2021 11 1月16日,网络安全解决方案提供商 Check Point 软件技术有限公司(纳斯达克股票代码:CHKP)威胁情报部门 Check Point Research 发布了其 2021 年 10 月最新版《全球威胁指数》报告。报告表明,模块化僵尸网络和银行木马 Trickbot 仍在恶意软件排行榜上,影响了全球4% 的企事业单位“Apache HTTP 服务器目录经历漏洞”排名十大最常用的漏洞榜。CPR 还指出,教育/研究产业是主要目标。
Trickbot 可以窃取财务信息、账户登录凭证和个人身份信息,并在互联网上横向传播和投放勒索软件。自1 月以来Emotet 遭到打击,Trickbot 第五次排名恶意软件榜首。Trickbot 不断添加新的功能、特性和传播向量,这让它成为一种灵活的可自定义的恶意软件,广泛用于多目的攻击活动。
新漏洞“Apache HTTP 服务器目录经历漏洞”排名第十的 10 月十大最常用的漏洞榜。当它第一次被发现时,Apache 的开发人员在 Apache HTTP 服务器 2.4.50 中发布了针对 CVE-2021-41773 修复程序。但事实表明,修复不够全面,Apache HTTP 服务器中仍有目录遍历漏洞。攻击者可以利用这个漏洞访问受影响系统上的任何文件。
Check Point 软件技术公司研究副总裁 Maya Horowitz 表示:“Apache 漏洞漏洞只在 10 月初公开,但它已经是世界上最常用的十大漏洞之一,这表明攻击者行动得如此之快。这个漏洞将导致攻击者发路径攻击,然后 URL 映射到预期文档根目录的外部文件。Apache 用户必须采取相应的保护措施。本月, 经常用于勒索软件Trickbot 再次成为最猖獗的恶意软件。在全球范围内,每周都有一个受到勒索软件的影响。这个数字令人震惊,公司需要采取更多的措施。许多攻击始于一封简单的电子邮件,因此确保用户知道如何识别潜在威胁是企业可以部署的最重要的防御措施之一。”
CPR 还指出,本月教育/研究产业是世界上第一个攻击目标,其次是通信产业和政府/军事部门。“Web恶意 服务器URL 目录遍历漏洞”是最常被利用的漏洞,全球 60% 的机构被波及,其次是“Web Server Exposed Git 存储信息泄露”,全球55% 机构受到影响。“HTTP 标头远程代码执行”在最常用的漏洞排行榜中仍排名第三,全球影响范围为 54%。
恶意软件家族头号
* 箭头表示与上个月相比的排名变化。
本月,Trickbot 是世界上最猖獗的恶意软件,4% 的机构受到影响,其次是 XMRig 和 Remcos,企事业单位分别影响全球 3% 和 2% 。
↔ Trickbot - Trickbot 是一种模块化的僵尸网络和银行木马,不断增加新的功能、特性和传输向量。这使它成为一种灵活的自定义恶意软件,广泛应用于多目的攻击活动。
↑ XMRig - XMRig 是一种开源 CPU 2017年5月首次出现门罗币加密货币挖掘软件。
↑ Remcos - Remcos 是一种 RAT,2016 年首次出现。Remcos 恶意 通过垃圾电子邮件Microsoft Office 文档自行传播,旨在绕过 Microsoft Windows UAC 恶意软件以高级权限进行安全保护和执行。
全球受攻击最多的行业:
本月,教育/研究产业是世界上第一个攻击目标,其次是通信产业和政府/军事部门。
- 教育/研究
- 通信
- 政府/军事
最常用的漏洞
本月,“Web恶意 服务器URL 目录遍历漏洞”这是世界上最常用的漏洞60% 的机构遭殃,其次是“Web Server Exposed Git 存储库信息泄露”,全球55% 机构受到影响。“HTTP 标头远程代码执行”在最常用的漏洞排行榜中仍排名第三,全球影响范围为 54%。
↑ Web恶意 服务器URL 目录遍历漏洞(CVE-2010-4598、CVE-2011-2474、CVE-2014-0130、CVE-2014-0780、CVE-2015-0666、CVE-2015-4068、CVE-2015-7254、CVE-2016-4523、CVE-2016-8530、CVE-2017-11512、CVE-2018-3948、CVE-2018-3949、CVE-2019-18952、CVE-2020-5410、CVE-2020-8260)- 不同 Web 目录遍历漏洞存在于服务器上。这个漏洞是 Web 由于服务器输入验证错误,目录遍历模式没有正确清理 URL。未经身份验证的远程攻击者可以使用漏洞泄露或访问易受攻击的服务器上的任何文件。
↓ Web Server Exposed Git 存储信息泄露 - Git 存储库报告中的一个信息泄露漏洞。一旦攻击者成功利用了这个漏洞,用户就会无意中泄露账户信息。
↔ HTTP 标头远程代码执行 (CVE-2020-10826、CVE-2020-10827、CVE-2020-10828、CVE-2020-13756) - HTTP 标头允许客户端和服务器传输带 HTTP 请求的其他信息。远程攻击者可以使用有漏洞的 HTTP 标头在感染机上运行任何代码。
恶意软件主要移动
本月,xHelper 仍然是最猖獗的移动恶意软件,其次是 AlienBot 和 XLoader。
xHelper - 恶意应用于下载其他恶意应用程序并显示恶意广告。该应用程序可以隐藏用户,甚至在卸载后重新安装自己。
AlienBot - AlienBot 恶意软件家族是 Android 设备的恶意软件是服务 (MaaS),它允许远程攻击者首先将恶意代码注入合法的金融应用程序。攻击者可以访问受害者的账户,并最终完全控制其设备。
XLoader - XLoader 由黑客组织Yanbian Gang 开发的 Android 间谍软件和银行木马。恶意软件使用 DNS 欺骗传播感染 Android 应用程序收集个人和财务信息。
Check Point全球威胁影响指数及其《ThreatCloud 路线图基于 Check Point ThreatCloud 情报数据数据。ThreatCloud 提供的实时威胁信息来自于部署在全球企业数据中心网络、用户端点和移动设备上的数亿个传感器。AI 引擎和 Check Point 软件技术公司情报与研究部Check Point Research 的独家研究数据进一步丰富了情报内容。