今年，微軟修補(bǔ) CVE漏洞總數(shù)達(dá)到887 個(gè)，較 2020 年減少了 29%。就12 月份來說，微軟發(fā)布了針對Microsoft Windows 和 Windows 組件、ASP.NETCore 和 Visual Studio、Azure BotFramework SDK、Internet Storage Name Service、Defender for IoT、Edge(基于 Chromium)、Microsoft Office 和Office 組件、SharePoint Server、PowerShell、遠(yuǎn)程桌面客戶端、Windows Hyper-V、Windows Mobile 設(shè)備管理、Windows 遠(yuǎn)程訪問連接管理器、TCP/IP 和 Windows 更新堆棧的67個(gè)漏洞發(fā)布安全補(bǔ)丁。結(jié)合本月早些時(shí)候 Microsoft Edge(基于 Chromium)修補(bǔ)的 16 個(gè)漏洞補(bǔ)丁， 12 月的 CVE 漏洞總數(shù)達(dá)到 83 個(gè)。另外，網(wǎng)絡(luò)安全從業(yè)人員，都更加會(huì)關(guān)注CVE-2021-44228：Log4Shell(Log4j)這個(gè)漏洞，它甚至稱為史詩級漏洞。國外安全網(wǎng)站，這么去形容它的影響：除非你一直閉著眼睛躲在巖石下，用手捂住耳朵，否則你應(yīng)該聽說過最近披露的 Java 日志庫中一個(gè)名為Apache Log4j 的漏洞。。

通過CheckPoint研究，最新的 2021 年 11 月全球威脅指數(shù)顯示，雖然 Trickbot 仍然位居最流行的惡意軟件列表的首位，影響了全球抽樣的5% 組織，但最近死灰復(fù)燃的 Emotet 重新回到指數(shù)中的第七位。同時(shí)，研究表明受攻擊最多的行業(yè)是教育/研究。這點(diǎn)和國內(nèi)的情況，保持一致。

盡管今年早些時(shí)候歐洲刑警組織合力打擊 Emotet ，使其暫時(shí)偃旗息鼓而付出了巨大努力，但這個(gè)臭名昭著的僵尸網(wǎng)絡(luò)已被確認(rèn)在 11 月之前復(fù)燃，并且排在了CheckPoint威脅排名第七大最常用的惡意軟件。而Trickbot 本月是第六次位居該指數(shù)榜首，甚至與 Emotet 的新變種有關(guān)，該變種使用 Trickbot 的基礎(chǔ)設(shè)施安裝在受感染的機(jī)器上。

Emotet 通過網(wǎng)絡(luò)釣魚電子郵件傳播的，其中包含受感染的 Word、Excel 和 Zip 文件，這些文件將 Emotet 部署在受害主機(jī)上。最近，Emotet 還開始通過偽裝成 Adobe 軟件的惡意 Windows 應(yīng)用安裝程序包進(jìn)行分發(fā)傳播。

Emotet 是網(wǎng)絡(luò)歷史上最成功的僵尸網(wǎng)絡(luò)之一，是近年來有針對性的勒索軟件攻擊爆炸式增長的罪魁禍?zhǔn)?。僵尸網(wǎng)絡(luò)在 11 月的卷土重來非常令人擔(dān)憂，可能會(huì)導(dǎo)致此類攻擊的進(jìn)一步增加。它利用 Trickbot 的基礎(chǔ)設(shè)施，縮短了 Emotet 在全球網(wǎng)絡(luò)中建立足夠重要的立足點(diǎn)所需的時(shí)間。

Web 服務(wù)器惡意 URL 目錄遍歷漏洞仍然是最常被利用的漏洞，影響了全球抽樣 44% 的組織，其次是Web 服務(wù)器暴露的 Git 存儲(chǔ)庫信息泄露，影響了全球 抽樣43.7% 的組織。HTTP Headers Remote Code Execution在最常被利用的漏洞列表中排名第三，全球抽樣影響為42%。

2021年11月“十惡不赦”

*箭頭表示與上個(gè)月相比的排名變化。

11月，Trickbot是最流行的惡意軟件，影響了全球抽樣 5% 的組織，其次是Agent Tesla和Formbook，兩者的全球抽樣影響均為 4%。

↔Trickbot – Trickbot 是一個(gè)模塊化的僵尸網(wǎng)絡(luò)和銀行木馬，不斷更新新的功能、特性和分發(fā)向量。這使 Trickbot 成為一種靈活且可定制的惡意軟件，可以作為多用途活動(dòng)的一部分進(jìn)行分發(fā)。

