本月的漏洞補丁日了，很多國際廠商和微軟一樣，在周二發(fā)布其產(chǎn)品安全補丁，如Adobe、Android、Cisco、Citrix、Intel、Linux distributions Oracle Linux, Red Hat, SUSE、Samba、SAP、Schneider Electric、Siemens等。本月微軟方面則為其產(chǎn)品的55個漏洞發(fā)布了補丁，產(chǎn)品涉及 Microsoft Windows 和 Windows 組件、Azure、Azure RTOS、Azure Sphere、Microsoft Dynamics、Microsoft Edge(基于 Chromium)、Exchange Server、Microsoft Office 和 Office 組件、Windows Hyper-V等，其中包括對 Excel 和 Exchange Server 中兩個被積極利用的零日漏洞的修復(fù)?？赡軙粸E用以控制受影響的系統(tǒng)。從歷史上看，今年微軟11 月份的 55 個補丁是一個相對較低的數(shù)字。

CheckPoint給出的最新的 2021 年 10 月全球威脅指數(shù)顯示，模塊化僵尸網(wǎng)絡(luò)和銀行木馬 Trickbot 仍位居最流行的惡意軟件列表之首，影響全球抽樣 4% 的組織，而Apache HTTP 服務(wù)器目錄遍歷已進入被利用的漏洞列表前十名。其透露本月全球受攻擊最多的行業(yè)是教育/研究。這點，與我們國內(nèi)某些統(tǒng)計數(shù)據(jù)顯示的結(jié)果是一致的。究其原因，一則被黑客們關(guān)注，二則自身防護措施不佳(能力、管理、技術(shù)各方面共同決定)。

Trickbot 已經(jīng)是五次躋身CheckPoint統(tǒng)計的惡意軟件排行榜第一名，其可以竊取財務(wù)詳細(xì)信息、賬戶憑據(jù)和個人身份信息，以及在網(wǎng)絡(luò)中橫向傳播并投放勒索軟件。曾經(jīng)的Emotet在今年1月份被鏟除，Trickbot上位躋身惡意軟件列表之首。其還在不斷更新新功能、特性和分發(fā)載體，使其成為一種靈活且可定制的惡意軟件，實現(xiàn)其多用途活動分發(fā)。

新漏洞Apache HTTP Server Directory Traversal進入10月份進入漏洞排行榜前十名，位列第十。首次被發(fā)現(xiàn)時，Apache 的開發(fā)人員在 Apache HTTP Server 2.4.50 中發(fā)布了針對 CVE-2021-41773 的修復(fù)程序，但是使用Apache的單位修復(fù)補丁不夠積極，故修復(fù)不夠完善，Apache HTTP Server 仍然存在目錄遍歷漏洞。成功利用此漏洞可能允許攻擊者訪問受影響系統(tǒng)上的任意文件。

據(jù)CheckPoint觀點，在全球范圍內(nèi)，每周每 61 個組織中就有一個受到勒索軟件的影響。許多攻擊都是從一封簡單的電子郵件開始的，因此教育培訓(xùn)用戶如何識別潛在威脅是組織可以部署的最重要的防御措施之一。記住，教育培訓(xùn)是時時新，需要持之以恒的進行，在等級保護中也對此有要求，畢竟我們的等級保護是吸納了國際先進的經(jīng)驗和成果的再創(chuàng)新，豈能沒有對教育培訓(xùn)作出要求。

[[436161]]

CheckPoint統(tǒng)計的是教育/研究是全球受攻擊最多的行業(yè)，其次是通信和政府/軍事。Web 服務(wù)器惡意 URL 目錄遍歷是被利用最多的漏洞，影響了全球抽樣 60% 的組織，其次是Web 服務(wù)器暴露的 Git 存儲庫信息泄露，影響了全球抽樣 55% 的組織。HTTP Headers Remote Code Execution排名第三，全球抽樣影響為54%。

2021年10月“十惡不赦”

*箭頭表示與上個月相比的排名變化。

本月，Trickbot是最流行的惡意軟件，影響了全球 抽樣4% 的組織，其次是XMRig和Remcos，分別影響了全球抽樣的3%、2%的組織。

↑ Trickbot – Trickbot 是一個模塊化僵尸網(wǎng)絡(luò)和銀行木馬程序，不斷更新新功能、特性和分發(fā)載體，使 Trickbot 成為一種靈活且可定制的惡意軟件，可以作為多用途活動的一部分進行分發(fā)。

