包括 Google Chrome、Mozilla Firefox 和 Microsoft Outlook 电子邮件客户端)。
↑ Ursnif – Ursnif 是针对 的一种Windows 平台上的木马。工具包通常通过漏洞传播,包括 Angler 和 Rig。Ursnif 窃取和 Verifone 销售点 (POS) 支付软件相关信息。联系远程服务器上传的信息并接收指令。此外,感染系统上的文件将被下载和执行。
↓ Formbook – Formbook 是一种信息窃取器,可以从各种网络浏览器中获取凭证,收集屏幕截图、监控和记录键,并根据 C&C 命令下载和执行文件。
↑ Nanocore – NanoCore 是2013年第一次远程访问木马,目标是 Windows 操作系统用户。 所有版本RAT 具有屏幕捕获、加密货币挖掘、桌面远程控制、网络摄像头会话盗窃等基本插件和功能。
10月份漏洞Top10
本月,Web恶意 服务器URL 目录遍历是最常用的漏洞,影响样组织的最常用漏洞,其次是Web 服务器暴露的 Git 存储信息泄露影响了全球55% 抽样组织。HTTP Headers Remote Code Execution排名第三,全球抽样影响54%。
↑ Web恶意 服务器URL 目录遍历(CVE-2010-4598、CVE-2011-2474、CVE-2014-0130、CVE-2014-0780、CVE-2015-0666、CVE-2015-4068、CVE-254、CVE-254、 CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-2020-8260-由于 Web 由于服务器中的输入验证错误,目录遍历模式的 URL,未经身份验证的远程攻击者可以在易受攻击的服务器上披露或访问任何文件。
↓ Web Server Exposed Git Repository Information Disclosure - Git Repository 中报告的信息泄露漏洞可能会无意中泄露账户信息。
↔ HTTP 标头远程代码执行(CVE-2020-10826、CVE-2020-10827、CVE-2020-10828、CVE-2020-13756) ——HTTP 标头让客户端和服务器通过 HTTP 请求传递额外信息,可使用易受攻击的 HTTP 标头在受害机器上运行任何代码。
↑ Dasan GPON Router Authentication Bypass (CVE-2018-10561) – Dasan GPON 路由器中有一个未经授权访问就允许远程攻击者获取敏感信息的系统。
↔ MVPower DVR 远程代码执行– MVPower DVR 设备中存在远程代码执行漏洞,远程攻击者可以通过精心设计的请求在受影响的路由器中执行任何代码。
↑ Apache Struts2 Content-Type Remote Code Execution (CVE-2017-5638,CVE-2017-5638,CVE-2019-0230)-使用 Jakarta 多分析器的 Apache Struts2 存在远程代码执行漏洞。攻击者可以将无效内容类型作为文件上传请求的一部分,这可能导致任何代码在受影响的系统上执行。
↓ HTTP 命令注入 (CVE-2013-6719,CVE-2013-6720) –报告了 HTTP 命令注入漏洞。远程攻击者可以通过向受害者发送特殊请求来利用这个问题,允许攻击者在目标机器上执行任何代码。
↑ D-LINK 多产品远程代码执行 (CVE-2015-2051) –多个 D-Link 产品报告了远程代码执行漏洞,可能导致在易受攻击的设备上执行任何代码。
↓ OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160,CVE-2014-0346) – OpenSSL 有信息泄露漏洞。这个漏洞,又称 Heartbleed,因为处理 TLS/DTLS 心跳包时出现错误,用这个漏洞泄露连接的客户端或服务器的内存内容。
↑ Apache HTTP Server 目录遍历 (CVE-2021-41773,CVE-2021-42013) – Apache HTTP Server 目录中存在漏洞,攻击者可以访问受影响系统中的任何文件。
顶级移动恶意软件
本月 xHelper 仍然是最受欢迎的移动恶意软件之一,其次是 AlienBot 和 XLoader。
xHelper – 自2019年以来在野外发现的恶意应用程序已下载其他恶意应用程序并显示广告。该应用程序可以隐藏用户,甚至在卸载时重新安装。
AlienBot – AlienBot 恶意软件系列适用于 Android 设备的恶意软件是服务 (MaaS),允许远程攻击者将恶意代码注入合法的金融应用程序作为第一步。攻击者可以访问受害者的账户,最终完全控制他们的设备。
XLoader – XLoader 是 Android 间谍软件和银行木马。恶意软件使用 DNS 欺骗分发感染 Android 应用程序收集个人和财务信息。CheckPoint被认为是名字“延边帮”需要进一步确认中国黑客组织的发展。
本文转载自微信公众号「祺印说信安」,作者何威风。转载本文请联系齐印说信安微信官方账号。