十二月份惡意軟件之“十惡不赦”排行榜
時光荏苒,2018年瞬息而逝,在2018年的最后一個月份里,國外安全公司的研究人員發現, SmokeLoader在12月份躋身“十惡不赦”惡意軟件名單。其作用主要用于加載其他惡意軟件,如TrickbotBanker,AZORult Infostealer和PandaBanker,自2011年以來,研究人員已經關注此程序,在通過兩次活動激增后,去年12月首次進入前10名。
盡管2018年所有加密貨幣的價格普遍下降,顯現出了加密貨幣的泡沫屬性,但惡意加密軟件仍占前10名中名額的一半之多,占據了前4名。Coinhive 連續13 個月雄踞被統計惡意軟件的第一位,全球近12%的組織受其影響。Emotet是一個用作惡意軟件分銷的高級木馬,此次躍升至第五位,而Ramnit則是一種竊取登錄憑據和其他敏感數據的銀行木馬,本月在第8位重回前10名。
2018年12月“十惡不赦”:
*箭頭與上個月的排名變化有關。
1. ↔Coinhive- Cryptominer,用于在用戶訪問網頁時執行Monero加密貨幣的在線挖掘,在用戶不知情的情況下通過挖掘門羅幣獲得收入,植入的JavaScript使用用戶機器的大量算力來挖掘加密貨幣,并可能致使系統崩潰。
2. ↑XMRig - XMRig -是一種開源利用CPU進行挖掘惡意軟件,用于挖掘Monero加密貨幣,并于2017年5月首次被發現。
3. ↑ Jsecoin - 可以嵌入網站的JavaScript礦工。使用JSEcoin,可以直接在瀏覽器中運行礦工,以換取無廣告體驗,游戲內貨幣和其他獎勵。
4. ↓ Cryptoloot- Cryptominer,使用受害者的CPU或GPU電源和現有的資源開采加密的區塊鏈和發掘新的機密貨幣,是Coinhive的有力競爭對手,本月較上月下跌二個名次,獲得的第四名地位。。
5. ↑ Emotet - 自我傳播和高級模塊化的木馬。Emotet曾經被用作銀行木馬,最近被用作其他惡意軟件或惡意廣告的分銷商。它使用多種方法來維護持久性和規避技術以避免檢測。此外,它還可以通過包含惡意附件或鏈接的網絡釣魚垃圾郵件進行傳播。
6. ↑Nivdort - 多用途機器人,也稱為Bayrob,用于收集密碼,修改系統設置和下載其他惡意軟件。它通常通過垃圾郵件傳播,其中收件人地址以二進制文件編碼,從而使每個文件都具有唯一性。
7. ↓Dorkbot- IRC-是一種基于IRC設計的蠕蟲,可以以操作員執行遠程代碼,以及下載其他惡意軟件到被感染的機器。是一個銀行木馬,其主要動機是竊取敏感信息并可以發起拒絕服務攻擊,本月影響程度較上月有所下降,由上月第五名下降為第七名。
8. ↑ Ramnit - 是一款能夠竊取銀行憑據,FTP密碼,會話cookie和個人數據的銀行特洛伊木馬。
9. ↑Smokeloader - Windows的第二階段下載器,用于下載其他惡意軟件或其他插件。Smokeloader使用各種反分析技巧,用于欺騙和自我保護。Smokeloader通常用于加載許多已知的家族,包括Trickbot木馬,Azorult infostealer和Panda等。
10. ↑Authedmine –是一款臭名昭著的JavaScript礦工CoinHive變異版本。與CoinHive類似,Authedmine是一個基于Web的加密挖掘器,用于在用戶訪問網頁時執行Monero加密貨幣的在線挖掘,Authedmine是在運行挖掘腳本之前要求網站用戶明確同意的。
Triada是Android的模塊化后門,在頂級移動惡意軟件列表中排名第一。Geurilla已經攀升至第二位,取代了Hiddad。與此同時,Lotoor已經取代Android銀行木馬和信息竊取者Lokibot排名第三。
12月份的三大移動惡意軟件:
1. Triada - Android的模塊化后門,為下載的惡意軟件授予超級用戶權限,有助于它嵌入到系統進程中。Triada也被視為欺騙瀏覽器中加載的URL。
2. Guerilla - Android廣告點擊工具,能夠與遠程命令和控制(C&C)服務器通信,下載其他惡意插件,并在未經用戶同意或不知情的情況下執行激進的廣告點擊。
3. Lotoor - Hack工具利用Android操作系統上的漏洞獲取受感染移動設備的root權限。
CheckPoint的研究人員還分析了最受利用的網絡漏洞。保持第一名的是CVE-2017-7269,其全球影響力也略微上升至49%,而11月為47%。排在第二位的是OpenSSL TLS DTLS心跳信息披露,全球影響力為42%,緊隨其后的是PHPMyAdmin錯誤配置代碼注入,影響力為41%。
12月份的三大漏洞:
1. ↔MicrosoftIIS WebDAVScStoragePathFromUrl緩沖區溢出(CVE-2017-7269) - 通過MicrosoftInternet Information Services 6.0通過網絡向Microsoft WindowsServer 2003 R2發送精心設計的請求,遠程攻擊者可以執行任意代碼或導致拒絕服務條件在目標服務器上。這主要是由于HTTP請求中對長報頭的不正確驗證導致的緩沖區溢出漏洞。
2. ↔ OpenSSL的TLS DTLS心跳信息泄露(CVE-2014-0160; CVE-2014-0346) -一個信息泄露漏洞存在于OpenSSL的。該漏洞是由于處理TLS / DTLS心跳包時出錯。攻擊者可以利用此漏洞披露已連接客戶端或服務器的內存內容。
3. ↑ Web服務器PHPMyAdmin錯誤配置代碼注入 - PHPMyAdmin中已報告代碼注入漏洞。該漏洞是由于PHPMyAdmin配置錯誤造成的。遠程攻擊者可以通過向目標發送特制的HTTP請求來利用此漏洞。