↑ XMRig – XMRig 是一種開源 CPU 挖礦軟件，用于門羅幣加密貨幣的挖掘，于 2017 年 5 月首次出現(xiàn)在野外。

↑ Remcos – Remcos 是一種 RAT，于 2016 年首次出現(xiàn)在野外。Remcos 通過附加到垃圾郵件電子郵件的惡意 Microsoft Office 文檔分發(fā)自身，旨在繞過 Microsoft Windows UAC 安全并以高級權(quán)限執(zhí)行惡意軟件。

↑ Glupteba – Glupteba 是一個逐漸成熟為僵尸網(wǎng)絡(luò)的后門。截至到 2019 年，功能涵蓋了公共比特幣列表的 C&C 地址更新機制、集成的瀏覽器竊取器功能和路由器開發(fā)器。

↑ Tofsee – Tofsee 是一種后門木馬，至少從 2013 年開始運行。Tofsee 是一種多用途工具，可以進行 DDoS 攻擊、發(fā)送垃圾郵件、加密貨幣挖礦等。

↑ Ramnit -Ramnit 是一種銀行木馬，可竊取銀行憑據(jù)、FTP 密碼、會話 cookie 和個人數(shù)據(jù)。

↓ Agent Tesla – Agent Tesla 是一種先進的 RAT，用作鍵盤記錄器和信息竊取器，能夠監(jiān)視和收集受害者的鍵盤輸入、系統(tǒng)鍵盤、截屏，并將憑據(jù)泄露到安裝在受害者機器上的各種軟件中(包括 Google Chrome、Mozilla Firefox 和 Microsoft Outlook 電子郵件客戶端)。

↑ Ursnif – Ursnif 是一種針對 Windows 平臺的木馬。通常通過漏洞利用工具包傳播，包括當(dāng)時 Angler 和 Rig。Ursnif 竊取與 Verifone 銷售點 (POS) 支付軟件相關(guān)的信息。聯(lián)系遠(yuǎn)程服務(wù)器以上傳收集的信息并接收指令。此外，還會下載并執(zhí)行受感染系統(tǒng)上的文件。

↓ Formbook – Formbook 是一個信息竊取器，可以從各種網(wǎng)絡(luò)瀏覽器中獲取憑據(jù)，收集屏幕截圖、監(jiān)控和記錄擊鍵，并可以根據(jù)其 C&C 命令下載和執(zhí)行文件。

↑ Nanocore – NanoCore 是一種遠(yuǎn)程訪問木馬，于 2013 年首次在野外觀察到，目標(biāo)是 Windows 操作系統(tǒng)用戶。所有版本的 RAT 都具有基本插件和功能，例如屏幕捕獲、加密貨幣挖掘、桌面遠(yuǎn)程控制和網(wǎng)絡(luò)攝像頭會話盜竊。

[[436162]]

10月份漏洞Top10

本月，Web 服務(wù)器惡意 URL 目錄遍歷是最常被利用的漏洞，影響了全球 抽樣60% 的組織，其次是Web 服務(wù)器暴露的 Git 存儲庫信息泄露，影響了全球抽樣 55% 的組織。HTTP Headers Remote Code Execution排名第三，全球抽樣影響為54%。

↑ Web 服務(wù)器惡意 URL 目錄遍歷(CVE-2010-4598、CVE-2011-2474、CVE-2014-0130、CVE-2014-0780、CVE-2015-0666、CVE-2015-4068、CVE-254、CVE-254、 CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-2020-8260-是不同網(wǎng)絡(luò)服務(wù)器上的目錄遍歷漏洞，是由于 Web 服務(wù)器中的輸入驗證錯誤導(dǎo)致的，該錯誤未正確清理目錄遍歷模式的 URL，允許未經(jīng)身份驗證的遠(yuǎn)程攻擊者披露或訪問易受攻擊的服務(wù)器上的任意文件。

↓ Web Server Exposed Git Repository Information Disclosure - Git Repository 中報告的一個信息泄露漏洞，可能會無意中泄露賬戶信息。

