2020年七月份恶意软件之“十恶不赦”排行榜

与我上月预期的基本上保持一致，微软本月又公布了120个漏洞，这半年多微软屡破历史记录。有史以来几个月内发布的CVE数量最多的一年，今年发布的Microsoft修补程序总数达到736，已超过2017年全年解决的CVE总数。上个月，各大厂商扎堆发布了一批安全补丁，作为网络运营者对安全补丁的更新的意义，已经无需多言，还请大家及时排查自家资产，及时到官网下载补丁，进行评估更新。

缺席五个月之后，恶意软件Emotet再次归队，并跃升为霸主地位，据国外安全机构CheckPoint统计分析，影响全球抽样5％的组织。自2020年2月以来，Emotet的活动开始放缓，一度停止，直到7月重新归来。该蛰伏模式曾经在2019年演绎过一次，当时Emotet僵尸网络在夏季停止活动，在9月恢复活动。

7月，Emotet用TrickBot和Qbot感染受害者，传播垃圾邮件活动，窃取银行凭证并在网络内部传播。部分反垃圾邮件活动包含名称为“form.doc”或“invoice.doc”的恶意文档文件。恶意文档启动PowerShell，从远程网站提取Emotet二进制文件并感染计算机，将被攻击机器添加到僵尸网络中。Emotet的活动恢复凸显出僵尸网络在全球的规模和力量。

由于再次活跃起来，组织应提升员工安全意识，不要打开垃圾邮件附件或单击来自外部来源的链接，同时考虑部署反恶意软件解决方案，防止此类内容传递到终端用户。

“MVPower DVR远程执行代码”是利用最普遍的漏洞，影响全球抽样44％的组织，其次是“OpenSSL TLS DTLS心跳信息泄露”，其影响全球抽样42％的组织。排名第三的则是“HTTP有效负载上的命令注入”，对影响全球抽样38％的组织。

2020年7月“十恶不赦”

*箭头表示与上个月相比的排名变化。

本月，Emotet是最受欢迎的恶意软件，影响全球抽样的5％，紧随其后的是Dridex和Agent Tesla，影响全球抽样的4％。

1.↑Emotet – Emotet是高级可自我传播的模块化银行木马，最近被用作其他恶意软件或恶意活动的分发工具。使用多种方法来保持持久性和逃避技术，从而避免检测。还可以通过包含恶意附件或链接的网络钓鱼垃圾邮件来助推其传播。

2.↑Dridex – Dridex是针对Windows平台的木马程序，通过垃圾邮件附件下载。Dridex联系远程服务器并发送有关受感染系统的信息，可以下载并执行从远程服务器接收的任意模块。

3.↓Agent Tesla – Agent Tesla是一种高级RAT的键盘记录程序和信息窃取程序，能够监视和收集受害者的键盘输入、系统剪贴板、截屏并窃取受害者计算机上安装的各种软件的凭证（包括Google Chrome、Mozilla Firefox和Microsoft Outlook电子邮件客户端）。

4.↑Trickbot – Trickbot是占主导地位的多功能bot，不断通过更新功能和分布向量，使Trickbot成为灵活且可自定义的恶意软件，可以作为多用途活动的一部分进行分发。

5.↑Formbook – Formbook是一个infoStealer，从各种Web浏览器中收集凭证、收集屏幕截图、监视和记录击键，并可以根据其C＆C命令下载和执行文件。

6.↓XMRig – XMRig是用CPU挖掘加密货币Monero的恶意挖掘软件，于2017年5月首次被出现。

7.↑Mirai – Mirai是一种物联网（IoT）恶意软件，可以跟踪易受攻击的IoT设备（例如网络摄像头、调制解调器和路由器），并将其转变为僵尸网络机器人，被用来进行大规模的分布式拒绝服务（DDoS）攻击。

8.↓Ramnit – Ramnit是一个窃取银行凭证，FTP密码，会话cookie和个人数据的银行木马。

9.↓Glupteba – Glupteba是一个后门，逐渐成熟为一个僵尸网络。到2019年，通过公开的BitCoin列表提供的C＆C地址更新机制，集成浏览器窃取功能和路由器利用程序。

