根據(jù)Check Point的調(diào)查研究的全球威脅指數(shù)顯示，經(jīng)過(guò)多次季節(jié)性活動(dòng)，Emotet僵尸網(wǎng)絡(luò)在躋身惡意排行榜，而Coinhive 連續(xù)第12 個(gè)月穩(wěn)居在第1 位。

安全研究人員在11月發(fā)現(xiàn)了一些Emotet僵尸網(wǎng)絡(luò)的季節(jié)性活動(dòng)。在研究人員看到Emotet僵尸網(wǎng)絡(luò)通過(guò)多個(gè)重大節(jié)日活動(dòng)(包括以感恩節(jié)為主題的活動(dòng))開(kāi)始迅速傳播后，已快速進(jìn)入威脅指數(shù)排名前7 位。

Emotet僵尸網(wǎng)絡(luò)曾被用作銀行木馬，然而最近它的使用范圍明顯已經(jīng)發(fā)生了一些變化，攻擊者可以通過(guò)它部署其他惡意軟件和進(jìn)行惡意攻擊。其設(shè)計(jì)充分考慮了持久性和可規(guī)避性。通過(guò)包含感恩節(jié)主題鏈接和附件的電子郵件進(jìn)行分發(fā)，其影響力與上個(gè)月相比增加了25%。

[[252971]]

2018年11月“十惡不赦”：

*箭頭與上個(gè)月的排名變化有關(guān)。

1.↔Coinhive - Cryptominer，用于在用戶訪問(wèn)網(wǎng)頁(yè)時(shí)執(zhí)行Monero加密貨幣的在線挖掘，在用戶不知情的情況下通過(guò)挖掘門羅幣獲得收入，植入的JavaScript使用用戶機(jī)器的大量算力來(lái)挖掘加密貨幣，并可能致使系統(tǒng)崩潰。

2.↔Cryptoloot - Cryptominer，使用受害者的CPU或GPU電源和現(xiàn)有的資源開(kāi)采加密的區(qū)塊鏈和發(fā)掘新的機(jī)密貨幣，是Coinhive的有力競(jìng)爭(zhēng)對(duì)手，本月把持了上月獲得的第二名地位。

3.↑Andromeda - Modularbot是一款模塊化僵尸程序，主要用作后門。在受感染的主機(jī)上，可以修改以創(chuàng)建不同類型的僵尸網(wǎng)絡(luò)，運(yùn)行其他的惡意軟件。本月在原來(lái)基礎(chǔ)上，上升了兩個(gè)名次。

4.↔Roughted -大規(guī)模攻擊各種網(wǎng)站和有效負(fù)載，以提供用于惡意廣告?zhèn)鞑?，如詐騙廣告軟件，漏洞利用工具包和勒索軟件?？捎糜诠羧魏晤愋偷钠脚_(tái)和操作系統(tǒng)，并可以繞過(guò)廣告攔截軟件和指紋識(shí)別，以確保其進(jìn)行最有效的相關(guān)攻擊。本月影響有所上升，較上月上升兩個(gè)名次。

5.↓基于Dorkbot -IRC-是一種基于IRC設(shè)計(jì)的蠕蟲(chóng)，可以以操作員執(zhí)行遠(yuǎn)程代碼，以及下載其他惡意軟件到被感染的機(jī)器。是一個(gè)銀行木馬，其主要?jiǎng)訖C(jī)是竊取敏感信息并可以發(fā)起拒絕服務(wù)攻擊，本月影響程度較上月有所下降，由上月第三名下降為第五名。

6.↔Jsecoin -可以嵌入網(wǎng)站的JavaScript礦工。使用JSEcoin，可以直接在瀏覽器中運(yùn)行礦工，以換取無(wú)廣告體驗(yàn)，游戲內(nèi)貨幣和其他獎(jiǎng)勵(lì)。

