以色列安全机构Checkpoint在今年1月发布了2022年12月的全球威胁指数。大家分享。启用区块链的木马僵尸网络Glupteba恶意软件自2022年7月以来首次重返前10名,升至第八位。Qbot是一种复杂的特洛伊木马,可以窃取银行凭证和击键,在去年12月卷土重来后取代Emotet成为最流行的恶意软件,影响了全球7%的样本组织。与此同时,Android恶意软件Hiddad卷土重来,教育仍然是全球受影响最严重的行业。最新研究的一个压倒性主题是恶意软件如何经常伪装成合法软件,使黑客能够在不引起怀疑的情况下获得对设备的后门访问权限。这就是为什么在下载任何软件和应用程序或单击链接时进行尽职调查很重要,无论它们看起来多么真实。研究还显示,“WebServerExposedGitRepositoryInformationDisclosure”是最常被利用的漏洞,影响了全球46%的组织,其次是“WebServersMaliciousURLDirectoryTraversal”,影响了全球44%的组织。“HTTP命令注入”是第三大最常用的漏洞,全球影响为43%。2022年12月《十恶不赦》*箭头表示与上月相比排名变化。Qbot是上个月最流行的恶意软件,影响了全球7%的样本组织,其次是Emotet,影响了全球样本的4%,然后是XMRig,影响了全球样本的3%。↑Qbot–Qbot又名Qakbot是一种银行木马,首次出现于2008年。它旨在窃取用户的银行凭证和击键。Qbot通常通过垃圾邮件传播,它采用多种反虚拟机、反调试和反沙盒技术来阻碍分析和逃避检测。?Emotet–Emotet是一种先进的、自我传播的模块化木马。Emotet过去曾被用作银行木马,最近被用作其他恶意软件或恶意活动的分发者。它使用多种方法来保持持久性和规避技术以避免被发现。此外,它还可以通过包含恶意附件或链接的网络钓鱼垃圾邮件进行传播。↑XMRig–XMRig是用于挖掘Monero加密货币的开源CPU挖掘软件。威胁行为者经常滥用这种开源软件,将其集成到他们的恶意软件中,以便在受害者的设备上进行非法挖掘。↑Formbook–Formbook是Windows操作系统的信息窃取程序,于2016年首次被发现。由于其强大的规避技术和相对较低的价格,它在地下黑客论坛中作为恶意软件即服务(MaaS)进行销售。FormBook从各种网络浏览器收集凭证、收集屏幕截图、监控和记录击键,并可以根据其C&C的命令下载和执行文件。↑Nanocore——NanoCore是一种针对Windows操作系统用户的远程访问木马,于2013年首次在野外发现。所有版本的RAT都包含基本插件和功能,例如屏幕捕获、加密货币挖掘、远程控制桌面和网络摄像头会话盗窃。↑Ramnit–Ramnit是一种模块化银行木马程序,于2010年首次被发现。Ramnit窃取网络会话信息,使其运营商能够窃取受害者使用的所有服务的帐户凭据,包括银行帐户、企业和社交网络帐户。该木马使用硬编码域以及DGA(域生成算法)生成的域来联系C&C服务器并下载其他模块。↑Remcos–Remcos是一种RAT,于2016年首次在野外被发现。Remcos通过附加到垃圾邮件的恶意MicrosoftOffice文档进行自我分发,旨在绕过MicrosoftWindows的UAC安全并以高级权限执行恶意软件。↑Glupteba–Glupteba是一个后门,自2011年以来已经发展成为僵尸网络。截至2019年,它包括通过公共比特币列表的C&C地址更新机制、集成的浏览器窃取程序功能和路由器漏洞利用。↓AgentTesla–AgentTesla是一种高级RAT,充当键盘记录器和信息窃取器,能够监视和收集受害者的击键、系统击键、屏幕截图,并将凭证泄露给安装在受害者机器上的各种软件(包括GoogleChrome、MozillaFirefox和MicrosoftOutlook电子邮件客户端)。↓Phorpiex–Phorpiex是一个自2010年以来一直活跃的僵尸网络(又名Trik),在高峰期控制着超过一百万台受感染的主机。它以通过垃圾邮件活动分发其他恶意软件系列以及促进大规模垃圾邮件和性勒索活动而闻名。世界上受攻击最严重的行业上个月,教育/研究仍然是世界上受攻击最严重的行业,其次是政府/军事,然后是医疗保健。