2021年6月影响活跃恶意软件:Trickbot仍然位居榜首 – 作者:中科天齐软件安全中心

图片[1]-2021年6月影响活跃恶意软件:Trickbot仍然位居榜首 – 作者:中科天齐软件安全中心-安全小百科

最近,checkpoint统计了6月全球恶意软件威胁指数,显示Trickbot 仍然是最流行的恶意软件,曾在5月首次位居榜首。

Trickbot是一种僵尸网络和银行木马,可以窃取财务详细信息、帐户凭据和个人身份信息,并在网络中传播并投放勒索软件。上个月报告显示,在过去一年中,勒索软件攻击的平均每周数量增加了93%。并警告,勒索软件攻击通常不是从勒索软件开始的。例如,在Ryuk勒索软件攻击中,Emotet恶意软件被用于渗透网络,然后在勒索软件最终加密数据之前感染了本月的顶级恶意软件Trickbot。

自Emotet僵尸网络在1月份被关闭以来,Trickbot木马和僵尸网络开始流行。最近还与一种名为“Diavol”的新型勒索软件有关。Trickbot不断更新新功能、特性和分发载体,使其成为一种灵活且可定制的恶意软件,可以作为多用途活动的一部分进行分发。

checkpoint指出,Ryuk和REvil等知名勒索软件组织首先依赖各种形式的恶意软件进行感染的初始阶段,其中一个关键就是恶意软件Trickbot。建议企业保持敏锐的安全风险意识,并确保采取适当的解决方案并加强软件原生安全

除僵尸网络和银行木马Trickbot 之外,本月的列表还包括大量不同的恶意软件类型,包括僵尸网络、信息窃取程序、后门程序、RAT 和移动。对企业来说,拥有合适的技术和安全检测措施来应对如此广泛的威胁至关重要。如果企业这样做,大多数攻击,即使是最高级的攻击,如REvil,都可以在不中断正常业务流程的情况下被阻止。

还需注意的是,HTTP Headers Remote Code Execution”是最常被利用的漏洞,影响了全球47%的企业,其次是“MVPower DVR Remote Code Execution”,影响了全球45%的企业。Dasan GPON Router Authentication Bypass”在被利用漏洞榜中排名第三,全球影响力为44%。

顶级恶意软件家族

*箭头表示与上个月相比的排名变化。

本月,Trickbot是最流行的恶意软件,影响了全球7%的企业,其次是XMRig和Formbook,分别影响了全球3%的企业。

↔ Trickbot – Trickbot 是一个模块化僵尸网络和银行木马,不断更新新功能、特性和分发载体。这使 Trickbot 成为一种灵活且可定制的恶意软件,可以作为多用途活动的一部分进行分发。

↔ XMRig – XMRig 是一种开源CPU挖掘软件,用于门罗币加密货币的挖掘过程,于 2017 年 5 月首次出现在野外。

↔ Formbook – Formbook 是一种信息窃取器,它可以从各种Web浏览器中获取凭据,收集屏幕截图、监控和记录击键,并且可以根据其C&C命令下载和执行文件。

↑ Glupteba – Glupteba 是一个逐渐成熟为僵尸网络的后门。到2019年,它包括通过公共比特币列表的C&C地址更新机制、集成的浏览器窃取器功能和路由器开发器。

↓ Agent Tesla – Agent Tesla是一种先进的RAT,用作键盘记录器和信息窃取器,能够监视和收集受害者的键盘输入、系统键盘、截屏,并将凭据泄露到安装在受害者机器上的各种软件(包括 Google Chrome、Mozilla Firefox 和 Microsoft Outlook 电子邮件客户端)。

↑ Ramnit -Ramnit 是一种银行木马,可窃取银行凭据、FTP 密码、会话 cookie 和个人数据。

↑ Qbot – Qbot 是一种银行木马,首次出现于2008年,旨在窃取用户的银行凭证和按键。Qbot通常通过垃圾邮件分发,使用多种反虚拟机、反调试和反沙盒技术来阻碍分析和逃避检测。

↔ Phorpiex – Phorpiex是一个僵尸网络,以通过垃圾邮件传播其他恶意软件系列以及推动大规模性勒索活动而闻名。

↑ xHelper – xHelper 是自2019年3月以来在野发现的恶意应用程序,用于下载其他恶意应用程序和显示广告。该应用程序能够对用户隐藏自己,并且可以在卸载时重新安装。

↑ NJRat – njRAT 是一种远程访问木马,主要针对中东的政府机构和组织。该木马于 2012年首次出现,具有多种传播能力,例如通过网络钓鱼攻击和偷渡式下载感染受害者,并在命令和控制服务器软件的支持下通过受感染的USB密钥或网络驱动器传播。

