2023年5月份惡意軟件之“十惡不赦”排行榜
GuLoader 是網絡犯罪分子用來逃避防病毒檢測的最著名的下載程序之一。經過三年多的活動和持續開發,最新版本采用了一種技術來替換合法進程中的代碼,使其能夠逃避進程監控安全工具的檢測。通過使用 VBScript 從云端下載加密的 shellcode,受害者會收到一個不太可疑的文件,從而降低觸發警報的可能性。使用加密、原始二進制格式以及與加載程序的分離使有效負載對防病毒軟件不可見,從而使威脅參與者能夠繞過防病毒保護并利用 Google Drive 進行存儲。在某些情況下,這些惡意負載可能會長時間保持活動狀態。
上個月還看到 Qbot 和 Anubis 在各自的名單上排名第一。盡管努力通過阻止 Office 文件中的宏來減緩惡意軟件的傳播,但 Qbot 運營商已迅速調整其傳播和交付。近期被曝利用Windows 10寫字板程序中的動態鏈接庫(DLL)劫持漏洞感染計算機。
我們經常看到網絡犯罪分子利用公眾可用的工具來存儲和傳播惡意軟件活動。我們不能再盲目地相信我們使用的服務將是完全安全的,無論來源多么值得信賴。這就是為什么我們需要了解可疑活動是什么樣子的原因。除非您確認請求合法且沒有惡意,否則請勿透露個人信息或下載附件。
Web 服務器惡意 URL 目錄遍歷”是最常被利用的漏洞,影響了全球 49% 的組織,其次是Apache Log4j 遠程執行代碼,影響了全球 45% 的組織。HTTP 標頭遠程代碼執行是第三大最常使用的漏洞,全球影響為 44%。
2023年5月“十惡不赦”
*箭頭表示與上個月相比排名的變化。
Qbot是上個月最流行的惡意軟件,對全球組織的影響為 6%,其次是Formbook,全球影響為 5%,AgentTesla的全球影響為 3%。
- ↑ Qbot – Qbot AKA Qakbot 是一種多用途惡意軟件,首次出現于 2008 年。它旨在竊取用戶憑證、記錄擊鍵、從瀏覽器竊取 cookie、監視銀行活動以及部署其他惡意軟件。Qbot 通常通過垃圾郵件分發,它采用多種反虛擬機、反調試和反沙盒技術來阻礙分析和逃避檢測。從 2022 年開始,它成為最流行的木馬之一。
- ↑ Formbook – Formbook 是一種針對 Windows 操作系統的信息竊取程序,于 2016 年首次被發現。由于其強大的規避技術和相對較低的價格,它在地下黑客論壇中作為惡意軟件即服務 (MaaS) 進行銷售。FormBook 從各種網絡瀏覽器收集憑證、收集屏幕截圖、監控和記錄擊鍵,并可以根據其 C&C 的命令下載和執行文件。
- ↓ AgentTesla – AgentTesla 是一種高級 RAT,充當鍵盤記錄器和信息竊取器,能夠監視和收集受害者的鍵盤輸入、系統鍵盤、截取屏幕截圖,并將憑證泄露到安裝在受害者機器上的各種軟件(包括 Google Chrome、Mozilla Firefox 和 Microsoft Outlook 電子郵件客戶端)。
- ↑ GuLoader – GuLoader 是一款自 2019 年 12 月以來廣泛使用的下載器。GuLoader 首次出現時用于下載 Parallax RAT,但已應用于其他遠程訪問木馬和信息竊取程序,例如 Netwire、FormBook 和 Agent Tesla .
- ↓ Emotet – Emotet 是一種先進的、自我傳播的模塊化木馬。Emotet 曾被用作銀行木馬,最近被用作其他惡意軟件或惡意活動的分發者。它使用多種方法來保持持久性和規避技術來避免檢測。此外,它還可以通過包含惡意附件或鏈接的網絡釣魚垃圾郵件進行傳播。
- ? XMRig – XMRig 是用于挖掘 Monero 加密貨幣的開源 CPU 挖掘軟件。威脅行為者經常通過將其集成到他們的惡意軟件中來濫用這種開源軟件,從而在受害者的設備上進行非法挖掘。
- ↑ NJRat – NJRat 是一種遠程訪問木馬,主要針對中東的政府機構和組織。該木馬于 2012 年首次出現,具有多種功能:捕獲擊鍵、訪問受害者的攝像頭、竊取存儲在瀏覽器中的憑據、上傳和下載文件、執行進程和文件操作以及查看受害者的桌面。NJRat 通過網絡釣魚攻擊和路過式下載感染受害者,并在命令和控制服務器軟件的支持下通過受感染的 USB 密鑰或網絡驅動器進行傳播。
- ↑ Lokibot – LokiBot 于 2016 年 2 月首次被發現,是一種商品信息竊取程序,具有適用于 Windows 和 Android 操作系統的版本。它從各種應用程序、Web 瀏覽器、電子郵件客戶端、IT 管理工具(如 PuTTY 等)收集憑證。LokiBot 在黑客論壇上出售,據信其源代碼已泄露,因此出現了許多變體。自 2017 年底以來,某些 Android 版本的 LokiBot 除了信息竊取功能外還包含勒索軟件功能。
