俄烏戰(zhàn)爭正在進(jìn)行時(shí)，戰(zhàn)場硝煙彌漫、網(wǎng)絡(luò)上明爭暗斗，安理會一票否決，歐美各國大喊制裁，實(shí)質(zhì)性不強(qiáng)，匿名者黑客組織向俄羅斯發(fā)起網(wǎng)絡(luò)挑戰(zhàn)。同時(shí)Conti勒索軟件組織、RedBanditsRU網(wǎng)絡(luò)犯罪組織和鮮為人知的CoomingProject勒索軟件計(jì)劃，承諾在發(fā)生針對俄羅斯的網(wǎng)絡(luò)攻擊和行為時(shí)，將幫助俄羅斯政府。

當(dāng)全世界目光投向俄烏戰(zhàn)爭之際，美國在臺海耀武揚(yáng)威，而朝鮮也恢復(fù)導(dǎo)彈試驗(yàn)，這是朝鮮在 1 月份進(jìn)行了創(chuàng)紀(jì)錄的導(dǎo)彈試驗(yàn)之后，周日發(fā)射了一枚疑似遠(yuǎn)程彈道火箭，全球注意力都集中在了烏克蘭身上，西方媒體認(rèn)為其加劇了緊張局勢。

根據(jù)CheckPoint的最新的2022年1月全球威脅指數(shù)顯示，Emotet在長期位居榜首之后，再次把Trickbot 推下首位，攀升第一的位置，影響了全球監(jiān)測抽樣6%的組織。事實(shí)證明，Log4j 仍然是一個(gè)大問題，影響了全球監(jiān)測抽樣的 47.4% 的組織，受攻擊最多的行業(yè)仍然是教育、研究。

臭名昭著的僵尸網(wǎng)絡(luò)最常通過包含惡意附件或鏈接的網(wǎng)絡(luò)釣魚電子郵件傳播。Trickbot 的流行只是起到了催化劑的作用，進(jìn)一步加速傳播了惡意軟件。與此同時(shí)，Dridex完全從前十名中被擠出去，取而代之的是 Lokibot，有一個(gè)信息竊取器用于獲取電子郵件憑據(jù)、加密貨幣錢包密碼和 FTP 服務(wù)器等數(shù)據(jù)。

本月，Dridex 從我們的前十名中消失，Lokibot 重新出現(xiàn)。Lokibot 在受害者最忙碌的時(shí)候利用他們，通過偽裝得很好的網(wǎng)絡(luò)釣魚電子郵件進(jìn)行分發(fā)。這些威脅，連同與 Log4j 漏洞的持續(xù)斗爭，強(qiáng)調(diào)了跨網(wǎng)絡(luò)、云、移動和用戶端點(diǎn)獲得最佳安全性的重要性。

我們本月Apache Log4j 遠(yuǎn)程執(zhí)行代碼仍然是最常被利用的漏洞，影響了全球監(jiān)測抽樣 47.4% 的組織，其次是Web 服務(wù)器暴露的 Git 存儲庫信息泄露，影響了全球監(jiān)測抽樣 45% 的組織HTTP Headers Remote Code Execution在被利用最多的漏洞列表中排名第三，全球監(jiān)測抽樣影響率為 42%。

2022年1月“十惡不赦”

*箭頭表示與上個(gè)月相比的排名變化。

本月，Emotet是最流行的惡意軟件，影響了全球 6% 的組織，緊隨其后的是Trickbot，影響率為 4%，F(xiàn)ormbook緊隨其后，影響率為 3%。

1.↑ Emotet – Emotet 是一種先進(jìn)的、自我傳播的模塊化木馬。Emotet 曾經(jīng)被用作銀行木馬，最近被用作其他惡意軟件或惡意活動的分發(fā)者。它使用多種方法來維護(hù)持久性和規(guī)避技術(shù)以避免檢測。此外，它還可以通過包含惡意附件或鏈接的網(wǎng)絡(luò)釣魚垃圾郵件進(jìn)行傳播。

