2020年七月份恶意软件之“十恶不赦”排行榜
与我上月预期的基本上保持一致,微软本月又公布了120个漏洞,这半年多微软屡破历史记录。有史以来几个月内发布的CVE数量最多的一年,今年发布的Microsoft修补程序总数达到736,已超过2017年全年解决的CVE总数。上个月,各大厂商扎堆发布了一批安全补丁,作为网络运营者对安全补丁的更新的意义,已经无需多言,还请大家及时排查自家资产,及时到官网下载补丁,进行评估更新。
缺席五个月之后,恶意软件Emotet再次归队,并跃升为霸主地位,据国外安全机构CheckPoint统计分析,影响全球抽样5%的组织。自2020年2月以来,Emotet的活动开始放缓,一度停止,直到7月重新归来。该蛰伏模式曾经在2019年演绎过一次,当时Emotet僵尸网络在夏季停止活动,在9月恢复活动。
7月,Emotet用TrickBot和Qbot感染受害者,传播垃圾邮件活动,窃取银行凭证并在网络内部传播。部分反垃圾邮件活动包含名称为“form.doc”或“invoice.doc”的恶意文档文件。恶意文档启动PowerShell,从远程网站提取Emotet二进制文件并感染计算机,将被攻击机器添加到僵尸网络中。Emotet的活动恢复凸显出僵尸网络在全球的规模和力量。
由于再次活跃起来,组织应提升员工安全意识,不要打开垃圾邮件附件或单击来自外部来源的链接,同时考虑部署反恶意软件解决方案,防止此类内容传递到终端用户。
“MVPower DVR远程执行代码”是利用最普遍的漏洞,影响全球抽样44%的组织,其次是“OpenSSL TLS DTLS心跳信息泄露”,其影响全球抽样42%的组织。排名第三的则是“HTTP有效负载上的命令注入”,对影响全球抽样38%的组织。
2020年7月“十恶不赦”
*箭头表示与上个月相比的排名变化。
本月,Emotet是最受欢迎的恶意软件,影响全球抽样的5%,紧随其后的是Dridex和Agent Tesla,影响全球抽样的4%。
1.↑Emotet – Emotet是高级可自我传播的模块化银行木马,最近被用作其他恶意软件或恶意活动的分发工具。使用多种方法来保持持久性和逃避技术,从而避免检测。还可以通过包含恶意附件或链接的网络钓鱼垃圾邮件来助推其传播。
2.↑Dridex – Dridex是针对Windows平台的木马程序,通过垃圾邮件附件下载。Dridex联系远程服务器并发送有关受感染系统的信息,可以下载并执行从远程服务器接收的任意模块。
3.↓Agent Tesla – Agent Tesla是一种高级RAT的键盘记录程序和信息窃取程序,能够监视和收集受害者的键盘输入、系统剪贴板、截屏并窃取受害者计算机上安装的各种软件的凭证(包括Google Chrome、Mozilla Firefox和Microsoft Outlook电子邮件客户端)。
4.↑Trickbot – Trickbot是占主导地位的多功能bot,不断通过更新功能和分布向量,使Trickbot成为灵活且可自定义的恶意软件,可以作为多用途活动的一部分进行分发。
5.↑Formbook – Formbook是一个infoStealer,从各种Web浏览器中收集凭证、收集屏幕截图、监视和记录击键,并可以根据其C&C命令下载和执行文件。
6.↓XMRig – XMRig是用CPU挖掘加密货币Monero的恶意挖掘软件,于2017年5月首次被出现。
7.↑Mirai – Mirai是一种物联网(IoT)恶意软件,可以跟踪易受攻击的IoT设备(例如网络摄像头、调制解调器和路由器),并将其转变为僵尸网络机器人,被用来进行大规模的分布式拒绝服务(DDoS)攻击。
8.↓Ramnit – Ramnit是一个窃取银行凭证,FTP密码,会话cookie和个人数据的银行木马。
9.↓Glupteba – Glupteba是一个后门,逐渐成熟为一个僵尸网络。到2019年,通过公开的BitCoin列表提供的C&C地址更新机制,集成浏览器窃取功能和路由器利用程序。
10. ↑RigEK –RigEK针对Flash、Java、Silverlight和Internet Explorer的攻击。感染包含JavaScript页面,进行重定向攻击。
7月份漏洞Top10
本月,“MVPowerDVR远程执行代码”是最普遍利用的漏洞,影响全球抽样44%的组织,其次是“OpenSSL TLS DTLS心跳信息泄露”,其影响全球抽样42%的组织。排名第三的是“HTTP有效负载命令注入”,对影响全球抽样的38%。
1.↑MVPower DVR远程执行代码 – MVPower DVR设备中存在一个远程执行代码漏洞。通过精心设计的请求,远程攻击者可以利用此漏洞在受影响的路由器中执行任意代码。
2.↓ OpenSSL TLS DTLS心跳信息泄露(CVE-2014-0160;CVE-2014-0346) – OpenSSL中存在一个信息泄露漏洞。是由于处理TLS / DTLS心跳数据包时出错。攻击者可以利用此漏洞获取连接的客户端或服务器的内存内容。