7.↑Emotet -自我傳播和高級(jí)模塊化的木馬。Emotet曾經(jīng)被用作銀行木馬，最近被用作其他惡意軟件或惡意廣告的分銷商。它使用多種方法來(lái)維護(hù)持久性和規(guī)避技術(shù)以避免檢測(cè)。此外，它還可以通過(guò)包含惡意附件或鏈接的網(wǎng)絡(luò)釣魚(yú)垃圾郵件進(jìn)行傳播。

8.↑Conficker-允許遠(yuǎn)程操作和惡意軟件下載的蠕蟲(chóng)。受感染的計(jì)算機(jī)由僵尸網(wǎng)絡(luò)控制，僵尸網(wǎng)絡(luò)與其命令和控制服務(wù)器聯(lián)系以接收指令。本月較上月，提升一個(gè)名次。

9.↓XMRig - XMRig -是一種開(kāi)源利用CPU進(jìn)行挖掘惡意軟件，用于挖掘Monero加密貨幣，并于2017年5月首次被發(fā)現(xiàn)。

10.↑Nivdort- 多用途機(jī)器人，也稱為Bayrob，用于收集密碼，修改系統(tǒng)設(shè)置和下載其他惡意軟件。它通常通過(guò)垃圾郵件傳播，其中收件人地址以二進(jìn)制文件編碼，從而使每個(gè)文件都具有唯一性。

Triada是Android的模塊化后門，在頂級(jí)移動(dòng)惡意軟件列表中排名第一。Hiddad已經(jīng)攀升至第二位，取代了Android銀行木馬和信息竊取者Lokibot，后者已跌至第三位。

11月的“最受歡迎”前三大移動(dòng)惡意軟件：

[[252972]]

1. Triada - Android的模塊化后門，為下載的惡意軟件授予超級(jí)用戶權(quán)限，有助于它嵌入到系統(tǒng)進(jìn)程中。Triada也被視為欺騙瀏覽器中加載的URL。

2. Hiddad - Android惡意軟件，重新打包合法應(yīng)用程序，然后將其發(fā)布到第三方商店。它的主要功能是顯示廣告，但它也能夠訪問(wèn)操作系統(tǒng)內(nèi)置的關(guān)鍵安全細(xì)節(jié)，允許攻擊者獲取敏感的用戶數(shù)據(jù)。

3. Lokibot - Android銀行木馬和信息竊取程序，它也可以變成勒索軟件，以鎖定手機(jī)，以防其管理員權(quán)限被刪除。

11月份最易利用的三大漏洞：

[[252973]]

1. ↔MicrosoftIIS WebDAVScStoragePathFromUrl緩沖區(qū)溢出(CVE-2017-7269) -通過(guò)Microsoft Internet Information Services6.0通過(guò)網(wǎng)絡(luò)向Microsoft Windows Server 2003 R2發(fā)送精心設(shè)計(jì)的請(qǐng)求，遠(yuǎn)程攻擊者可以執(zhí)行任意代碼或?qū)е戮芙^服務(wù)條件在目標(biāo)服務(wù)器上。這主要是由于HTTP請(qǐng)求中對(duì)長(zhǎng)報(bào)頭的不正確驗(yàn)證導(dǎo)致的緩沖區(qū)溢出漏洞，依然是最易受影響的一個(gè)漏洞。

2. ↑OpenSSL TLS DTLS心跳信息泄露(CVE-2014-0160; CVE-2014-0346) -由于處理TLS / DTLS心跳包時(shí)出錯(cuò)，OpenSSL中存在信息泄露漏洞。攻擊者可以利用此漏洞披露已連接客戶端或服務(wù)器的內(nèi)存內(nèi)容。

3. ↑OpenSSL tls_get_message_body函數(shù)init_msg結(jié)構(gòu)使用后免費(fèi)(CVE-2016-6309) - 在OpenSSL的tls_get_message_body函數(shù)中報(bào)告了一個(gè)釋放后使用的漏洞。未經(jīng)身份驗(yàn)證的遠(yuǎn)程攻擊者可以通過(guò)向易受攻擊的服務(wù)器發(fā)送精心設(shè)計(jì)的消息來(lái)利用此漏洞。攻擊者利用該漏洞可以在系統(tǒng)上執(zhí)行任意代碼。