今年,微软修补 CVE漏洞总数达到887 个,较 2020 年减少了 29%。就12 月份来说,微软发布了针对Microsoft Windows 和 Windows 组件、ASP.NETCore 和 Visual Studio、Azure BotFramework SDK、Internet Storage Name Service、Defender for IoT、Edge(基于 Chromium)、Microsoft Office 和Office 组件、SharePoint Server、PowerShell、远程桌面客户端、Windows Hyper-V、Windows Mobile 设备管理、Windows 远程访问连接管理器、TCP/IP 和 Windows 更新堆栈的67个漏洞发布安全补丁。结合本月早些时候 Microsoft Edge(基于 Chromium)修补的 16 个漏洞补丁, 12 月的 CVE 漏洞总数达到 83 个。另外,网络安全从业人员,都更加会关注CVE-2021-44228:Log4Shell(Log4j)这个漏洞,它甚至称为史诗级漏洞。国外安全网站,这么去形容它的影响:除非你一直闭着眼睛躲在岩石下,用手捂住耳朵,否则你应该听说过最近披露的 Java 日志库中一个名为Apache Log4j 的漏洞。。
通过CheckPoint研究,最新的 2021 年 11 月全球威胁指数显示,虽然 Trickbot 仍然位居最流行的恶意软件列表的首位,影响了全球抽样的5% 组织,但最近死灰复燃的 Emotet 重新回到指数中的第七位。同时,研究表明受攻击最多的行业是教育/研究。这点和国内的情况,保持一致。
尽管今年早些时候欧洲刑警组织合力打击 Emotet ,使其暂时偃旗息鼓而付出了巨大努力,但这个臭名昭著的僵尸网络已被确认在 11 月之前复燃,并且排在了CheckPoint威胁排名第七大最常用的恶意软件。而Trickbot 本月是第六次位居该指数榜首,甚至与 Emotet 的新变种有关,该变种使用 Trickbot 的基础设施安装在受感染的机器上。
Emotet 通过网络钓鱼电子邮件传播的,其中包含受感染的 Word、Excel 和 Zip 文件,这些文件将 Emotet 部署在受害主机上。最近,Emotet 还开始通过伪装成 Adobe 软件的恶意 Windows 应用安装程序包进行分发传播。
Emotet 是网络历史上最成功的僵尸网络之一,是近年来有针对性的勒索软件攻击爆炸式增长的罪魁祸首。僵尸网络在 11 月的卷土重来非常令人担忧,可能会导致此类攻击的进一步增加。它利用 Trickbot 的基础设施,缩短了 Emotet 在全球网络中建立足够重要的立足点所需的时间。
Web 服务器恶意 URL 目录遍历漏洞仍然是最常被利用的漏洞,影响了全球抽样 44% 的组织,其次是Web 服务器暴露的 Git 存储库信息泄露,影响了全球 抽样43.7% 的组织。HTTP Headers Remote Code Execution在最常被利用的漏洞列表中排名第三,全球抽样影响为42%。
2021年11月“十恶不赦”
*箭头表示与上个月相比的排名变化。
11月,Trickbot是最流行的恶意软件,影响了全球抽样 5% 的组织,其次是Agent Tesla和Formbook,两者的全球抽样影响均为 4%。
↔Trickbot – Trickbot 是一个模块化的僵尸网络和银行木马,不断更新新的功能、特性和分发向量。这使 Trickbot 成为一种灵活且可定制的恶意软件,可以作为多用途活动的一部分进行分发。
↑ Agent Tesla – Agent Tesla 是一种先进的 RAT,用作键盘记录器和信息窃取器,能够监视和收集受害者的键盘输入、系统键盘、截屏,并将凭据泄露到安装在受害者机器上的各种软件中(包括 Google Chrome、Mozilla Firefox 和 Microsoft Outlook。)
↑ Formbook – Formbook 是一个 InfoStealer,可以从各种 Web 浏览器中收集凭据,收集屏幕截图、监控和记录击键,并且可以根据其 C&C 命令下载和执行文件。
Glupteba – Glupteba 是一个逐渐成熟为僵尸网络的后门。到 2019 年,它包括通过公共比特币列表的 C&C 地址更新机制、集成的浏览器窃取器功能和路由器开发器。
↓ Remcos – Remcos 是一种 RAT,于 2016 年首次出现在野外。Remcos 通过附加到垃圾邮件的恶意 Microsoft Office 文档进行自我分发,旨在绕过 Microsoft Windows UAC 安全并以高级权限执行恶意软件。
↓ XMRig – XMRig 是一种开源 CPU 挖掘软件,用于门罗币加密货币的挖掘过程,于 2017 年 5 月首次出现在野外。
↑ Emotet – Emotet 是一种先进的、自我传播的、模块化的木马。Emotet 曾经被用作银行木马,最近被用作其他恶意软件或恶意活动的分发者。它使用多种方法来保持持久性和规避技术来避免检测。此外,它还可以通过包含恶意附件或链接的网络钓鱼垃圾邮件进行传播。
↓ Ramnit – Ramnit 是一种银行木马,可窃取银行凭据、FTP 密码、会话 cookie 和个人数据。
