今年,微软共修补了887个CVE漏洞,比2020年减少了29%。就12月份而言,微软发布了针对MicrosoftWindows和Windows组件,ASP.NETCore和VisualStudio、AzureBotFrameworkSDK、互联网存储名称服务、物联网防御者、Edge(基于Chromium)、MicrosoftOffice和Office组件、SharePointServer、PowerShell、远程桌面客户端、WindowsHyper-V、WindowsMobile设备管理、Windows远程访问连接管理器、TCP/IP和Windows更新堆栈中的67个漏洞。结合本月早些时候为MicrosoftEdge(基于Chromium)打补丁的16个漏洞补丁,12月份的CVE漏洞总数达到83个。此外,网络安全从业者将更加关注CVE-2021-44228的漏洞:Log4Shell(Log4j),这甚至被称为史诗般的漏洞。以下是描述其影响的方法:除非您一直躲在岩石下闭着眼睛用手捂住耳朵,否则您可能听说过最近披露的名为ApacheLog4j的Java日志记录库中的漏洞。.CheckPointResearch最新发布的2021年11月全球威胁指数显示,虽然Trickbot仍然位居最流行恶意软件列表的首位,影响了全球5%的抽样组织,但最近卷土重来的Emotet重新回到了该指数的第一位。七。同时,研究表明,受攻击最严重的行业是教育/研究。这与国内的情况是一致的。尽管欧洲刑警组织在今年早些时候联手取缔Emotet时做出了巨大努力来阻止Emotet,但这个臭名昭著的僵尸网络已被证实在11月还活着,并且在CheckPoint的威胁排名中排名第七。常见的恶意软件。Trickbot本月第六次荣登该指数榜首,即使是使用Trickbot的基础设施在受感染机器上安装的Emotet新变体。Emotet通过包含受感染的Word、Excel和Zip文件的网络钓鱼电子邮件进行分发,这些文件会在受害者主机上部署Emotet。最近,Emotet还开始分发伪装成Adob??e软件的恶意Windows应用程序安装程序包。Emotet是网络历史上最成功的僵尸网络之一,近年来导致了针对性勒索软件攻击的激增。僵尸网络在11月卷土重来非常令人担忧,并可能导致此类攻击进一步增加。它利用Trickbot的基础设施,缩短了Emotet在全球网络中建立足够重要的立足点所需的时间。Web服务器恶意URL目录遍历漏洞仍然是最常被利用的漏洞,影响了全球样本中44%的组织,其次是Web服务器暴露的Git仓库信息泄露,影响了全球样本中43.7%的组织。HTTPHeadersRemoteCodeExecution在最常被利用的漏洞列表中排名第三,全球样本影响为42%。2021年11月“十恶不赦”*箭头表示与上个月相比的排名变化。11月,Trickbot是最流行的恶意软件,影响了全球5%的样本组织,其次是AgentTesla和Formbook,两者都影响了4%的全球样本。?Trickbot–Trickbot是一种模块化的僵尸网络和银行木马,不断更新新功能、特性和分布向量。这使得Trickbot成为一种灵活且可定制的恶意软件,可以作为多用途活动的一部分进行分发。↑AgentTesla–AgentTesla是一种高级RAT,充当键盘记录器和信息窃取器,能够监视和收集受害者的击键、系统击键、屏幕截图,并将凭据泄露到各种软件(包括GoogleChrome、MozillaFirefox和MicrosoftOutlook。)↑Formbook–Formbook是一个InfoStealer,它可以从各种网络浏览器收集凭证、收集屏幕截图、监控和记录击键,并可以命令下载和执行文件。Glupteba–Glupteba是一个已经发展成为僵尸网络的后门。截至2019年,它包括通过公共比特币列表的C&C地址更新机制、集成的浏览器窃取功能和路由器漏洞。↓Remcos–Remcos是一种RAT,于2016年首次出现。Remcos通过附加在垃圾邮件中的恶意MicrosoftOffice文档进行自我分发,旨在绕过MicrosoftWindowsUAC安全并以高级权限执行恶意软件。↓XMRig–XMRig是一种开源CPU挖矿软件,用于Monero加密货币的挖矿过程,于2017年5月首次在野外出现。↑Emotet–Emotet是一种先进的、自我传播的模块化木马。Emotet过去曾被用作银行木马,最近被用作其他恶意软件或恶意活动的分发者。它使用多种持久性和规避技术来避免检测。此外,它还可以通过包含恶意附件或链接的网络钓鱼垃圾邮件进行传播。↓Ramnit–Ramnit是一种银行木马,可以窃取银行凭证、FTP密码、会话cookie和个人数据。↑Floxif–Floxif是为Windows操作系统设计的信息窃取程序和后门程序。