2020年九月份恶意软件之“十恶不赦”排行榜
安全研究人员发现,2020年9月全球威胁指数显示,使用新Valak恶意软件攻击的急剧增加,Valak恶意软件首次成为排名第9位的恶意软件。Valak于2019年末首次被发现,是一种复杂恶意软件加载器。在最近几个月中,发现了具有重大功能更改的新变体,能够同时针对个人和企业进行信息窃取。新版本的Valak能够从Microsoft Exchange邮件系统中窃取敏感信息以及用户的凭据和域证书,通过包含恶意.doc文件的垃圾邮件进行广泛传播。钓鱼邮件攻击,还是一个不容忽视的攻击手段。
MVPower DVR远程执行代码漏洞是被利用最普遍的漏洞,影响全球抽样46%的组织,其次是Dasan GPON路由器身份验证旁路漏洞,影响全球抽样42%的组织。OpenSSL TLS DTLS心跳信息披露(CVE-2014-0160;CVE-2014-0346)影响全球抽样36%的组织。
2020年9月“十恶不赦”
*箭头表示与上个月相比的排名变化。
本月,Emotet仍然是最受欢迎的恶意软件,影响全球抽样的14%的组织,其全球影响力为14%的组织,其次是Trickbot和Dridex,分别影响全球抽样的4%和3%的组织。
1. Emotet – Emotet是高级可自我传播的模块化银行木马,最近被用作其他恶意软件或恶意活动的分发工具。使用多种方法来保持持久性和逃避技术,从而避免检测。还可以通过包含恶意附件或链接的网络钓鱼垃圾邮件来助推其传播。
2. ↑Trickbot – Trickbot是一个占主导地位的银行木马,不断使用新功能,功能和发行媒介进行更新。这使Trickbot成为灵活且可自定义的恶意软件,可以作为多用途活动的一部分进行分发。
3. ↑Dridex – Dridex是针对Windows平台的木马程序,通过垃圾邮件附件下载传播。Dridex连接远程服务器并发送有关受感染系统的信息,可以下载并执行从远程服务器接收的任意功能模块。
4. ↓ Agent Tesla – Agent Tesla是一种高级RAT的键盘记录程序和信息窃取程序,能够监视和收集受害者的键盘输入、系统剪贴板、截屏并窃取受害者计算机上安装的各种软件的凭证(包括Google Chrome、Mozilla Firefox和Microsoft Outlook电子邮件客户端)。
5. ↔XMRig – XMRig是用CPU挖掘加密货币Monero的恶意挖掘软件,于2017年5月首次被出现。
6. ↑Qbot – Qbot是一个银行木马,2008年首次出现,旨在窃取用户的银行凭证和击键。Qbot通常通过垃圾邮件进行分发,它采用了多种反虚拟机,反调试和反沙盒技术来阻止分析和逃避检测。
7. ↔Glupteba – Glupteba是一个后门,逐渐成熟为一个僵尸网络。到2019年,通过公开的BitCoin列表提供的C&C地址更新机制,集成浏览器窃取功能和路由器利用程序。
8. ↓ Ramnit – Ramnit是一个窃取银行凭证,FTP密码,会话cookie和个人数据的银行木马。
9. ↑Valak – Valak是一种复杂的恶意软件加载器。在2019年末首次被发现,最近更迭出新变种,不仅可以作为恶意软件的加载器,而且可以独立用作针对个人和企业进行信息窃取。
10. ↓ RigEK –RigEK针对Flash、Java、Silverlight和InternetExplorer的攻击。感染包含JavaScript页面,进行重定向攻击。
9月份漏洞Top10
本月MVPowerDVR远程执行代码是利用最普遍的漏洞,影响全球抽样46%的组织,其次是Dasan GPON路由器身份验证旁路,影响全球抽样42%的组织。OpenSSL TLS DTLS心跳信息披露(CVE-2014-0160;CVE-2014-0346)排名第三,影响全球抽样36%的组织。
1. ↑MVPower DVR远程执行代码– MVPower DVR设备中存在一个远程执行代码漏洞。远程攻击者可以利用此漏洞通过精心设计的请求在受影响的路由器中执行任意代码。
2. ↑Dasan GPON路由器身份验证绕过(CVE-2018-10561) –Dasan GPON路由器中存在一个身份验证绕过漏洞。成功利用此漏洞将使远程攻击者可以获得敏感信息并获得对受影响系统的未授权访问。
3.↑OpenSSL TLS DTLS心跳信息泄露(CVE-2014-0160;CVE-2014-0346) – OpenSSL中存在一个信息泄露漏洞。该漏洞是由于处理TLS / DTLS心跳数据包时出错。攻击者可以利用此漏洞来披露连接的客户端或服务器的内存内容。
4.↑HTTP标头远程执行代码(CVE-2020-13756)– HTTP标头使客户端和服务器可以通过HTTP请求传递其他信息。远程攻击者可能使用易受攻击的HTTP标头在受害计算机上运行任意代码。
5.↓ Web服务器暴露的Git存储库信息泄露– Git存储库中报告了一个信息泄露漏洞。成功利用此漏洞可能导致无意中泄露账户信息。
6.↓ Draytek Vigor命令注入(CVE-2020-8515)– Draytek Vigor中存在命令注入漏洞。成功利用此漏洞可能使远程攻击者可以在受影响的系统上执行任意代码。
7.↑通过HTTP有效负载进行命令注入–报告了通过HTTP有效负载进行命令注入漏洞。远程攻击者可以通过向受害者发送特制请求来利用此问题。成功利用漏洞将使攻击者能够在目标计算机上执行任意代码。
8. ↔SQL注入(几种技术)–在客户端到应用程序的输入中插入SQL查询的注入,同时利用应用程序软件中的安全漏洞。
9.↑Muieblackcat PHP扫描程序– Muieblackcat是一个漏洞扫描产品。远程攻击者可以使用Muieblackcat检测目标服务器上的漏洞。
10. ↑ w00tw00t安全扫描程序– w00tw00t是漏洞扫描产品。远程攻击者可以使用w00tw00t来检测目标服务器上的漏洞。
9月份移动恶意软件Top3
本月移动恶意软件排名一二三分别xHelper、Xafecopy和Hiddad。
1. xHelper-自2019年3月以来在野外常见的恶意应用程序,用于下载其他恶意应用程序和显示广告。该应用程序可以向用户隐藏自己,并在卸载后重新安装。。
2. Xafekopy – Xafecopy木马伪装成有用的应用程序,例如Battery Master。特洛伊木马秘密地将恶意代码加载到设备上。激活该应用程序后,Xafecopy恶意软件会通过带有无线应用程序协议(WAP)计费的网页,直接向用户的移动电话账户收取费用。
3. Hiddad – Hiddad是一种Android恶意软件,可以对合法应用进行重新打包,然后将其发布到第三方商店。它的主要功能是显示广告,但它也可以访问操作系统内置的关键安全详细信息。