惡意軟件之“十惡不赦”排行榜
(“十惡不赦”中的“十”在我們常規使用過程中多是個虛指,在我們此文中就做實指用。為了突出表達對惡意軟件的態度,信手拈來,于此釋之。)
從國外安全廠商Check Point提供信息了解到,最新全球威脅指數顯示遠程訪問木馬(RAT)越來越突出,而對惡意加密惡魔軟件的加密繼續在排名中占主導地位。
威脅情報研究人員首次發現遠程訪問木馬(RAT)已進入全球威脅指數的前10名。名為“FlawedAmmyy”,此類型的攻擊允許攻擊者遠程控制受害者的機器以獲得完全訪問權限,可以控制遠程機器的攝像頭和麥克風,收集抓取屏幕,竊取登錄憑據和敏感文件,以及侵犯性地監控受害者的行為。
Coinhive仍然是高居該指標的惡意軟件之榜首,全球影響力占被統計設備的18%,而Cryptoloot已經上升到名列第二,影響全球被統計設備的8%的組織。密碼竊取管理器仍然是主要威脅,針對用戶數據的系列惡意軟件表明登錄憑據,敏感文件,銀行和支付信息等并未失去對網絡罪犯的有利可圖的吸引力。
2018年10月“十惡不赦”:
*箭頭與上個月的排名變化有關。
1. ↔Coinhive - Cryptominer,用于在用戶訪問網頁時執行Monero加密貨幣的在線挖掘,在用戶不知情的情況下通過挖掘門羅幣獲得收入利潤。植入的JavaScript使用用戶機器的大量算力來挖掘加密貨幣,并可能致使系統崩潰。
2. ↑ Cryptoloot - Cryptominer,利用受害者的CPU或GPU功率和現有的資源開采加密的區塊鏈和發布新的加密貨幣,是Coinhive的有力競爭對手,已從上月的第三名上升到本月的第二名,著實有點恐怖。
3. ↓基于Dorkbot -IRC-是一種基于IRC設計的蠕蟲,可以以操作員執行遠程代碼,以及下載其他惡意軟件到被感染的機器。是一個銀行木馬,其主要動機是竊取敏感信息并可以發起拒絕服務攻擊,本月影響程度較上月有所下降,由上月第二名下降為第三名。
4. ↑Roughted -大規模攻擊各種網站和有效負載,以提供用于惡意廣告傳播,如詐騙廣告軟件,漏洞利用工具包和勒索軟件。可用于攻擊任何類型的平臺和操作系統,并可以繞過廣告攔截軟件和指紋識別,以確保其進行最有效的相關攻擊。本月影響有所上升,較上月上升兩個名次。
5. ↓Andromeda - Modularbot是一款模塊化僵尸程序,主要用作后門。在受感染的主機上,可以修改以創建不同類型的僵尸網絡,運行其他的惡意軟件。
6. ↓Jsecoin -可以嵌入網站的JavaScript礦工。使用JSEcoin,可以直接在瀏覽器中運行礦工,以換取無廣告體驗,游戲內貨幣和其他獎勵。
7. ↑XMRig -XMRig-是一種開源利用CPU進行挖掘惡意軟件,用于挖掘Monero加密貨幣,并于2017年5月首次被發現。
8. ↓Ramnit- BankingTrojan是一款能夠竊取銀行憑據,FTP密碼,會話cookie和個人數據的銀行特洛伊木馬。
9. ↔Conficker-允許遠程操作和惡意軟件下載的蠕蟲。受感染的計算機由僵尸網絡控制,僵尸網絡與其命令和控制服務器聯系以接收指令。
10.↑ FlawedAmmyyRAT -遠程訪問木馬(RAT),是自 “Ammyy Admin”的遠程管理軟件泄漏的源代碼開發而成的。該木馬已被用于高度針對性的電子郵件攻擊以及大規模垃圾郵件活動,并實現了常見的后門功能,允許攻擊者管理文件,捕獲屏幕,遠程控制受害者的機器,建立RDPSessionsService等。
Triada是Android的模塊化后門,在統計的移動惡意軟件列表中名列第一。它取代了Android銀行木馬和信息竊取者Lokibot,后者已跌至第二位。Hiddad作為本月第三大的移動惡意軟件已經重返榜單。
十月份三大移動惡意軟件:
1. Triada - Android的模塊化后門,為下載的惡意軟件授予超級用戶權限,便于其嵌入到系統進程中。Triada也被視為欺騙瀏覽器中加載的URL的工具。
2. Lokibot - Android銀行木馬和信息竊取程序,同時可能作為一個勒索軟件出現以鎖定手機,防止用戶以管理員權限刪除。
3. Hiddad - Android惡意軟件,重新打包偽裝成合法應用程序,然后將其發布到第三方商店。主要功能是惡意發布廣告,也能夠訪問操作系統內的關鍵安全細節,允許攻擊者獲取敏感的用戶數據。
同時安全研究人員還分析了最易受利用的漏洞。CVE-2017-7269再次成為最易成為漏洞列表的首位,占全球被統計數量的48%的組織受到影響。排在第二位的是OpenSSL TLS DTLSHeartbeat信息披露,占全球被統計數量46%的組織受到影響,其次是Web服務器PHPMyAdmin錯誤配置代碼注入影響了42%的組織。
10月份最易利用的三大漏洞:
1. ↔MicrosoftIIS WebDAVScStoragePathFromUrl緩沖區溢出(CVE-2017-7269) - 通過Microsoft Internet Information Services6.0通過網絡向Microsoft Windows Server 2003 R2發送精心設計的請求,遠程攻擊者可以執行任意代碼或導致拒絕服務條件在目標服務器上。這主要是由于HTTP請求中對長報頭的不正確驗證導致的緩沖區溢出漏洞。
2. ↑OpenSSL TLS DTLS心跳信息泄露(CVE-2014-0160; CVE-2014-0346) -由于處理TLS / DTLS心跳包時出錯,OpenSSL中存在信息泄露漏洞。攻擊者可以利用此漏洞披露已連接客戶端或服務器的內存內容。
3. ↑Web服務器PHPMyAdmin錯誤配置代碼注入 -PHPMyAdmin中已報告代碼注入漏洞。該漏洞是由于PHPMyAdmin配置錯誤造成的。遠程攻擊者可以通過向目標發送特制的HTTP請求來利用此漏洞。