10.  ↑RigEK –RigEK针对Flash、Java、Silverlight和Internet Explorer的攻击。感染包含JavaScript页面，进行重定向攻击。

7月份漏洞Top10

本月，“MVPowerDVR远程执行代码”是最普遍利用的漏洞，影响全球抽样44％的组织，其次是“OpenSSL TLS DTLS心跳信息泄露”，其影响全球抽样42％的组织。排名第三的是“HTTP有效负载命令注入”，对影响全球抽样的38％。

1.↑MVPower DVR远程执行代码 – MVPower DVR设备中存在一个远程执行代码漏洞。通过精心设计的请求，远程攻击者可以利用此漏洞在受影响的路由器中执行任意代码。

2.↓ OpenSSL TLS DTLS心跳信息泄露（CVE-2014-0160;CVE-2014-0346） – OpenSSL中存在一个信息泄露漏洞。是由于处理TLS / DTLS心跳数据包时出错。攻击者可以利用此漏洞获取连接的客户端或服务器的内存内容。

3.↑通过HTTP有效负载进行命令注入–通过HTTP有效负载进行命令注入漏洞。远程攻击者可以通过向受害者发送特制请求来利用此漏洞，允许攻击者在目标计算机上执行任意代码。

4. ↔DasanGPON路由器身份验证旁路（CVE-2018-10561） –Dasan GPON路由器中存在身份验证旁路漏洞。成功利用此漏洞，远程攻击者可以获得敏感信息并获得对受影响系统的未授权访问。

5.↑HTTP标头远程执行代码（CVE-2020-13756）– HTTP标头使客户端和服务器可以通过HTTP请求传递其他信息。远程攻击者可使用易受攻击的HTTP标头，在受害计算机上运行任意代码。

6.↑ Apache Struts2内容类型远程代码执行–Apache Struts2中存在一个远程执行代码漏洞。攻击者可以通过发送无效的内容类型作为文件上载请求的一部分来利用此漏洞。成功利用该漏洞可能导致在受影响的系统上执行任意代码。

7.↓ Web服务器暴露的Git存储库信息泄露– Git存储库中一个信息泄露漏洞。成功利用此漏洞可能导致无意中泄露账户信息。

8.↑SQL注入（几种技术）–在客户端到应用程序的输入中插入SQL查询的注入，同时利用应用程序软件中的安全漏洞。

9.↑ PHP php-cgi查询字符串参数代码执行 – PHP中一个远程执行代码漏洞。是由于PHP对查询字符串的解析和过滤不当所致。远程攻击者可以通过发送精心制作的HTTP请求，在目标上执行任意代码。

10.  ↓WordPress Portable-phpMyAdmin插件身份验证绕过– WordPressPortable-phpMyAdmin插件中存在身份验证绕过漏洞。成功利用此漏洞将使远程攻击者可以获得敏感信息并获得对受影响系统的未授权访问。

7月份移动恶意软件Top3

本月移动恶意软件排名一二三分别是xHelper、Necro和PreAMo。

1.xHelper-自2019年3月被发现以来，属于常见的恶意应用程序，用于下载其他恶意应用程序和显示广告。具有隐藏及卸载后重新安装功能。

2.Necro – Necro是一个Android Trojan Dropper。用以下载其他恶意软件，显示侵入性广告，并通过向付费订阅收费来窃取金钱。

3.PreAMo – PreAmo是一个Android恶意软件，通过模仿用户单击这三个广告代理商-Presage，Admob和Mopub的广告，进行获利。

---

网络安全等级保护基础标准（等保2.0基础标准）

网络安全等级保护政策文件汇总V1.0分享

2020年六月份恶意软件之“十恶不赦”排行榜

2020年五月份恶意软件之“十恶不赦”排行榜

2020年四月份恶意软件之“十恶不赦”排行榜