全球領先網(wǎng)絡安全解決方案提供商 Check Point 軟件技術(shù)有限公司(納斯達克股票代碼：CHKP)的威脅情報部門 Check Point Research 發(fā)布了其 2020 年 9 月最新版《全球威脅指數(shù)》報告。研究人員發(fā)現(xiàn)，Valak 惡意軟件更新版首次登榜，在 9 月份最流行惡意軟件排行榜中排名第九。

Valak 是一種復雜的威脅，于 2019 年末首次發(fā)現(xiàn)，當時被歸類為惡意軟件加載器。但最近幾個月發(fā)現(xiàn)的 Valak 新變體功能發(fā)生重大變化，能夠使 Valak 充當針對個人和企業(yè)的信息竊取器。新版Valak 能夠從 Microsoft Exchange 郵件系統(tǒng)中竊取敏感信息以及用戶憑證和域名證書。9 月份，Valak 通過包含惡意 .doc 文件的垃圾郵件攻擊活動廣泛傳播。

Emotet 木馬連續(xù)三個月穩(wěn)居《全球威脅指數(shù)》榜首，影響了全球 14% 的組織。Qbot 木馬于 8 月份首次入榜，并在 9 月份被廣泛使用，從榜單第 10 位躍升至第 6 位。

Check Point 產(chǎn)品威脅情報與研究總監(jiān)總監(jiān) Maya Horowitz 表示：“這些傳播 Valak 的新攻擊活動再次證明，攻擊者正尋求加大對成熟惡意軟件的投入。攻擊者打算結(jié)合使用 Valak 和 8 月份出現(xiàn)的Qbot 更新版，大規(guī)模竊取組織和個人的數(shù)據(jù)和憑證。企業(yè)應考慮部署反惡意軟件解決方案，以防止此類內(nèi)容傳播給最終用戶，并建議員工謹慎打開電子郵件，即使它們看上去像來自可靠來源，也務必要小心。”

研究團隊還警告稱，“MVPower DVR 遠程執(zhí)行代碼”漏洞是最常被利用的漏洞，影響了全球 46% 的組織，其次是“Dasan GPON 路由器身份驗證繞過”漏洞，影響了全球 42% 的組織。“OpenSSL TLS DTLS 心跳信息披露 (CVE-2014-0160; CVE-2014-0346)”漏洞影響了全球 36% 的組織。

頭號惡意軟件家族

* 箭頭表示與上月相比的排名變化。

Emotet 仍然是本月最流行的惡意軟件，影響了全球 14% 的組織，其次是 Trickbot 和 Dridex，分別影響了全球 4% 和 3% 的組織。

• ↔ Emotet - Emotet 是一種能夠自我傳播的高級模塊化木馬。Emotet 最初是一種銀行木馬，但最近被用作其他惡意軟件或惡意攻擊的傳播程序。它使用多種方法和規(guī)避技術(shù)來確保持久性和逃避檢測。此外，它還可以通過包含惡意附件或鏈接的網(wǎng)絡釣魚垃圾郵件進行傳播。

• ↑ Trickbot - Trickbot 是一種使用廣泛的銀行木馬，不斷添加新的功能、特性和傳播向量。這讓它成為一種靈活的可自定義的惡意軟件，廣泛用于多目的攻擊活動。

• ↑Dridex - Dridex 是一種針對 Windows 平臺的木馬，據(jù)稱可通過垃圾郵件附件下載。Dridex 不僅能夠聯(lián)系遠程服務器并發(fā)送有關(guān)受感染系統(tǒng)的信息，而且還可以下載并執(zhí)行從遠程服務器接收的任意模塊。

最常被利用的漏洞

本月最常被利用的漏洞是“MVPower DVR 遠程執(zhí)行代碼”，影響了全球 46% 的組織，其次是“Dasan GPON 路由器身份驗證繞過”漏洞，影響了全球 42% 的組織。“OpenSSL TLS DTLS心跳信息披露 (CVE-2014-0160; CVE-2014-0346)”漏洞位居第三，影響了全球 36% 的組織。

• ↑MVPower DVR 遠程執(zhí)行代碼 - 一種存在于 MVPower DVR 設備中的遠程執(zhí)行代碼漏洞。遠程攻擊者可利用此漏洞，通過精心設計的請求在受感染的路由器中執(zhí)行任意代碼。

• ↑ Dasan GPON 路由器身份驗證繞過 (CVE-2018-10561) – 一種存在于 Dasan GPON 路由器中的身份驗證繞過漏洞。遠程攻擊者可成功利用此漏洞獲取敏感信息并獲得對被感染系統(tǒng)的未授權(quán)訪問。

• ↑ OpenSSL TLS DTLS 心跳信息泄露 (CVE-2014-0160;CVE-2014-0346) - 一種存在于OpenSSL 中的信息泄露漏洞。該漏洞是因處理 TLS/DTLS 心跳包時發(fā)生錯誤所致。攻擊者可利用該漏洞泄露聯(lián)網(wǎng)客戶端或服務器的內(nèi)存內(nèi)容。

頭號移動惡意軟件家族

本月最流行的移動惡意軟件是 xHelper，其次是 Xafecopy 和 Hiddad。

• xHelper - 自 2019 年3 月以來開始肆虐的惡意應用，用于下載其他惡意應用并顯示惡意廣告。該應用能夠?qū)τ脩綦[身，并在卸載后進行自我重新安裝。
• Xafekopy - Xafecopy 木馬偽裝成有用的應用，例如 Battery Master，然后秘密將惡意代碼加載到設備上。應用一旦被激活，Xafecopy 惡意軟件便會點擊采用無線應用協(xié)議 (WAP) 計費模式的網(wǎng)頁，WAP 計費是一種直接將費用計入用戶手機賬單的移動支付形式。
• Hiddad - Hiddad 是一種 Android 惡意軟件，能夠?qū)戏☉眠M行重新打包，然后將其發(fā)布到第三方商店。其主要功能是展示廣告，但它也可以訪問操作系統(tǒng)內(nèi)置的關(guān)鍵安全細節(jié)。

Check Point《全球威脅影響指數(shù)》及其《ThreatCloud 路線圖》基于 Check Point ThreatCloud 情報數(shù)據(jù)撰寫而成，ThreatCloud 是打擊網(wǎng)絡犯罪的最大協(xié)作網(wǎng)絡，可通過全球威脅傳感器網(wǎng)絡提供威脅數(shù)據(jù)和攻擊趨勢。ThreatCloud 數(shù)據(jù)庫每天檢查超過 25 億個網(wǎng)站和 5 億份文件，每天識別超過 2.5 億起惡意軟件攻擊活動。