近日，根據(jù)Checkpoint發(fā)布的2020年7月全球威脅指數(shù)，在缺席五個月之后，Emotet已升至該指數(shù)的榜首位置，短時間內(nèi)襲擊了全球5%的企業(yè)和組織，主要活動是傳播釣魚郵件竊取銀行賬戶并在目標網(wǎng)絡內(nèi)部傳播。

[[337854]]

由于具備類似硅谷頂級科技企業(yè)的一流“敏捷開發(fā)”能力，過去幾年Emotet始終是最具“創(chuàng)造性”、“顛覆性”、“影響力”和破壞力的惡意軟件，其產(chǎn)品迭代和技術創(chuàng)新的速度甚至很多網(wǎng)絡安全公司都自嘆弗如。

具體來說，Emotet就像一個“搬運工”，侵入宿主系統(tǒng)后，具備下載其他惡意軟件的能力，由于其模塊化的性質(zhì)，這只是其能力之一。借助傳播組件，Emotet能夠?qū)⒆陨韨魉偷酵痪W(wǎng)絡上的其他計算機，該組件可以通過掛載共享或利用漏洞利用來傳播惡意軟件。換而言之，Emotet就像一個大的惡意軟件“電商平臺”，是很多其他惡意軟件的重要“投放渠道”。

自2020年2月以來，Emotet的活動(主要是發(fā)送大量的垃圾和釣魚郵件)開始放緩，并最終停止，直到7月重新開始活躍。值得注意的是，2019年Emotet僵尸網(wǎng)絡也選擇在夏季“蟄伏”，在9月恢復活動。

今年7月，Emotet通過垃圾和釣魚郵件活動，用TrickBot和Qbot感染了大量受害者，這些攻擊活動的主要目的是竊取銀行憑證并在企業(yè)網(wǎng)絡內(nèi)部傳播。這些釣魚郵件活動中有些包含名稱為“form.doc”或“invoice.doc”之類的惡意doc文件。據(jù)安全研究人員稱，這些惡意文檔啟動了PowerShell，以從遠程網(wǎng)站提取Emotet二進制文件并感染計算機，然后將其添加到僵尸網(wǎng)絡中。Emotet的活動恢復凸顯了僵尸網(wǎng)絡在全球范圍內(nèi)的規(guī)模和力量。

至于Emotet為什么會在2020年和2019年都選擇在夏天“蟄伏”，CheckPoint研究人員認為，Emotet僵尸網(wǎng)絡背后的開發(fā)人員選擇這個時間端更新迭代其功能。

由于Emotet每次復出都會“功力大增”，企業(yè)應該盡快對員工進行相關安全意識培訓，包括如何識別攜帶這些威脅的垃圾郵件類型，并警告打開電子郵件附件或點擊外部來源鏈接的風險。企業(yè)還應該考慮部署反惡意軟件解決方案，以防止此類內(nèi)容到達最終用戶。

報告還警告說，“MVPower DVR遠程執(zhí)行代碼”是當下最普遍利用的漏洞，影響了全球44%的企業(yè)和組織，其次是“OpenSSL TLS DTLS心跳信息泄露”，它影響了全球42%的組織。“HTTP有效負載命令注入”排名第三，對全球企業(yè)和組織的影響為38%。

以下是CheckPoint報告中列出的7月份十大惡意軟件榜單和十大漏洞榜單。

2020年7月份十大頂級惡意軟件家族榜單

*箭頭表示與上個月相比的排名變化。

7月，Emotet是最流行的惡意軟件，影響了全球5%的企業(yè)和組織，緊隨其后的是Dridex和Agent Tesla，對組織的影響分別為4%。

1.↑ Emotet–Emotet是一種高級自我傳播的模塊化木馬。Emotet最初是銀行木馬，但最近被用作其他惡意軟件或惡意活動的分發(fā)者。它使用多種方法來保持持久性和逃避技術，從而避免檢測。此外，它可以通過包含惡意附件或鏈接的網(wǎng)絡釣魚垃圾郵件來傳播。

2.↑ Dridex–Dridex是針對Windows平臺的木馬，通過垃圾郵件附件下載傳播。Dridex聯(lián)系遠程服務器并發(fā)送有關受感染系統(tǒng)的信息。它還可以下載并執(zhí)行從遠程服務器接收的任意模塊。

3. ↓ Agent Tesla–Agent Tesla是一種高級RAT，用作鍵盤記錄程序和信息竊取程序，能夠監(jiān)視和收集受害者的鍵盤輸入、系統(tǒng)剪貼板，截屏并竊取受害者計算機上安裝的各種軟件的憑證(包括Google Chrome、Mozilla Firefox和Microsoft Outlook電子郵件客戶端)。

4. ↑ Trickbot–Trickbot當下占據(jù)主流地位的多功能bot，并不斷通過新功能，功能和發(fā)行媒介進行更新。這使Trickbot成為靈活且可自定義的惡意軟件，可以作為多用途活動的一部分進行分發(fā)。

5. ↑ Formbook–Formbook是一個信息盜竊工具(infoStealer)，它從各種Web瀏覽器中收集賬戶憑據(jù)、屏幕快照、監(jiān)視和記錄擊鍵，并可以根據(jù)其C&C命令下載和執(zhí)行文件。