↑ Floxif – Floxif 是一个信息窃取器和后门,专为 Windows 操作系统设计。它在 2017 年被用作大规模攻击活动的一部分,攻击者将 Floxif(和 Nyetya)插入到 CCleaner(一种清理实用程序)的免费版本中,从而感染了超过 200 万用户,其中包括谷歌等大型科技公司,微软、思科和英特尔。
↑ Vidar – Vidar 是一种针对 Windows 操作系统的信息窃取程序。它于 2018 年底首次被发现,旨在从各种网络浏览器和数字钱包窃取密码、信用卡数据和其他敏感信息。Vidar 已在各种在线论坛上出售,并用作恶意软件投放器,下载 GandCrab 勒索软件作为其辅助负载。
全球受攻击最多的行业:本月,教育/研究是全球受攻击最多的行业,其次是通信和政府/军事。
- 教育/研究
- 通讯
- 政府/军队
11月份漏洞Top10
11月,Web 服务器恶意 URL 目录遍历仍然是最常被利用的漏洞,影响了全球抽样44% 的组织,其次是Web 服务器暴露的 Git 存储库信息泄露,影响了全球抽样43.7% 的组织。HTTP Headers Remote Code Execution在最常被利用的漏洞列表中排名第三,全球抽样影响为42%。
↔Web 服务器恶意 URL 目录遍历(CVE-2010-4598、CVE-2011-2474、CVE-2014-0130、CVE-2014-0780、CVE-2015-0666、CVE-2015-4061-2474、CVE-2014-0130、CVE-2015-4068、CVE-204 CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-200) - 820是不同网络服务器上的目录遍历漏洞。该漏洞是由于 Web 服务器中的输入验证错误导致的,该错误未正确清理目录遍历模式的 URL。成功利用允许未经身份验证的远程攻击者披露或访问易受攻击的服务器上的任意文件。
↔Web Server Exposed Git Repository Information Disclosure - Git Repository 中报告了一个信息泄露漏洞。成功利用此漏洞可能会无意中泄露账户信息。
↔ HTTP 标头远程代码执行(CVE-2020-10826、CVE-2020-10827、CVE-2020-10828、CVE-2020-13756) ——HTTP 标头让客户端和服务器通过 HTTP 请求传递附加信息。远程攻击者可能会使用易受攻击的 HTTP 标头在受害机器上运行任意代码。
↑ MVPower DVR 远程代码执行– MVPower DVR 设备中存在远程代码执行漏洞。远程攻击者可以利用此弱点通过精心设计的请求在受影响的路由器中执行任意代码。
↓ Dasan GPON Router Authentication Bypass (CVE-2018-10561) – Dasan GPON 路由器中存在一个认证绕过漏洞。成功利用此漏洞将允许远程攻击者获取敏感信息并未经授权访问受影响的系统。
↑ Apache HTTP Server 目录遍历 (CVE-2021-41773,CVE-2021-42013 ) – Apache HTTP Server 中存在目录遍历漏洞。成功利用此漏洞可能允许攻击者访问受影响系统上的任意文件。
↔ 基于 HTTP 的命令注入 (CVE-2013-6719,CVE-2013-6720) – 已经报告了基于 HTTP 的命令注入漏洞。远程攻击者可以通过向受害者发送特制的请求来利用此问题。成功的利用将允许攻击者在目标机器上执行任意代码。
↓ Apache Struts2 Content-Type Remote Code Execution (CVE-2017-5638,CVE-2017-5638,CVE-2019-0230) –使用 Jakarta 多部分解析器的 Apache Struts2 中存在远程代码执行漏洞。攻击者可以通过发送无效的内容类型作为文件上传请求的一部分来利用此漏洞。成功利用可能会导致在受影响的系统上执行任意代码。
↔OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160,CVE-2014-0346) – OpenSSL 中存在信息泄露漏洞。该漏洞,又名 Heartbleed,是由于处理 TLS/DTLS 心跳包时出现错误造成的。攻击者可以利用此漏洞来泄露连接的客户端或服务器的内存内容。
↑ NoneCMS ThinkPHP 远程代码执行(CVE-2018-20062) ——NoneCMS ThinkPHP 框架中存在远程代码执行漏洞。成功利用此漏洞可能允许远程攻击者在受影响的系统上执行任意代码。
顶级移动恶意软件
11月,AlienBot 在最流行的移动恶意软件中排名第一,其次是 xHelper 和 FluBot。
AlienBot – AlienBot 恶意软件系列是一种适用于 Android 设备的恶意软件即服务 (MaaS),允许远程攻击者作为第一步,将恶意代码注入合法的金融应用程序中。攻击者可以访问受害者的帐户,并最终完全控制他们的设备。
xHelper – 自 2019 年 3 月以来在野外发现的恶意应用程序,用于下载其他恶意应用程序并显示广告。该应用程序能够对用户隐藏自己,甚至可以在卸载时重新安装。
FluBot – FluBot 是一种 Android 僵尸网络,通过网络钓鱼 SMS 消息分发,通常冒充物流配送品牌。一旦用户单击消息中的链接,FluBot 就会安装并访问手机上的所有敏感信息。