教育/研究政府/军队医疗保健最常被利用的漏洞12月,“Web服务器暴露的Git存储库信息泄露”是最常被利用的漏洞,影响了全球46%的组织,其次是“Web服务器恶意URL目录遍历”,影响了44%的组织全球范围内受到影响。“HTTP命令注入”是第三大最常用漏洞,全球影响为43%。可能导致帐户信息无意泄露。↓Web服务器恶意URL目录遍历(CVE-2010-4598、CVE-2011-2474、CVE-2014-0130、CVE-2014-0780、CVE-2015-0666、CVE-2015-4068、CVE-2015-7254、CVE-2016-4523、CVE-2016-8530、CVE-2017-11512、CVE-2018-3948、CVE-2018-3949、CVE-2019-18952、CVE-2020-5410,CVE-2020-8260)–是一个目录遍历漏洞各种网络服务器上都存在这种可能性。该漏洞是由于Web服务器中的输入验证错误导致的,该错误未针对目录遍历模式正确清理URI。成功的利用可能允许未经身份验证的远程攻击者泄露或访问易受攻击的服务器上的任意文件。↑通过HTTP的命令注入(CVE-2021-43936、CVE-2022-24086)——已报告通过HTTP的命令注入漏洞。远程攻击者可以通过向受害者发送特制请求来利用此问题。成功的利用将允许攻击者在目标机器上执行任意代码。↓HTTP标头远程代码执行(CVE-2020-10826、CVE-2020-10827、CVE-2020-10828、CVE-2020-13756)-HTTP标头允许客户端和服务器通过HTTP请求传递附加信息。远程攻击者可以使用易受攻击的HTTP标头在受害计算机上运行任意代码。↑MVPowerDVR远程代码执行——MVPowerDVR设备中存在远程代码执行漏洞。远程攻击者可以利用此弱点通过精心设计的请求在受影响的路由器中执行任意代码。↓DasanGPON路由器身份验证绕过(CVE-2018-10561)–DasanGPON路由器中存在身份验证绕过漏洞。成功利用此漏洞可能允许远程攻击者获取敏感信息并获得对受影响系统的未授权访问权限。?PHP复活节彩蛋信息泄露–PHP页面中报告了一个信息泄露漏洞。该漏洞是由于不正确的Web服务器配置造成的。远程攻击者可以通过向受影响的PHP页面发送特制URL来利用此漏洞。↑MicrosoftWindowsHTTP.sys远程代码执行(MS15-034:CVE-2015-1635)——某些版本的MicrosoftWindowsOP中的HTTP.sys漏洞被追踪为CVE-2015-1635。成功的利用将允许威胁参与者执行任意HTTP请求,导致缓冲区溢出,并可能获得SYSTEM权限。↓WordPressportable-phpMyAdmin插件身份验证绕过(CVE-2012-5469)–WordPressportable-phpMyAdmin插件中存在身份验证绕过漏洞。成功利用此漏洞可能允许远程攻击者获取敏感信息并获得对受影响系统的未授权访问权限。↓PHPUnit命令注入(CVE-2017-9841)–PHPUnit中存在一个命令注入漏洞。成功利用此漏洞将允许远程攻击者在受影响的系统上执行任意命令。顶级移动恶意软件上个月,Anubis仍然是最流行的移动恶意软件,其次是Hiddad和AlienBot。Anubis–Anubis是一种专为Android手机设计的银行木马恶意软件。自最初被发现以来,它已经获得了额外的功能,包括远程访问特洛伊木马(RAT)功能、键盘记录器和记录功能以及各种勒索软件功能。已在Google商店中提供的数百种不同应用程序中检测到它。Hiddad–Hiddad是一种Android恶意软件,它会在将合法应用程序分发到第三方商店之前重新打包它们。它的主要功能是显示广告,但它也可以访问操作系统内置的关键安全细节。AlienBot–AlienBot是一种适用于Android的银行木马,作为恶意软件即服务(MaaS)在地下销售。它支持键盘记录、用于凭据盗窃的动态覆盖以及用于绕过2FA的SMS收集。使用TeamViewer模块提供额外的远程控制功能。
