近日,VirusTotal发布了一份基于8000万样本分析的勒索病毒报告。报告称,2020年和2021年上半年活跃的勒索病毒家族多达130个,其中以色列、韩国、越南、中国、新加坡、印度、哈萨克斯坦、菲律宾、伊朗、英国出现作为受影响最严重的国家,根据对8000万个勒索软件相关样本的综合分析。谷歌的网络安全部门VirusTotal将大部分活动归因于GandCrab勒索软件即服务(RaaS)组(78.5%),其次是Babuk(7.61%)、Cerber(3.11%)、Matsnu(2.63%)、Wannacry(2.41%)%)、Congur(1.52%)、Locky(1.29%)、Teslacrypt(1.12%)、Rkor(1.11%)和Reveon(0.70%)。关键要点如下:GandCrab占2020年前两个季度勒索软件活动的大部分,Babuk勒索软件系列导致2021年7月的感染激增。检测到的勒索软件文件中有95%是基于Windows的可执行文件或动态链接库(DLL),而2%是基于Android的。大约5%的分析样本与Windows权限提升、SMB信息泄露和远程执行相关的漏洞利用有关。Emotet、Zbot、Dridex、Gozi和Danabot是用于分发勒索软件的主要恶意软件工件。根据CheckPoint的全球威胁指数,Trickbot在8月跌至第2位,然后在9月重返恶意软件榜首。远程访问木马njRAT取代Phorpiex首次进入前十。据报道,由于美国的调查,一名Trickbot帮派成员实际上已被捕。CheckPoint的研究人员报告说,与2020年相比,2021年每周针对全球组织的攻击增加了40%,但大多数(如果不是全部)本可以避免。组织不能延迟采用预防优先的网络安全方法。WebServerExposedGitRepositoryInformationDisclosure是最常被利用的漏洞,影响了全球44%的组织样本,其次是“CommandInjectionOverHTTP,影响了43%的组织样本。HTTPHeadersRemoteCodeExecution在漏洞列表中排名第三,全球影响也为43%。2021年9月“令人发指”*箭头表示排名与上个月相比有所变化。本月,Trickbot是最流行的恶意软件,影响了全球4%的抽样组织,其次是Formbook和XMRig,各影响3%^Trickbot–Trickbot是一种模块化的僵尸网络和银行木马,不断更新新的功能、特性和分发工具,使Trickbot成为一种灵活且可定制的恶意软件,可以作为多用途活动的一部分进行分发。↓Formbook–Formbook是一个信息窃取器,可以从各种网络浏览器中获取凭证、收集屏幕截图、监控和记录击键es,并可以下载并执行。↑XMRig–XMRig是用于Monero加密货币挖掘过程的开源CPU挖掘软件,于2017年5月首次在野外出现。受害者的击键、系统击键、屏幕截图,并将凭证泄露到安装在受害者机器上的各种软件中(包括GoogleChrome、MozillaFirefox和MicrosoftOutlook电子邮件客户端)。↓Glupteba–Glupteba是一个逐渐成熟为僵尸网络的后门。到2019年,包括通过公共比特币列表的C&C地址更新机制、集成的浏览器窃取器功能和路由器利用。↓Remcos–Remcos是一种RAT,于2016年首次出现在野外。Remcos通过附加到垃圾邮件的恶意MicrosoftOffice文档进行自我分发,旨在绕过MicrosoftWindowsUAC安全并以提升的权限执行恶意软件。↑Tofsee–Tofsee是一种后门特洛伊木马,至少从2013年开始运行。Tofsee是一种多用途工具,可以进行DDoS攻击、发送垃圾邮件、挖掘加密货币等。↓Ramnit–Ramnit是一种银行木马,可以窃取银行凭证、FTP密码、会话cookie和个人数据。↑Floxif–Floxif是为Windows操作系统设计的信息窃取程序和后门程序。它被用作2017年大规模攻击活动的一部分,攻击者将Floxif(和Nyetya)插入免费版本的清洁实用程序CCleaner中,感染了超过200万用户,包括谷歌技术公司、微软、思科和英特尔。↑njRAT–njRAT是一种远程访问木马,主要针对中东的政府机构和组织。它于2012年首次出现,具有多种功能:捕获击键、访问受害者的摄像头、窃取存储在浏览器中的凭据、上传和下载文件、执行进程和文件操作以及查看受害者的桌面。