3.↑通过HTTP有效负载进行命令注入–通过HTTP有效负载进行命令注入漏洞。远程攻击者可以通过向受害者发送特制请求来利用此漏洞,允许攻击者在目标计算机上执行任意代码。
4. ↔DasanGPON路由器身份验证旁路(CVE-2018-10561) –Dasan GPON路由器中存在身份验证旁路漏洞。成功利用此漏洞,远程攻击者可以获得敏感信息并获得对受影响系统的未授权访问。
5.↑HTTP标头远程执行代码(CVE-2020-13756)– HTTP标头使客户端和服务器可以通过HTTP请求传递其他信息。远程攻击者可使用易受攻击的HTTP标头,在受害计算机上运行任意代码。
6.↑ Apache Struts2内容类型远程代码执行–Apache Struts2中存在一个远程执行代码漏洞。攻击者可以通过发送无效的内容类型作为文件上载请求的一部分来利用此漏洞。成功利用该漏洞可能导致在受影响的系统上执行任意代码。
7.↓ Web服务器暴露的Git存储库信息泄露– Git存储库中一个信息泄露漏洞。成功利用此漏洞可能导致无意中泄露账户信息。
8.↑SQL注入(几种技术)–在客户端到应用程序的输入中插入SQL查询的注入,同时利用应用程序软件中的安全漏洞。
9.↑ PHP php-cgi查询字符串参数代码执行 – PHP中一个远程执行代码漏洞。是由于PHP对查询字符串的解析和过滤不当所致。远程攻击者可以通过发送精心制作的HTTP请求,在目标上执行任意代码。
10. ↓WordPress Portable-phpMyAdmin插件身份验证绕过– WordPressPortable-phpMyAdmin插件中存在身份验证绕过漏洞。成功利用此漏洞将使远程攻击者可以获得敏感信息并获得对受影响系统的未授权访问。
7月份移动恶意软件Top3
1.xHelper-自2019年3月被发现以来,属于常见的恶意应用程序,用于下载其他恶意应用程序和显示广告。具有隐藏及卸载后重新安装功能。
2.Necro – Necro是一个Android Trojan Dropper。用以下载其他恶意软件,显示侵入性广告,并通过向付费订阅收费来窃取金钱。
3.PreAMo – PreAmo是一个Android恶意软件,通过模仿用户单击这三个广告代理商-Presage,Admob和Mopub的广告,进行获利。
本文分享自微信公众号 - 祺印说信安(qiyinshuoxinan)。
如有侵权,请联系 support@oschina.cn 删除。
本文参与“OSC源创计划”,欢迎正在阅读的你也加入,一起分享。
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
内网渗透技巧之横向控制
一、前言 目前当攻击者获取到某台内网机器的控制权限之后,进一步会考虑如何在内网进行横向移动,以及攻击域控服务器,今天丹丹就总结一下突破边界后进一步的攻击技巧。 二、Windows域介绍 将网络中多台计算机逻辑上组织到一起进行集中管理,这种区别于工作组的逻辑环境叫做域。域是由域控制器(Domain Controller)和成员计算机组成,域控制器就是安装了活动目录(Active Directory)的计算机。活动目录提供了存储网络上对象信息并使用网络使用该数据的方法,在域中,至少有一台域控制器,域控制器中保存着整个域的用户帐号和安全数据库。 2.1域的优势 1.集中管理,可以集中的管理企业中成千上万分布于异地的计算机和用户。 2.便捷的网络资源访问,能够容易的定位到域中的资源。 3.用户一次登录就可访问整个网络资源,集中的身份验证。 4.网络资源主要包含用户帐户、组、共享文件夹、打印机等 5.可扩展性,既可以适用于几十台计算机的小规模网络,也可以适用于跨国公司。 2.2域渗透常用命令 查询与控制器主机名 :net group “domain controllers” /domain 可...
- 下一篇
一文读懂jar包的小秘密
简介 java程序员每天不是在创建jar包就是在创建jar包的路上,并且各种依赖引用都是以jar包的形式展示的。但是随着现代IDE的出现,我想很多程序员已经基本上很少直接和jar包打交道了。 换句话说,他们已经不认识jar包了。 那么jar包到底是什么呢?它有哪些小秘密呢?一起来看一下吧。 jar包到底是什么 jar包其实是一种zip格式的文件,所以说你实际上是可以使用zip相关的命令来对jar包进行创建或者解压缩操作。 不同的是jar包中多了一个META-INF文件夹。通过这个文件夹,jar包可以执行更多的操作。 JDK也自带了一个jar命令,通过jar命令我们可以实现创建,更新jar包的操作,下图是JDK8中jar命令的说明: 因为JDK9之后引入了模块化的概念,所以JDK9之后jar命令有了比较大的变化: 我们看一下JDK14中的jar命令的用法: 这里主要不是讲jar命令,所以我们不具体展开。 META-INF目录 jar包和zip包最大的区别就在于jar包中包含了META-INF目录(不是必须的),我们看一个比较常用的lombok.jar包的结构是怎么样的: 这个版本比较新,...
相关文章
文章评论
共有0条评论来说两句吧...