↑ Agent Tesla – Agent Tesla 是一種先進(jìn)的 RAT，用作鍵盤記錄器和信息竊取器，能夠監(jiān)視和收集受害者的鍵盤輸入、系統(tǒng)鍵盤、截屏，并將憑據(jù)泄露到安裝在受害者機(jī)器上的各種軟件中(包括 Google Chrome、Mozilla Firefox 和 Microsoft Outlook。)

↑ Formbook – Formbook 是一個(gè) InfoStealer，可以從各種 Web 瀏覽器中收集憑據(jù)，收集屏幕截圖、監(jiān)控和記錄擊鍵，并且可以根據(jù)其 C&C 命令下載和執(zhí)行文件。

 Glupteba – Glupteba 是一個(gè)逐漸成熟為僵尸網(wǎng)絡(luò)的后門。到 2019 年，它包括通過公共比特幣列表的 C&C 地址更新機(jī)制、集成的瀏覽器竊取器功能和路由器開發(fā)器。

↓ Remcos – Remcos 是一種 RAT，于 2016 年首次出現(xiàn)在野外。Remcos 通過附加到垃圾郵件的惡意 Microsoft Office 文檔進(jìn)行自我分發(fā)，旨在繞過 Microsoft Windows UAC 安全并以高級權(quán)限執(zhí)行惡意軟件。

↓ XMRig – XMRig 是一種開源 CPU 挖掘軟件，用于門羅幣加密貨幣的挖掘過程，于 2017 年 5 月首次出現(xiàn)在野外。

↑ Emotet – Emotet 是一種先進(jìn)的、自我傳播的、模塊化的木馬。Emotet 曾經(jīng)被用作銀行木馬，最近被用作其他惡意軟件或惡意活動(dòng)的分發(fā)者。它使用多種方法來保持持久性和規(guī)避技術(shù)來避免檢測。此外，它還可以通過包含惡意附件或鏈接的網(wǎng)絡(luò)釣魚垃圾郵件進(jìn)行傳播。

↓ Ramnit – Ramnit 是一種銀行木馬，可竊取銀行憑據(jù)、FTP 密碼、會(huì)話 cookie 和個(gè)人數(shù)據(jù)。

↑ Floxif – Floxif 是一個(gè)信息竊取器和后門，專為 Windows 操作系統(tǒng)設(shè)計(jì)。它在 2017 年被用作大規(guī)模攻擊活動(dòng)的一部分，攻擊者將 Floxif(和 Nyetya)插入到 CCleaner(一種清理實(shí)用程序)的免費(fèi)版本中，從而感染了超過 200 萬用戶，其中包括谷歌等大型科技公司，微軟、思科和英特爾。

↑ Vidar – Vidar 是一種針對 Windows 操作系統(tǒng)的信息竊取程序。它于 2018 年底首次被發(fā)現(xiàn)，旨在從各種網(wǎng)絡(luò)瀏覽器和數(shù)字錢包竊取密碼、信用卡數(shù)據(jù)和其他敏感信息。Vidar 已在各種在線論壇上出售，并用作惡意軟件投放器，下載 GandCrab 勒索軟件作為其輔助負(fù)載。

全球受攻擊最多的行業(yè)：本月，教育/研究是全球受攻擊最多的行業(yè)，其次是通信和政府/軍事。

• 教育/研究
• 通訊
• 政府/軍隊(duì)

11月份漏洞Top10

11月，Web 服務(wù)器惡意 URL 目錄遍歷仍然是最常被利用的漏洞，影響了全球抽樣44% 的組織，其次是Web 服務(wù)器暴露的 Git 存儲(chǔ)庫信息泄露，影響了全球抽樣43.7% 的組織。HTTP Headers Remote Code Execution在最常被利用的漏洞列表中排名第三，全球抽樣影響為42%。

↔Web 服務(wù)器惡意 URL 目錄遍歷(CVE-2010-4598、CVE-2011-2474、CVE-2014-0130、CVE-2014-0780、CVE-2015-0666、CVE-2015-4061-2474、CVE-2014-0130、CVE-2015-4068、CVE-204 CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-200) - 820是不同網(wǎng)絡(luò)服務(wù)器上的目錄遍歷漏洞。該漏洞是由于 Web 服務(wù)器中的輸入驗(yàn)證錯(cuò)誤導(dǎo)致的，該錯(cuò)誤未正確清理目錄遍歷模式的 URL。成功利用允許未經(jīng)身份驗(yàn)證的遠(yuǎn)程攻擊者披露或訪問易受攻擊的服務(wù)器上的任意文件。