最常被利用的漏洞

本月,“HTTP Headers Remote Code Execution”是最常被利用的漏洞,影响了全球 47%的企业,其次是“MVPower DVR Remote Code Execution”,影响了全球45%的企业。“Dasan GPON Router Authentication Bypass”在被利用漏洞榜中排名第三,全球影响力为44%。

↑HTTP 标头远程代码执行(CVE-2020-10826、CVE-2020-10827、CVE-2020-10828、CVE-2020-13756)—— HTTP 标头让客户端和服务器通过 HTTP 请求传递附加信息。远程攻击者可能会使用脆弱的HTTP标头在受害机器上运行任意代码。

↑ MVPower DVR 远程代码执行– MVPower DVR设备中存在远程代码执行漏洞。远程攻击者可以利用此弱点通过精心设计的请求在受影响的路由器中执行任意代码。

↑ Dasan GPON 路由器认证绕过漏洞 (CVE-2018-10561) – Dasan GPON路由器中存在身份验证绕过漏洞。成功利用此漏洞将允许远程攻击者获取敏感信息并未经授权访问受影响的系统。

↓ Web服务器暴露的Git存储库信息泄露– Git存储库中报告了一个信息泄露漏洞。成功利用此漏洞可能会无意中泄露帐户信息。

↔ Apache Struts2内容类型远程代码执行(CVE-2017-5638、CVE-2017-5638、CVE-2019-0230) ——使用Jakarta多部分解析器的Apache Struts2中存在一个远程代码执行漏洞。攻击者可以通过发送无效内容类型作为文件上传请求的一部分来利用此漏洞。成功利用可能会导致在受影响的系统上执行任意代码。

↑ OpenSSL TLS·DTLS 心跳信息泄露(CVE-2014-0160,CVE-2014-0346) – OpenSSL中存在信息泄露漏洞。该漏洞,又名 Heartbleed,是由于处理TLS/DTLS心跳包时出现错误造成的。攻击者可以利用此漏洞泄露连接的客户端或服务器的内存内容。

↓ HTTP命令注入 – 已经报告了HTTP有效载荷漏洞的命令注入。远程攻击者可以通过向受害者发送特制的请求来利用此问题。成功的利用将允许攻击者在目标机器上执行任意代码。

↑ NoneCMS ThinkPHP 远程代码执行(CVE-2018-20062) ——NoneCMS ThinkPHP 框架中存在远程代码执行漏洞。成功利用此漏洞可能允许远程攻击者在受影响的系统上执行任意代码。

↑ Muieblackcat PHP Scanner – 漏洞扫描产品。远程攻击者可以使用 Muieblackcat来检测目标服务器上的漏洞。

↓ SQL 注入(不同技术) ——在从客户端到应用程序的输入中插入SQL查询注入,同时利用应用程序软件中的安全漏洞。

顶级移动恶意软件

本月xHelper在最流行的移动恶意软件中排名第一,其次是Hiddad和XLoader。

xHelper – 自2019年3月以来在野发现的恶意应用程序,用于下载其他恶意应用程序并显示广告。该应用程序能够对用户隐藏自己,并且可以在卸载时重新安装。

Hiddad – Hiddad是一种Android恶意软件,它将合法应用程序重新打包,然后发布到第三方商店。它的主要功能是展示广告,但它也可以访问操作系统内置的关键安全细节。

XLoader – XLoader 该恶意软件使用DNS欺骗来分发受感染的Android应用程序,以收集个人和财务信息。

DevSecOps建设提高软件安全性

防不胜防,恶意软件无时不刻威胁着网络安全,因此仅靠传统安全防御手段很难全面抵抗恶意软件的入侵。随着网络安全观念日渐加深并伴随DevsecOps建设,越来越多的企业逐渐在开发过程中融入安全理念。DevSecOps允许公司更快更及时的解决问题,从而保持一定的竞争力。通过使用自动化安全检测工具如:源代码安全检测工具SAST、开源组件扫描工具SCA、动态应用安全测试工具DAST等,帮助网络安全人员在开发过程中减少不断检查代码及软件安全问题,在保证敏捷开发的同时确保软件安全。

参读链接:

https://www.woocoom.com/b021.html?id=cf06f885bbfa427a884213e715942ddb

https://blog.checkpoint.com/2021/07/13/june-2021s-most-wanted-malware-trickbot-remains-on-top/

来源:freebuf.com 2021-07-16 09:58:26 by: 中科天齐软件安全中心

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享