6. ↓ XMRig–XMRig是用于挖掘Monero加密貨幣的開源CPU挖礦軟件，于2017年5月首次在野外出現(xiàn)。

7.↑ Mirai–Mirai是一種著名的物聯(lián)網(wǎng)(IoT)惡意軟件，可跟蹤易受攻擊的IoT設備(例如網(wǎng)絡攝像頭、調(diào)制解調(diào)器和路由器)并將其轉(zhuǎn)變?yōu)榻┦W(wǎng)絡的機器人。僵尸網(wǎng)絡被其運營商用來進行大規(guī)模的分布式拒絕服務(DDoS)攻擊。

8.↓ Ramnit–Ramnit是一個銀行木馬，它竊取銀行憑證、FTP密碼、會話cookie和個人數(shù)據(jù)。

9.↓ Glupteba–Glupteba是一個后門，它已逐漸成長為一個僵尸網(wǎng)絡。到2019年，Glupteba具備了通過公共BitCoin列表提供的C&C地址更新的機制，還集成了瀏覽器竊取功能和路由器利用程序。

10.↑ RigEK–RigEK提供了針對Flash、Java、Silverlight和Internet Explorer的攻擊。感染鏈從重定向到登錄頁面開始，該頁面包含的JavaScript腳本能檢查易受攻擊的插件并進行利用。

2020年利用最嚴重的漏洞TOP10(7月)

7月，“MVPower DVR遠程執(zhí)行代碼”是最普遍利用的漏洞，影響了全球44%的組織，其次是“OpenSSL TLS DTLS心跳信息泄露”，其影響了全球42%的組織。“HTTP有效負載命令注入”排名第三，對全球的影響為38%。

1.↑ MVPower DVR遠程執(zhí)行代碼。MVPower DVR設備中存在一個遠程執(zhí)行代碼漏洞。遠程攻擊者可以利用此漏洞通過精心設計的請求在受影響的路由器中執(zhí)行任意代碼。

2. ↓ OpenSSL TLS DTLS心跳信息泄露(CVE-2014-0160;CVE-2014-0346)。OpenSSL中存在一個信息泄露漏洞。該漏洞是由于處理TLS/DTLS心跳數(shù)據(jù)包時出錯。攻擊者可以利用此漏洞來披露連接的客戶端或服務器的內(nèi)存內(nèi)容。

3. ↑ 通過HTTP有效負載進行命令注入。通過HTTP有效負載進行命令注入漏洞，遠程攻擊者可以通過向受害者發(fā)送特制請求來利用此問題。攻擊者成功利用該漏洞后能在目標計算機上執(zhí)行任意代碼。

4. ↔ Dasan GPON路由器身份驗證繞過(CVE-2018-10561)。Dasan GPON該路由器中存在身份驗證旁路漏洞。成功利用此漏洞將使遠程攻擊者可以獲得敏感信息并獲得對受影響系統(tǒng)的未授權訪問。

5.↑HTTP標頭遠程執(zhí)行代碼(CVE-2020-13756)。HTTP標頭使客戶端和服務器可以通過HTTP請求傳遞其他信息。遠程攻擊者可能使用易受攻擊的HTTP標頭在受害計算機上運行任意代碼。

6.↑ Apache Struts2內(nèi)容類型遠程代碼執(zhí)行。使用Jakarta解析器的Apache Struts2中存在一個遠程執(zhí)行代碼漏洞。攻擊者可以通過在文件上載請求中發(fā)送無效的內(nèi)容類型來利用此漏洞。成功利用該漏洞可能導致在受影響的系統(tǒng)上執(zhí)行任意代碼。

7. ↓ Git存儲庫的Web服務器信息泄露。Git存儲庫中報告了一個信息泄露漏洞。成功利用此漏洞可能導致無意中泄露賬戶信息。

8.↑ SQL注入(幾種技術)。在客戶端應用程序的輸入中插入SQL查詢注入，同時利用應用程序軟件中的安全漏洞。

9.↑ PHP php-cgi查詢字符串參數(shù)代碼執(zhí)行。PHP已報告一個遠程執(zhí)行代碼漏洞。該漏洞是由于PHP對查詢字符串的解析和過濾不當所致。遠程攻擊者可以通過發(fā)送精心制作的HTTP請求來利用此漏洞。成功的利用將使攻擊者能在目標上執(zhí)行任意代碼。

10.↓ WordPress Portable-phpMyAdmin插件身份驗證繞過。WordPress Portable-phpMyAdmin插件中存在身份驗證繞過漏洞。成功利用此漏洞將使遠程攻擊者可以獲得敏感信息并獲得對受影響系統(tǒng)的未授權訪問。

附錄：2020年頂級移動惡意軟件家族TOP3(7月)

xHelper是7月最受歡迎的移動惡意軟件，其次是Necro和PreAMo。

1. xHelper。自2019年3月以來在野外常見的惡意應用程序，用于下載其他惡意應用程序和展示廣告。該應用程序可以向用戶隱藏自身，并在卸載后自動重新安裝。

2. Necro。Necro是一個Android木馬投放器(Android Trojan Dropper)。它可以下載其他惡意軟件，顯示侵入性廣告，并通過向付費訂閱來竊取錢財。

3. PreAMo。PreAmo是一種Android“刷點擊”惡意軟件，可模仿用戶點擊三個廣告代理商Presage、Admob和Mopub的橫幅廣告。

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權】

戳這里，看該作者更多好文