2.↓ Trickbot – Trickbot 是一個(gè)模塊化的僵尸網(wǎng)絡(luò)和銀行木馬，不斷更新新的功能、特性和分發(fā)向量。這使 Trickbot 成為一種靈活且可定制的惡意軟件，可以作為多用途活動的一部分進(jìn)行分發(fā)。

3.↓ Formbook – Formbook 是一個(gè)信息竊取器，它從各種 Web 瀏覽器中獲取憑據(jù)，收集屏幕截圖、監(jiān)控和記錄擊鍵，并可以根據(jù)其 C&C 命令下載和執(zhí)行文件。

4.?Agent Tesla – Agent Tesla 是一種高級 RAT，可用作鍵盤記錄器和信息竊取器。它能夠監(jiān)控和收集受害者的鍵盤輸入、系統(tǒng)鍵盤、截取屏幕截圖并將憑據(jù)泄露給安裝在受害者機(jī)器上的各種軟件(包括 Google Chrome、Mozilla Firefox 和 Microsoft Outlook 電子郵件客戶端)。

5. ↑XMRig –XMRig 是一款開源 CPU 挖礦軟件，用于門羅幣加密貨幣的挖礦過程，于 2017 年 5 月首次出現(xiàn)在野外。

6.↓ Glupteba – Glupteba 是一個(gè)后門，逐漸成熟為僵尸網(wǎng)絡(luò)。到 2019 年，它包括一個(gè)通過公共比特幣列表的 C&C 地址更新機(jī)制、一個(gè)完整的瀏覽器竊取功能和一個(gè)路由器漏洞利用程序。

7.↓ Remcos – Remcos 是 2016 年首次出現(xiàn)在野外的 RAT。Remcos通過附加到垃圾郵件的惡意 Microsoft Office 文檔進(jìn)行傳播，旨在繞過 Microsoft Windows UAC 安全并以高級權(quán)限執(zhí)行惡意軟件。

8.?Ramnit -Ramnit 是一種銀行木馬，可竊取銀行憑證、FTP 密碼、會話 cookie 和個(gè)人數(shù)據(jù)。

9.↑ Phorpiex – Phorpiex 是一個(gè)僵尸網(wǎng)絡(luò)(又名 Trik)，自 2010 年以來一直存在，并在其鼎盛時(shí)期控制了超過一百萬個(gè)受感染的主機(jī)。它以通過垃圾郵件活動分發(fā)其他惡意軟件系列以及助長大規(guī)模垃圾郵件和性勒索活動而聞名。

10.↑ Lokibot – Lokibot 是一種主要通過網(wǎng)絡(luò)釣魚電子郵件分發(fā)的信息竊取器，用于竊取各種數(shù)據(jù)，例如電子郵件憑據(jù)，以及 CryptoCoin 錢包和 FTP 服務(wù)器的密碼。

1月份漏洞Top10

本月Apache Log4j 遠(yuǎn)程代碼執(zhí)行仍然是最常被利用的漏洞，影響了全球監(jiān)測抽樣47.4%的組織，其次是 Web 服務(wù)器暴露的 Git 存儲庫信息泄露，影響了全球監(jiān)測抽樣45%的組織。HTTP Headers Remote Code Execution 在被利用最多的漏洞列表中排名第三，全球監(jiān)測抽樣影響率為42%。

1.?Apache Log4j 遠(yuǎn)程代碼執(zhí)行 (CVE-2021-44228) – Apache Log4j 中存在遠(yuǎn)程代碼執(zhí)行漏洞。成功利用此漏洞可能允許遠(yuǎn)程攻擊者在受影響的系統(tǒng)上執(zhí)行任意代碼。

2.? Web服務(wù)器暴露的 Git 存儲庫信息泄露– Git 存儲庫中報(bào)告了一個(gè)信息泄露漏洞。成功利用此漏洞可能會無意中泄露賬戶信息。

3.? HTTP 標(biāo)頭遠(yuǎn)程代碼執(zhí)行(CVE-2020-10826、CVE-2020-10827、CVE-2020-10828、CVE-2020-13756) ——HTTP 標(biāo)頭允許客戶端和服務(wù)器通過 HTTP 請求傳遞附加信息。遠(yuǎn)程攻擊者可能使用易受攻擊的 HTTP 標(biāo)頭在受害機(jī)器上運(yùn)行任意代碼。