它被用作2017年大规模攻击活动的一部分,攻击者将Floxif(和Nyetya)插入免费版本的清洁实用程序CCleaner中,感染了超过200万用户,包括谷歌技术公司、微软、思科和英特尔。↑Vidar–Vidar是Windows操作系统的信息窃取器。它于2018年底首次被发现,旨在从各种网络浏览器和数字钱包中窃取密码、信用卡数据和其他敏感信息。Vidar已在各种在线论坛上出售,并用作恶意软件投放器,下载GandCrab勒索软件作为其次要有效负载。全球受攻击最严重的行业:本月,教育/研究是全球受攻击最严重的行业,其次是通信和政府/军事。教育/科研通讯政府/军队11月漏洞Top1011月,Web服务器恶意URL目录遍历仍然是最常被利用的漏洞,影响全球44%的样本组织,其次是Web服务器暴露的Git仓库信息泄露,影响43.7%全球抽样组织的百分比。HTTPHeadersRemoteCodeExecution在最常被利用的漏洞列表中排名第三,全球样本影响为42%。?Web服务器恶意URL目录遍历(CVE-2010-4598、CVE-2011-2474、CVE-2014-0130、CVE-2014-0780、CVE-2015-0666、0130、CVE-2015-4068、CVE-204CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-200)-820是目录各种网络服务器上的遍历漏洞。该漏洞是由于Web服务器中的输入验证错误导致的,该错误未针对目录遍历模式正确清理URL。成功的利用可能允许未经身份验证的远程攻击者泄露或访问易受攻击的服务器上的任意文件。?Web服务器暴露的Git存储库信息泄露-Git存储库中报告了一个信息泄露漏洞。成功利用此漏洞可能会无意中泄露帐户信息。?HTTP标头远程代码执行(CVE-2020-10826、CVE-2020-10827、CVE-2020-10828、CVE-2020-13756)——HTTP标头让客户端和服务器通过HTTP请求传递附加信息。远程攻击者可以使用易受攻击的HTTP标头在受害计算机上运行任意代码。↑MVPowerDVR远程代码执行——MVPowerDVR设备中存在远程代码执行漏洞。远程攻击者可以利用此弱点通过精心设计的请求在受影响的路由器中执行任意代码。↓DasanGPON路由器身份验证绕过(CVE-2018-10561)–DasanGPON路由器中存在身份验证绕过漏洞。成功利用此漏洞可能允许远程攻击者获取敏感信息并未经授权访问受影响的系统。↑ApacheHTTP服务器目录遍历(CVE-2021-41773、CVE-2021-42013)——ApacheHTTP服务器中存在一个目录遍历漏洞。成功利用此漏洞可能允许攻击者访问受影响系统上的任意文件。?基于HTTP的命令注入(CVE-2013-6719、CVE-2013-6720)——已报告基于HTTP的命令注入漏洞。远程攻击者可以通过向受害者发送特制请求来利用此问题。成功的利用将允许攻击者在目标机器上执行任意代码。↓ApacheStruts2内容类型远程代码执行(CVE-2017-5638、CVE-2017-5638、CVE-2019-0230)——使用Jakarta多部分解析器的ApacheStruts2中存在远程代码执行漏洞。攻击者可以通过在文件上传请求中发送无效的内容类型来利用此漏洞。成功利用可能会导致在受影响的系统上执行任意代码。?OpenSSLTLSDTLS心跳信息泄露(CVE-2014-0160、CVE-2014-0346)——OpenSSL中存在信息泄露漏洞。该漏洞也称为Heartbleed,是由TLS/DTLS心跳数据包处理错误引起的。攻击者可以利用此漏洞泄露连接的客户端或服务器的内存内容。↑NoneCMSThinkPHP远程代码执行(CVE-2018-20062)–NoneCMSThinkPHP框架中存在远程代码执行漏洞。成功利用此漏洞可能允许远程攻击者在受影响的系统上执行任意代码。热门移动恶意软件AlienBot在11月最流行的移动恶意软件列表中名列前茅,其次是xHelper和FluBot。AlienBot–AlienBot恶意软件系列是一种针对Android设备的恶意软件即服务(MaaS),允许远程攻击者将恶意代码注入合法的金融应用程序作为第一步。攻击者可以获得对受害者帐户的访问权限,并最终完全控制他们的设备。xHelper–自2019年3月以来发现的恶意应用程序,用于下载其他恶意应用程序和显示广告。该应用程序能够对用户隐藏自身,甚至在卸载后重新安装。FluBot–FluBot是一个Android僵尸网络,通过网络钓鱼短信进行分发,通常冒充物流配送品牌。一旦用户点击消息中的链接,FluBot就会安装并访问手机上的所有敏感信息。