↔ HTTP 標(biāo)頭遠(yuǎn)程代碼執(zhí)行(CVE-2020-10826、CVE-2020-10827、CVE-2020-10828、CVE-2020-13756) ——HTTP 標(biāo)頭讓客戶端和服務(wù)器通過 HTTP 請求傳遞附加信息，可能會使用易受攻擊的 HTTP 標(biāo)頭在受害機器上運行任意代碼。

↑ Dasan GPON Router Authentication Bypass (CVE-2018-10561) – Dasan GPON 路由器中存在一個認(rèn)證繞過漏洞，允許遠(yuǎn)程攻擊者獲取敏感信息并未經(jīng)授權(quán)訪問受影響的系統(tǒng)。

↔ MVPower DVR 遠(yuǎn)程代碼執(zhí)行– MVPower DVR 設(shè)備中存在遠(yuǎn)程代碼執(zhí)行漏洞，遠(yuǎn)程攻擊者可以利用此弱點通過精心設(shè)計的請求在受影響的路由器中執(zhí)行任意代碼。

↑ Apache Struts2 Content-Type Remote Code Execution (CVE-2017-5638,CVE-2017-5638,CVE-2019-0230)-使用 Jakarta 多部分解析器的 Apache Struts2 中存在遠(yuǎn)程代碼執(zhí)行漏洞，攻擊者可以通過發(fā)送無效的內(nèi)容類型作為文件上傳請求的一部分來利用此漏洞，可能會導(dǎo)致在受影響的系統(tǒng)上執(zhí)行任意代碼。

↓ HTTP 命令注入 (CVE-2013-6719,CVE-2013-6720) –報告了 HTTP 命令注入漏洞。遠(yuǎn)程攻擊者可以通過向受害者發(fā)送特制的請求來利用此問題，允許攻擊者在目標(biāo)機器上執(zhí)行任意代碼。

↑ D-LINK 多產(chǎn)品遠(yuǎn)程代碼執(zhí)行 (CVE-2015-2051) –多個 D-Link 產(chǎn)品中報告了一個遠(yuǎn)程代碼執(zhí)行漏洞，可能會導(dǎo)致在易受攻擊的設(shè)備上執(zhí)行任意代碼。

↓ OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160,CVE-2014-0346) – OpenSSL 中存在信息泄露漏洞。該漏洞，又名 Heartbleed，是由于處理 TLS/DTLS 心跳包時出現(xiàn)錯誤造成的，利用此漏洞來泄露連接的客戶端或服務(wù)器的內(nèi)存內(nèi)容。

↑ Apache HTTP Server 目錄遍歷 (CVE-2021-41773,CVE-2021-42013) – Apache HTTP Server 中存在目錄遍歷漏洞，可能允許攻擊者訪問受影響系統(tǒng)上的任意文件。

頂級移動惡意軟件

[[436163]]

本月 xHelper 仍然是最流行的移動惡意軟件中的第一名，其次是 AlienBot 和 XLoader。

xHelper – 自 2019 年 3 月以來在野外發(fā)現(xiàn)的惡意應(yīng)用程序，用于下載其他惡意應(yīng)用程序并顯示廣告，應(yīng)用程序能夠?qū)τ脩綦[藏自己，甚至可以在卸載時重新安裝。

AlienBot – AlienBot 惡意軟件系列是一種適用于 Android 設(shè)備的惡意軟件即服務(wù) (MaaS)，允許遠(yuǎn)程攻擊者作為第一步，將惡意代碼注入合法的金融應(yīng)用程序中。攻擊者可以訪問受害者的帳戶，并最終完全控制他們的設(shè)備。

XLoader – XLoader 是 Android 間諜軟件和銀行木馬。該惡意軟件使用 DNS 欺騙來分發(fā)受感染的 Android 應(yīng)用程序以收集個人和財務(wù)信息。CheckPoint方面認(rèn)為是由名為“延邊幫”的中國黑客組織開發(fā)，具體開發(fā)團隊有待進一步確認(rèn)。

本文轉(zhuǎn)載自微信公眾號「祺印說信安」，作者何威風(fēng)。轉(zhuǎn)載本文請聯(lián)系祺印說信安公眾號。