近日,根据Checkpoint发布的2020年7月全球威胁指数,在缺席五个月后,Emotet已升至指数榜首位置,受到攻击全球5%的企业和组织在短时间内,主要活动是传播钓鱼邮件,窃取银行账户并在目标网络内传播。Emotet凭借其与硅谷顶级科技公司类似的一流“敏捷开发”能力,一直是过去几年最具“创造力”、“颠覆性”、“影响力”和破坏力的恶意软件。速度连很多网络安全公司都吹嘘。具体来说,Emotet就像一个“搬运工”。入侵主机系统后,它具有下载其他恶意软件的能力。由于其模块化特性,这只是其功能之一。由于传播组件可以通过安装共享或利用漏洞来传播恶意软件,Emotet能够将自己传送到同一网络上的其他计算机。换句话说,Emotet就像一个大型恶意软件“电子商务平台”,是许多其他恶意软件的重要“交付渠道”。自2020年2月以来,Emotet的活动(主要是发送大量垃圾邮件和钓鱼邮件)开始放缓并最终停止,直到7月才恢复活动。值得注意的是,2019年,Emotet僵尸网络也选择在夏季“休眠”,9月恢复活动。7月,Emotet通过垃圾邮件和网络钓鱼电子邮件活动感染了大量TrickBot和Qbot受害者,其主要目的是窃取银行凭证并在企业网络内部传播。其中一些网络钓鱼电子邮件活动包含名称为“form.doc”或“invoice.doc”的恶意文档文件。据安全研究人员称,恶意文件启动PowerShell以从远程网站提取Emotet二进制文件并感染计算机,然后再将它们添加到僵尸网络。Emotet的恢复活动凸显了全球僵尸网络的规模和力量。至于Emotet为何选择在2020年和2019年的夏季“休眠”,CheckPoint研究人员认为,Emotet僵尸网络背后的开发者选择了这个时间来更新迭代其功能。由于Emotet每次卷土重来都会“增强威力”,企业应尽快对员工进行相关的安全意识培训,包括如何识别携带这些威胁的垃圾邮件类型,并警告打开电子邮件附件的风险或单击来自外部资源的链接。组织还应考虑部署反恶意软件解决方案,以防止此类内容到达最终用户。该报告还警告说,“MVPowerDVR远程执行代码”是最常被利用的漏洞,影响了全球44%的组织,其次是“OpenSSLTLSDTLS心跳信息泄露”,影响了全球42%的组织。“HTTPPayloadCommandInjection”排名第三,对全球企业和组织的影响达38%。以下是CheckPoint报告中7月份的十大恶意软件和十大漏洞。2020年7月排名前10位的恶意软件家族*箭头表示与上个月相比的排名变化。7月,Emotet是最流行的恶意软件,影响了全球5%的企业和组织,其次是Dridex和AgentTesla,各影响了4%的组织。1.↑Emotet–Emotet是一种高级的自我传播模块化木马。Emotet最初是一种银行木马,但最近被用作其他恶意软件或恶意活动的传播者。它使用多种方法来保持持久性和规避技术以避免被发现。此外,它还可以通过包含恶意附件或链接的网络钓鱼垃圾邮件进行传播。2.↑Dridex–Dridex是Windows平台的特洛伊木马,通过下载垃圾邮件附件进行传播。Dridex联系远程服务器并发送有关受感染系统的信息。它还可以下载并执行从远程服务器接收到的任意模块。3.↓AgentTesla–AgentTesla是一种高级RAT,充当键盘记录器和信息窃取器,能够监视和收集受害者的击键、系统剪贴板、截取屏幕截图并窃取安装在受害者计算机凭据上的各种软件(包括GoogleChrome、MozillaFirefox和MicrosoftOutlook电子邮件客户端)。4.↑Trickbot–Trickbot是目前占据主流地位的多功能机器人,并不断更新新的功能、功能和分发媒体。这使得Trickbot成为一种灵活且可定制的恶意软件,可以作为多用途活动的一部分进行分发。5.↑Formbook–Formbook是一种信息窃取工具(infoStealer),可以收集帐户凭据、屏幕截图、监控和记录来自各种网络浏览器的击键,并可以根据其C&C命令下载和执行文件。6.↓XMRig–XMRig是一种开源CPU挖掘软件,用于挖掘Monero加密货币,于2017年5月首次出现。7.↑Mirai–Mirai是一种著名的物联网(IoT)恶意软件,可以跟踪易受攻击的漏洞物联网设备(例如网络摄像头、调制解调器和路由器)并将它们变成僵尸网络机器人。