- ↓ NanoCore – NanoCore 是一種針對 Windows 操作系統用戶的遠程訪問木馬,于 2013 年首次在野外被發現。RAT 的所有版本都包含基本的插件和功能,例如屏幕捕獲、加密貨幣挖掘、遠程控制桌面和網絡攝像頭會話盜竊。
- ↓ Remcos – Remcos 是一種 RAT,于 2016 年首次出現。Remcos 通過附加在垃圾郵件中的惡意 Microsoft Office 文檔進行自我傳播,旨在繞過 Microsoft Windows UAC 安全并以高級權限執行惡意軟件。
全球受攻擊最多的行業
上個月,教育/研究仍然是全球最受剝削的行業,其次是政府/軍事和醫療保健。
- 教育/研究
- 政府/軍隊
- 衛生保健
最常被利用的漏洞
上個月,“Web 服務器惡意 URL 目錄遍歷”是最常被利用的漏洞,影響了全球49%的組織,其次是“Apache Log4j 遠程執行代碼”,影響了全球45%的組織。“HTTP 標頭遠程代碼執行”是第三大最常使用的漏洞,全球影響為44%。
- ? Web 服務器惡意 URL 目錄遍歷 –在不同的 Web 服務器上存在目錄遍歷漏洞。該漏洞是由于 Web 服務器中的輸入驗證錯誤導致的,該錯誤未正確清理目錄遍歷模式的 URI。成功的利用允許未經身份驗證的遠程攻擊者泄露或訪問易受攻擊的服務器上的任意文件。
- ? Apache Log4j 遠程代碼執行 (CVE-2021-44228) – Apache Log4j 中存在遠程代碼執行漏洞。成功利用此漏洞可能允許遠程攻擊者在受影響的系統上執行任意代碼。
- ? HTTP 標頭遠程代碼執行(CVE-2020-10826、CVE-2020-10827、CVE-2020-10828、CVE-2020-13756) ——HTTP 標頭讓客戶端和服務器通過 HTTP 請求傳遞附加信息。遠程攻擊者可能會使用易受攻擊的 HTTP 標頭在受害計算機上運行任意代碼。
- ↑ MVPower DVR 遠程代碼執行——MVPower DVR 設備中存在遠程代碼執行漏洞。遠程攻擊者可以利用此弱點通過精心設計的請求在受影響的路由器中執行任意代碼。
- ↑ Dasan GPON 路由器身份驗證繞過 (CVE-2018-10561) – Dasan GPON 路由器中存在身份驗證繞過漏洞。成功利用此漏洞將允許遠程攻擊者獲取敏感信息并獲得對受影響系統的未授權訪問。
- ↑ D-Link 多個產品遠程代碼執行 (CVE-2015-2051) – 多個 D-Link 產品中存在遠程代碼執行漏洞。成功利用此漏洞可能允許遠程攻擊者在受影響的系統上執行任意代碼。
- ↓ OpenSSL TLS DTLS 心跳信息泄露(CVE-2014-0160、CVE-2014-0346) ——OpenSSL TLS DTLS 心跳信息泄露。該漏洞又名 Heartbleed,是由于處理 TLS/DTLS 心跳數據包時出現錯誤造成的。攻擊者可以利用此漏洞泄露連接的客戶端或服務器的內存內容。
- ↓ HTTP 上的命令注入(CVE-2021-43936、CVE-2022-24086) ——已報告 HTTP 上的命令注入漏洞。遠程攻擊者可以通過向受害者發送特制請求來利用此問題。成功的利用將允許攻擊者在目標機器上執行任意代碼。
- ? PHP 復活節彩蛋信息泄露 (CVE-2015-2051) – PHP 頁面中報告了一個信息泄露漏洞。該漏洞是由于不正確的 Web 服務器配置造成的。遠程攻擊者可以通過向受影響的 PHP 頁面發送特制 URL 來利用此漏洞。
- ↑ F5 BIG-IP 遠程代碼執行 (CVE-2021-22986) – F5 BIG-IP 設備中存在遠程代碼執行漏洞。成功利用此漏洞可能允許遠程攻擊者在受影響的系統上執行任意代碼。
頂級移動惡意軟件
上個月,Anubis升至第一位,成為最流行的移動惡意軟件,其次是AhMyth和Hiddad。
- Anubis – Anubis 是一種專為 Android 手機設計的銀行木馬惡意軟件。自從最初被發現以來,它已經獲得了額外的功能,包括遠程訪問木馬 (RAT) 功能、鍵盤記錄器、錄音功能和各種勒索軟件功能。已在 Google 商店中提供的數百種不同應用程序中檢測到它。
- AhMyth – AhMyth 是一種遠程訪問木馬 (RAT),于 2017 年被發現。它通過可在應用商店和各種網站上找到的 Android 應用進行分發。當用戶安裝這些受感染的應用程序之一時,惡意軟件可以從設備收集敏感信息并執行鍵盤記錄、截屏、發送短信和激活相機等操作,這些操作通常用于竊取敏感信息。
- Hiddad – Hiddad 是一種 Android 惡意軟件,它會重新打包合法應用程序,然后將它們發布到第三方商店。它的主要功能是顯示廣告,但它也可以訪問操作系統內置的關鍵安全細節。