4.? Web服務(wù)器惡意 URL 目錄遍歷(CVE-2010-4598,CVE-2011-2474,CVE-2014-0130,CVE-2014-0780,CVE-2015-0666,CVE-2015-4068,CVE-2015-7254,CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-2020-8260) – 那里在不同的 Web 服務(wù)器上存在目錄遍歷漏洞。該漏洞是由于 Web 服務(wù)器中的輸入驗(yàn)證錯(cuò)誤未正確清理目錄遍歷模式的 URI。成功利用允許未經(jīng)身份驗(yàn)證的遠(yuǎn)程攻擊者泄露或訪問易受攻擊的服務(wù)器上的任意文件。

5.↑ 通過 HTTP 進(jìn)行命令注入(CVE-2013-6719,CVE-2013-6720) – 報(bào)告了通過 HTTP 進(jìn)行命令注入漏洞。遠(yuǎn)程攻擊者可以通過向受害者發(fā)送特制請求來利用此問題。成功的利用將允許攻擊者在目標(biāo)機(jī)器上執(zhí)行任意代碼。

6.↑ D-LINK 多產(chǎn)品遠(yuǎn)程代碼執(zhí)行 (CVE-2015-2051) - 多個(gè)D-Link 產(chǎn)品中報(bào)告了遠(yuǎn)程代碼執(zhí)行漏洞。成功利用可能導(dǎo)致在易受攻擊的設(shè)備上執(zhí)行任意代碼。

7.↓ MVPower DVR 遠(yuǎn)程代碼執(zhí)行– MVPower DVR 設(shè)備中存在遠(yuǎn)程代碼執(zhí)行漏洞。遠(yuǎn)程攻擊者可以利用此弱點(diǎn)通過精心制作的請求在受影響的路由器中執(zhí)行任意代碼。

8.↓ Dasan GPON 路由器身份驗(yàn)證繞過 (CVE-2018-10561) – Dasan GPON 路由器中存在身份驗(yàn)證繞過漏洞。成功利用此漏洞將允許遠(yuǎn)程攻擊者獲取敏感信息并未經(jīng)授權(quán)訪問受影響的系統(tǒng)。

9.↑ PHP 復(fù)活節(jié)彩蛋信息披露 - PHP 頁面中報(bào)告了一個(gè)信息披露漏洞。該漏洞是由于 Web 服務(wù)器配置不正確造成的。遠(yuǎn)程攻擊者可以通過向受影響的 PHP 頁面發(fā)送特制 URL 來利用此漏洞。

10.↓ Apache HTTP Server 目錄遍歷 (CVE-2021-41773,CVE-2021-42013) – Apache HTTP Server中存在目錄遍歷漏洞。成功利用此漏洞可能允許攻擊者訪問受影響系統(tǒng)上的任意文件。

頂級移動惡意軟件

本月xHelper作為最流行的移動惡意軟件排名第一，其次是AlienBot和FluBot。

1.xHelper – 自 2019 年 3 月以來未在野外出現(xiàn)的惡意應(yīng)用程序，用于下載其他惡意應(yīng)用程序和顯示廣告。該應(yīng)用程序能夠?qū)τ脩綦[藏自身并在被卸載時(shí)重新安裝自身。

2.AlienBot – AlienBot 惡意軟件系列是適用于 Android 設(shè)備的惡意軟件即服務(wù) (MaaS)，它允許遠(yuǎn)程攻擊者首先將惡意代碼注入合法的金融應(yīng)用程序。攻擊者獲得對受害者賬戶的訪問權(quán)限，并最終完全控制他們的設(shè)備。

3.FluBot – FluBot 是一種 Android 僵尸網(wǎng)絡(luò)惡意軟件，通過網(wǎng)絡(luò)釣魚 SMS 消息分發(fā)，通常冒充物流配送品牌。一旦用戶單擊消息中的鏈接，F(xiàn)luBot 就會安裝并訪問手機(jī)上的所有敏感信息。