僵尸网络被其运营商用来执行大规模分布式拒绝服务(DDoS)攻击。8.↓Ramnit–Ramnit是一种银行木马,可以窃取银行凭证、FTP密码、会话cookie和个人数据。9.↓Glupteba–Glupteba是一个后门程序,已逐渐发展成为僵尸网络。截至2019年,Glupteba拥有通过公共比特币列表更新C&C地址的机制,并且还集成了浏览器窃取和路由器漏洞利用。10.↑RigEK–RigEK提供针对Flash、Java、Silverlight和InternetExplorer的攻击。感染链从重定向到登录页面开始,该页面包含一个JavaScript脚本,用于检查易受攻击的插件并利用它们。2020年(7月)十大最常被利用的漏洞7月,“MVPowerDVR远程执行代码”是最常被利用的漏洞,影响了全球44%的组织,其次是“OpenSSLTLSDTLS心跳信息泄漏”,其影响为42%世界各地的组织。“HTTPPayloadCommandInjection”位列第三,全球影响达38%。1.↑MVPowerDVR远程代码执行。MVPowerDVR设备中存在远程代码执行漏洞。远程攻击者可以利用此漏洞通过精心设计的请求在受影响的路由器中执行任意代码。2.↓OpenSSLTLSDTLS心跳信息泄露(CVE-2014-0160;CVE-2014-0346)。OpenSSL存在信息泄露漏洞。该漏洞是由于处理TLS/DTLS心跳数据包时出现错误造成的。攻击者可以利用此漏洞泄露连接的客户端或服务器的内存内容。3.↑通过HTTP负载的命令注入。通过HTTP负载漏洞的命令注入,远程攻击者可以通过向受害者发送特制请求来利用此问题。成功利用此漏洞的攻击者可以在目标计算机上执行任意代码。4.?DasanGPON路由器身份验证绕过(CVE-2018-10561)。此DasanGPON路由器中存在身份验证绕过漏洞。成功利用此漏洞可能允许远程攻击者获取敏感信息并获得对受影响系统的未授权访问权限。5.↑HTTP标头远程代码执行(CVE-2020-13756)。HTTP标头使客户端和服务器能够通过HTTP请求传递附加信息。远程攻击者可以使用易受攻击的HTTP标头在受害计算机上运行任意代码。6.↑ApacheStruts2ContentTypeRemoteCodeExecution。使用Jakarta解析器的ApacheStruts2中存在远程代码执行漏洞。攻击者可以通过在文件上传请求中发送无效的内容类型来利用此漏洞。成功利用此漏洞可能导致在受影响的系统上执行任意代码。7.↓Git仓库的Web服务器信息泄露。Git存储库中报告了一个信息泄露漏洞。成功利用此漏洞可能会导致无意中泄露帐户信息。8.↑SQL注入(几种技术)。将SQL查询注入插入客户端应用程序的输入,同时利用应用程序软件中的安全漏洞。9.↑PHPphp-cgi查询字符串参数代码执行。PHP中报告了一个远程代码执行漏洞。该漏洞是由于PHP对查询字符串的解析和过滤不当造成的。远程攻击者可以通过发送特制的HTTP请求来利用此漏洞。成功利用将使攻击者能够在目标上执行任意代码。10.↓WordPressPortable-phpMyAdmin插件认证绕过。WordPressPortable-phpMyAdmin插件中存在身份验证绕过漏洞。成功利用此漏洞可能允许远程攻击者获取敏感信息并获得对受影响系统的未授权访问权限。附录:2020年顶级移动恶意软件家族TOP3(7月)xHelper是7月最流行的移动恶意软件,其次是Necro和PreAMo。1.x助手。自2019年3月以来流行的一种常见恶意??应用程序,用于下载其他恶意应用程序并显示广告。该应用程序可以对用户隐藏自己,并在卸载后自动重新安装。2.死灵。Necro是一个安卓木马植入程序(AndroidTrojanDropper)。它可以下载其他恶意软件、显示侵入性广告并通过支付订阅费来窃取资金。3.PreAMo。PreAmo是一种Android“滑动点击”恶意软件,它模仿用户点击来自三个广告代理商Presage、Admob和Mopub的横幅广告。【本文为专栏作者“安安牛”原创文章,转载请通过安安牛(微信公众号id:gooann-sectv)获得授权】点此查看作者更多好文
