2021年12月是一年的最后一个月。我们在讨论这个话题的时候,经常会用微软本月的漏洞情况作为介绍。例外。让我们先从微软的PatchTuesday的情况说起,然后讨论CheckPoint每个月总结的Top10恶意软件。微软在2022年的第一期漏洞修复中针对其生态系统中的98个安全漏洞发布了安全补丁,涵盖了一系列微软产品组合,包括MicrosoftWindows和Windows组件、ExchangeServer、MicrosoftOffice和Office组件、SharePointServer、.NET框架、MicrosoftDynamics、开源软件、WindowsHyper-V、WindowsDefender和Windows远程桌面协议(RDP)。至于恶意软件,Trickbot仍然是最流行的恶意软件,尽管在全球4%的样本组织中受到的影响略小(11月为5%),最近Emotet的复苏从第七位迅速上升到第二位。在漏洞方面,史诗级漏洞ApacheLog4j远程代码执行是被利用最多的漏洞,影响了全球48.3%的样本组织。该漏洞于12月9日首次在Apache日志包Log4j中报告,Log4j是许多互联网服务和应用程序中使用的最流行的Java日志库,其GitHub项目的下载量超过400,000次。该漏洞引发了网络安全行业的地震,在短时间内影响了全球近一半的组织。攻击者能够利用易受攻击的应用程序在受感染的服务器上执行加密劫持程序和其他恶意软件。到目前为止,大多数攻击都集中在以牺牲受害者为代价的加密货币挖掘的使用上,但是,高级攻击者已经开始采取积极的行动并利用高质量目标的危害。Log4j在12月成为网络安全行业的绝对头条新闻,是历史上最严重的漏洞之一,并且由于修补的复杂性和易于利用,可能会在未来许多年与我们同在。教育/研究是全球受攻击最严重的行业,其次是政府/军队和ISP/MSP。ApacheLog4j远程代码执行是最常被利用的漏洞,影响了全球48.3%的样本组织,其次是Web服务器暴露的Git存储库的信息泄露,影响了全球43.8%的样本组织。HTTP标头远程代码执行在最常被利用的漏洞列表中排名第三,全球样本影响率为41.5%。2021年12月“十恶不赦”*箭头表示与上个月相比的排名变化。Trickbot是本月最流行的恶意软件,影响了全球4%的样本组织,其次是Emotet和Formbook,两者都影响了全球样本的3%。?Trickbot–Trickbot是一种模块化的僵尸网络和银行木马,不断更新新功能、特性和分发向量,使Trickbot成为一种灵活且可自定义的恶意软件,可以作为多用途活动的一部分进行分发。↑Emotet–Emotet是一种先进的、自我传播的模块化木马。Emotet曾被用作银行木马,但最近被用作其他恶意软件或恶意活动的传播者。使用多种方法来保持持久性和规避技术以避免被发现。此外,它还可以通过包含恶意附件或链接的网络钓鱼垃圾邮件进行传播。↑Formbook–Formbook是一个InfoStealer,它从各种Web浏览器获取凭证、收集屏幕截图、监控和记录击键,并可以根据其C&C命令下载和执行文件。?AgentTesla–AgentTesla是一种高级RAT,充当键盘记录器和信息窃取器,能够监视和收集受害者的击键、系统击键、截取屏幕截图并将凭据泄露到各种软件(包括GoogleChrome、MozillaFirefox和MicrosoftOutlook电子邮件客户端)).↓Glupteba–Glupteba是一个已经发展成为僵尸网络的后门。截至2019年,它包括一个通过公共比特币列表的C&C地址更新机制、一个完整的浏览器窃取程序和一个路由器漏洞。↓Remcos–Remcos是一种RAT,于2016年首次出现。Remcos通过附加在垃圾邮件中的恶意MicrosoftOffice文档传播,旨在绕过MicrosoftWindowsUAC安全并以提升的权限执行恶意软件。↓XMRig–XMRig是一种开源的CPU挖矿软件,用于Monero加密货币的挖矿过程,于2017年5月首次出现在野外。?Ramnit-Ramnit是一种银行木马,可以窃取银行凭证、FTP密码、会话cookie和个人数据。↑Dridex–Dridex是一种针对Windows平台的银行木马,被垃圾邮件活动和利用工具包观察到,它依赖于WebInjects来拦截银行凭证并将它们重定向到攻击者控制的服务器。