njRAT通过网络钓鱼攻击和路过式下载感染受害者,并在命令和控制服务器软件的支持下通过受感染的USB密钥或网络驱动器进行传播。9月Top10漏洞本月,WebServerExposedGitRepositoryInformationDisclosure是最常被利用的漏洞,影响了全球44%的样本组织,其次是CommandInjectionOverHTTP,影响了全球43%的样本组织。HTTPHeadersRemoteCodeExecution在最常被利用的漏洞列表中排名第三,全球样本影响为43%。1.Web服务器暴露的Git存储库信息泄露–Git存储库中报告了一个信息泄露漏洞,成功利用该漏洞可能会无意中泄露帐户信息。2.↑基于HTTP的命令注入-已报告基于HTTP漏洞的命令注入。远程攻击者可以通过向受害者发送特制请求来利用此问题,成功的利用将允许攻击者在目标机器上执行任意代码。3.↓HTTP标头远程代码执行(CVE-2020-10826、CVE-2020-10827、CVE-2020-10828、CVE-2020-13756)-HTTP标头允许客户端和服务器通过HTTP请求传递附加信息,远程攻击者可以使用易受攻击的HTTP标头在受害计算机上运行任意代码。4.↑Web服务器恶意URL目录遍历(CVE-2010-4598、CVE-2011-2474、CVE-2014-0130、CVE-2014-0780、CVE-2015-0666、CVE-2015-4068、CVE-2545CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-820)有-820在不同的Web服务器上存在目录遍历漏洞。该漏洞是由Web服务器中的输入验证错误引起的,该错误未正确清理目录遍历模式的URL,从而允许成功利用以允许未经身份验证的远程攻击者披露或访问易受攻击的服务器上的任意文件。5.↓MVPowerDVR远程代码执行——MVPowerDVR设备中存在远程代码执行漏洞,远程攻击者可以利用该漏洞通过精心设计的请求在受影响的路由器中执行任意代码。6.↓DasanGPON路由器身份验证绕过(CVE-2018-10561)–DasanGPON路由器中存在身份验证绕过漏洞。成功利用此漏洞将允许远程攻击者获取敏感信息并获得对受影响系统的未授权访问。7.↑ApacheStruts2内容类型远程代码执行(CVE-2017-5638、CVE-2017-5638、CVE-2019-0230)——使用Jakarta多部分解析器的ApacheStruts2中存在远程代码执行漏洞。攻击者可以通过发送无效内容类型作为文件上传请求的一部分来利用此漏洞,成功利用可能会导致在受影响的系统上执行任意代码。8.↓OpenSSLTLSDTLS心跳信息泄露(CVE-2014-0160、CVE-2014-0346)——OpenSSL中存在信息泄露漏洞。该漏洞也称为Heartbleed,由处理TLS/DTLS心跳数据包时的错误引起,攻击者可利用该漏洞泄露连接的客户端或服务器的内存内容。9.↑NoneCMSThinkPHP远程代码执行(CVE-2018-20062)——NoneCMSThinkPHP框架存在远程代码执行漏洞。成功利用此漏洞可能允许远程攻击者在受影响的系统上执行任意代码。10.NetgearDGN未经身份验证的命令执行–由于NetgearDGN处理身份验证检查的方式,NetgearDGN设备中存在未经身份验证的命令执行漏洞,成功的攻击可能导致未经身份验证的命令执行。9月TOP3移动恶意软件本月xHelper仍然是最流行的移动恶意软件的第一名,其次是AlienBot和FluBot。xHelper–自2019年3月起在野发现的恶意应用程序,用于下载其他恶意应用程序和显示广告,具有对用户隐藏自身的能力,甚至可以在卸载后重新安装。AlienBot–AlienBot恶意软件系列是一种针对Android设备的恶意软件即服务(MaaS),允许远程攻击者将恶意代码注入合法的金融应用程序作为第一步。攻击者可以获得对受害者帐户的访问权限,并最终完全控制他们的设备。FluBot–FluBot是一种Android僵尸网络恶意软件,通过网络钓鱼短信进行分发,通常冒充物流配送品牌。一旦用户点击消息中的链接,FluBot就会安装并访问手机上的所有敏感信息。