↔Web Server Exposed Git Repository Information Disclosure - Git Repository 中報(bào)告了一個(gè)信息泄露漏洞。成功利用此漏洞可能會(huì)無意中泄露賬戶信息。

↔ HTTP 標(biāo)頭遠(yuǎn)程代碼執(zhí)行(CVE-2020-10826、CVE-2020-10827、CVE-2020-10828、CVE-2020-13756) ——HTTP 標(biāo)頭讓客戶端和服務(wù)器通過 HTTP 請求傳遞附加信息。遠(yuǎn)程攻擊者可能會(huì)使用易受攻擊的 HTTP 標(biāo)頭在受害機(jī)器上運(yùn)行任意代碼。

↑ MVPower DVR 遠(yuǎn)程代碼執(zhí)行– MVPower DVR 設(shè)備中存在遠(yuǎn)程代碼執(zhí)行漏洞。遠(yuǎn)程攻擊者可以利用此弱點(diǎn)通過精心設(shè)計(jì)的請求在受影響的路由器中執(zhí)行任意代碼。

↓ Dasan GPON Router Authentication Bypass (CVE-2018-10561) – Dasan GPON 路由器中存在一個(gè)認(rèn)證繞過漏洞。成功利用此漏洞將允許遠(yuǎn)程攻擊者獲取敏感信息并未經(jīng)授權(quán)訪問受影響的系統(tǒng)。

↑ Apache HTTP Server 目錄遍歷 (CVE-2021-41773,CVE-2021-42013 ) – Apache HTTP Server 中存在目錄遍歷漏洞。成功利用此漏洞可能允許攻擊者訪問受影響系統(tǒng)上的任意文件。

↔ 基于 HTTP 的命令注入 (CVE-2013-6719,CVE-2013-6720) – 已經(jīng)報(bào)告了基于 HTTP 的命令注入漏洞。遠(yuǎn)程攻擊者可以通過向受害者發(fā)送特制的請求來利用此問題。成功的利用將允許攻擊者在目標(biāo)機(jī)器上執(zhí)行任意代碼。

↓ Apache Struts2 Content-Type Remote Code Execution (CVE-2017-5638,CVE-2017-5638,CVE-2019-0230) –使用 Jakarta 多部分解析器的 Apache Struts2 中存在遠(yuǎn)程代碼執(zhí)行漏洞。攻擊者可以通過發(fā)送無效的內(nèi)容類型作為文件上傳請求的一部分來利用此漏洞。成功利用可能會(huì)導(dǎo)致在受影響的系統(tǒng)上執(zhí)行任意代碼。

↔OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160,CVE-2014-0346) – OpenSSL 中存在信息泄露漏洞。該漏洞，又名 Heartbleed，是由于處理 TLS/DTLS 心跳包時(shí)出現(xiàn)錯(cuò)誤造成的。攻擊者可以利用此漏洞來泄露連接的客戶端或服務(wù)器的內(nèi)存內(nèi)容。

↑ NoneCMS ThinkPHP 遠(yuǎn)程代碼執(zhí)行(CVE-2018-20062) ——NoneCMS ThinkPHP 框架中存在遠(yuǎn)程代碼執(zhí)行漏洞。成功利用此漏洞可能允許遠(yuǎn)程攻擊者在受影響的系統(tǒng)上執(zhí)行任意代碼。

頂級移動(dòng)惡意軟件

11月，AlienBot 在最流行的移動(dòng)惡意軟件中排名第一，其次是 xHelper 和 FluBot。

AlienBot – AlienBot 惡意軟件系列是一種適用于 Android 設(shè)備的惡意軟件即服務(wù) (MaaS)，允許遠(yuǎn)程攻擊者作為第一步，將惡意代碼注入合法的金融應(yīng)用程序中。攻擊者可以訪問受害者的帳戶，并最終完全控制他們的設(shè)備。

xHelper – 自 2019 年 3 月以來在野外發(fā)現(xiàn)的惡意應(yīng)用程序，用于下載其他惡意應(yīng)用程序并顯示廣告。該應(yīng)用程序能夠?qū)τ脩綦[藏自己，甚至可以在卸載時(shí)重新安裝。

FluBot – FluBot 是一種 Android 僵尸網(wǎng)絡(luò)，通過網(wǎng)絡(luò)釣魚 SMS 消息分發(fā)，通常冒充物流配送品牌。一旦用戶單擊消息中的鏈接，F(xiàn)luBot 就會(huì)安裝并訪問手機(jī)上的所有敏感信息。