Dridex联系远程服务器,发送有关受感染系统的信息,还可以下载和执行其他模块以进行远程控制。↑Phorpiex–Phorpiex是一个僵尸网络(又名Trik),自2010年以来一直控制着超过一百万台受感染的主机。以通过垃圾邮件活动传播其他恶意软件系列以及促进大规模垃圾邮件和性勒索活动而闻名。全球受攻击最严重的行业:本月,教育/研究是全球受攻击最严重的行业,其次是政府/军队和ISP/MSP。教育/科研政府/军事ISP/MSP12月Top10漏洞本月,“ApacheLog4j远程执行代码”是最常被利用的漏洞,影响了全球48.3%的样本组织,其次是Web服务器暴露的Git存储库信息泄漏,影响了全球43.8%的抽样组织。HTTP标头远程代码执行在最常被利用的漏洞列表中排名第三,影响了全球41.5%的样本。↑ApacheLog4j远程代码执行(CVE-2021-44228)–ApacheLog4j中存在远程代码执行漏洞。成功利用此漏洞可能允许远程攻击者在受影响的系统上执行任意代码。?Web服务器暴露的Git存储库信息泄露-Git存储库中报告了一个信息泄露漏洞。成功利用此漏洞可能会无意中泄露帐户信息。?HTTP标头远程代码执行(CVE-2020-10826、CVE-2020-10827、CVE-2020-10828、CVE-2020-13756)-HTTP标头允许客户端和服务器通过通过HTTP请求的附加信息。远程攻击者可以使用易受攻击的HTTP标头在受害计算机上运行任意代码。↓Web服务器恶意URL目录遍历(CVE-2010-4598、CVE-2011-2474、CVE-2014-0130、CVE-2014-0780、CVE-2015-0666、CVE-2015-4068、CVE-2015-7254、CVE-2016-4523、CVE-2016-8530、CVE-2017-11512、CVE-2018-3948、CVE-2018-3949、CVE-2019-18952、CVE-2020-5410、CVE-2020-8260)——那里各种Web服务器上存在目录遍历漏洞。该漏洞是由于Web服务器中的输入验证错误导致的,该错误未针对目录遍历模式正确清理URL。成功的利用可能允许未经身份验证的远程攻击者泄露或访问易受攻击的服务器上的任意文件。↓MVPowerDVR远程代码执行–MVPowerDVR设备中存在远程代码执行漏洞。远程攻击者可以利用此弱点通过精心设计的请求在受影响的路由器中执行任意代码。↓DasanGPON路由器身份验证绕过(CVE-2018-10561)–DasanGPON路由器中存在身份验证绕过漏洞。成功利用此漏洞可能允许远程攻击者获取敏感信息并未经授权访问受影响的系统。↑D-LINK多产品远程代码执行(CVE-2015-2051)-多个D-Link产品中报告了远程代码执行漏洞。成功利用可能导致在易受攻击的设备上执行任意代码。↓ApacheHTTP服务器目录遍历(CVE-2021-41773、CVE-2021-42013)——ApacheHTTP服务器中存在一个目录遍历漏洞。成功利用此漏洞可能允许攻击者访问受影响系统上的任意文件。↓通过HTTP的命令注入(CVE-2013-6719、CVE-2013-6720)——报告了通过HTTP的命令注入漏洞。远程攻击者可以通过向受害者发送特制请求来利用此问题。成功的利用将允许攻击者在目标机器上执行任意代码。↑PHP复活节彩蛋泄露-PHP页面中报告了一个泄露漏洞。该漏洞是由于不正确的Web服务器配置造成的。远程攻击者可以通过向受影响的PHP页面发送特制URL来利用此漏洞。热门移动恶意软件本月,AlienBot是排名第一的最流行的移动恶意软件,其次是xHelper和FluBot。AlienBot–AlienBot恶意软件系列是针对Android设备的恶意软件即服务(MaaS),允许远程攻击者首先将恶意代码注入合法的金融应用程序。攻击者可以访问受害者的帐户并最终完全控制他们的设备。xHelper–自2019年3月以来在野的恶意应用程序,用于下载其他恶意应用程序并显示广告。该应用程序能够对用户隐藏自身,甚至在卸载后重新安装。FluBot–FluBot是一个通过钓鱼短信传播的Android僵尸网络,通常冒充物流配送品牌。一旦用户点击消息中的链接,FluBot就会安装并访问手机上的所有敏感信息。
