2019年2月Check Point惡意軟件調(diào)查榜單出爐。盡管Coinhive已經(jīng)在2019年3月8日關(guān)閉，但是在Check Point的全球威脅指數(shù)調(diào)查中，它的威脅仍舊居高不下。

一、GandCrab勒索軟件

惡意軟件中的新貴。在過(guò)去兩個(gè)月中，研究人員在一系列針對(duì)日本、德國(guó)、加拿大和澳大利亞的惡意行為中多次發(fā)現(xiàn)了GandCrab的活動(dòng)跡象。Check Point研究人員發(fā)現(xiàn)，最近的一次活動(dòng)中該惡意軟件出現(xiàn)了新的變種版本。

更新之后的GandCrab 5.2，其功能沒(méi)有發(fā)生明顯的變化，但采用了新的加密方式，導(dǎo)致之前針對(duì)該軟件的解密工具成為了擺設(shè)。

二、Cryptominers(惡意挖礦軟件)

2月份最常見(jiàn)的惡意軟件仍舊是加密系列。其中，Coinhive仍然是全球范圍內(nèi)影響力巨大的惡意軟件，百足之蟲(chóng)，死而不僵。其對(duì)世界上10%的組織機(jī)構(gòu)仍舊存在影響。當(dāng)然，一直以來(lái)Coinhive的影響力也在不斷下降，從2018年10月的18%降至2019年1月的12%再到現(xiàn)在的10%。下降的具體原因則是由于采礦成本的上升和門(mén)羅幣價(jià)值的下降。

Cryptoloot則在2月取代了XMRig上升至第二位，緊隨其后的是Emotet：一種先進(jìn)的、可自我傳播的模塊化木馬軟件，超過(guò)了曾經(jīng)Jsecion的位置排在第三位。

Check Point威脅情報(bào)和研究總監(jiān)Maya Horowitz表示，惡意軟件的威脅行為在不斷的利用新的方式進(jìn)行傳播，同時(shí)也在不斷研究現(xiàn)有惡意軟件的新變種。GandCrab新版本的出現(xiàn)再次證明了，惡意軟件的威脅不是一成不變的，而是在不斷的發(fā)展以規(guī)避現(xiàn)有的安全檢測(cè)技術(shù)。為了解決這個(gè)問(wèn)題，安全研究人員也需要根據(jù)惡意軟件家族的DNA來(lái)對(duì)其進(jìn)行不斷的追蹤，也就代表著，各個(gè)安全組織必須時(shí)刻保持其安全解決方案的更新速率。

三、2019年2月惡意軟件“通緝令”

1. Coinhive

臭名昭著的挖礦軟件。通過(guò)植入JS腳本，在用戶訪問(wèn)網(wǎng)頁(yè)的過(guò)程中即可執(zhí)行門(mén)羅幣在線挖掘，無(wú)需用戶知情或同意。在其挖礦過(guò)程中會(huì)占用非常多的系統(tǒng)資源，并可能導(dǎo)致系統(tǒng)崩潰。

2. Cryptoloot

還是挖礦軟件。該軟件可使用用戶的CPU或GPU及系統(tǒng)現(xiàn)有資源進(jìn)行加密貨幣挖掘-向區(qū)塊鏈添加交易并釋放新貨幣的過(guò)程。作為Coinhive的競(jìng)爭(zhēng)對(duì)手，該軟件企圖通過(guò)低收入高數(shù)量的方式在對(duì)標(biāo)中取得勝利。

3. Emotet

高級(jí)的、具備自我傳播能力和模塊化的木馬軟件。Emotet曾被用作銀行木馬，最近一段時(shí)間開(kāi)始在惡意軟件和惡意廣告中出現(xiàn)，同時(shí)也在網(wǎng)絡(luò)釣魚(yú)和包含惡意附件的郵件中大肆傳播。該軟件具備多種規(guī)避技術(shù)來(lái)避免檢測(cè)功能使其成為熱門(mén)“選手”。

四、2019年2月移動(dòng)端惡意軟件前三甲

1. Lotoor

Lotoor成為了移動(dòng)端很流行的惡意軟件，取代了曾經(jīng)的領(lǐng)頭羊Hiddad。這是一款可以利用安卓系統(tǒng)上的漏洞感染并獲取移動(dòng)設(shè)備root權(quán)限的黑客工具。

2. Hiddad

安卓端惡意軟件。其功能是將合法的應(yīng)用程序重新打包，并將其發(fā)布到第三方應(yīng)用商店。主要是通過(guò)顯示廣告對(duì)系統(tǒng)進(jìn)行感染，使得攻擊者能夠訪問(wèn)其系統(tǒng)的關(guān)鍵位置以及獲取用戶數(shù)據(jù)。

3. Triada

安卓系統(tǒng)模塊化后門(mén)軟件。為用戶下載的惡意軟件賦予超級(jí)用戶的權(quán)限，并將其嵌入到系統(tǒng)進(jìn)程中。該軟件也被用于欺騙瀏覽器加載的URL。

五、2019年2月熱門(mén)漏洞

1. ScStoragePathFromUrl緩沖區(qū)溢出漏洞(CVE-2017-7269)

通過(guò)Microsoft Internet Information Services 6.0將攻擊者設(shè)計(jì)的網(wǎng)絡(luò)通過(guò)請(qǐng)求發(fā)送到Microsoft Windows Server 2003 R2中，隨后遠(yuǎn)程攻擊者便可通過(guò)該漏洞執(zhí)行任意代碼或拒絕目標(biāo)服務(wù)器上的任何服務(wù)請(qǐng)求。該漏洞出現(xiàn)的主要原因是由HTTP請(qǐng)求中對(duì)長(zhǎng)報(bào)頭的不正確驗(yàn)證而導(dǎo)致。

2. OpenSSL TLS DTLS心跳讀遠(yuǎn)程信息泄漏(心臟滴血漏洞)(CVE-2014-0160，CVE-2014-0346)

OpenSSL中存在信息泄漏漏洞。該漏洞是由于處理TLS/DTLS的包時(shí)出錯(cuò)，從而導(dǎo)致攻擊者可利用漏洞連接客戶端并訪問(wèn)用戶內(nèi)存。

3. PHPMyAdmin代碼注入漏洞

該漏洞是由于PHPMyAdmin配置錯(cuò)誤造成。遠(yuǎn)程攻擊者可通過(guò)該漏洞直接向目標(biāo)用戶發(fā)送特定的HTTP請(qǐng)求進(jìn)行攻擊操作。

正如安全研究人員所說(shuō)，現(xiàn)在的網(wǎng)絡(luò)世界，技術(shù)不斷革新帶來(lái)的不僅僅是安全防護(hù)水平的提升，黑客水平也在不斷進(jìn)步，為了應(yīng)對(duì)可能存在的任意威脅，作為網(wǎng)絡(luò)安全從業(yè)者也必須時(shí)刻保持警惕。