俄烏戰(zhàn)爭引發(fā)了前所未有的網(wǎng)絡(luò)大混戰(zhàn)，2022 年 2 月CheckPoint給出的全球威脅指數(shù)顯示，Emotet 仍然是最流行的惡意軟件，影響了全球監(jiān)測抽樣 5% 的組織，而 Trickbot 則進(jìn)一步下滑至第六位。

Trickbot是計算機惡意軟件，是 Microsoft Windows 和其他操作系統(tǒng)的特洛伊木馬，主要功能最初是竊取銀行詳細(xì)信息和其他憑證，但其運營商已擴展其功能以創(chuàng)建完整的模塊化惡意軟件生態(tài)系統(tǒng)。在 2021 年期間，七次出現(xiàn)在CheckPoint的惡意軟件威脅排名列表的TOP 1。在過去的幾周里，沒有看到新的 Trickbot 活動，其在CheckPoint的排名第六。

二月末，俄烏戰(zhàn)爭爆發(fā)，包括匿名者、Conti等黑客組織各自選擇自己效力的一方，開始站隊引發(fā)互聯(lián)網(wǎng)大混戰(zhàn)。

根據(jù)CheckPoint的監(jiān)測，本月教育/研究仍然是全球受攻擊最多的行業(yè)，其次是政府/軍事和互聯(lián)網(wǎng)服務(wù)提供商 (ISP)/托管服務(wù)提供商 (MSP)。Web Server Exposed Git Repository Information Disclosure是最常被利用的漏洞，影響了全球監(jiān)測抽樣 46% 的組織，其次是Apache Log4j 遠(yuǎn)程代碼執(zhí)行，從第一位跌至第二位，影響了全球監(jiān)測抽樣44% 的組織。HTTP Headers Remote Code Execution是第三大漏洞，全球監(jiān)測抽樣影響率為 41%。

2022年2月“十惡不赦”

*箭頭表示與上個月相比的排名變化。

本月，Emotet仍然是最流行的惡意軟件，影響了全球監(jiān)測抽樣 5% 的組織，緊隨其后的是Formbook，影響了監(jiān)測抽樣 3% 的組織，Glupteba影響了全球監(jiān)測抽樣 2%。

1.? Emotet – Emotet 是一種先進(jìn)的、自我傳播的模塊化木馬。

Emotet 曾經(jīng)被用作銀行木馬，最近被用作其他惡意軟件或惡意活動的分發(fā)者。

它使用多種方法來維護(hù)持久性和規(guī)避技術(shù)以避免檢測。

此外，它還可以通過包含惡意附件或鏈接的網(wǎng)絡(luò)釣魚垃圾郵件進(jìn)行傳播。

2.↑ Formbook – Formbook 是一個信息竊取器，它從各種 Web 瀏覽器收集憑據(jù)、收集屏幕截圖、監(jiān)控和記錄擊鍵，并可以根據(jù)其 C&C 命令下載和執(zhí)行文件。

3.↑ Glupteba – Glupteba 是一個后門，逐漸成熟為僵尸網(wǎng)絡(luò)。

到 2019 年，它包括一個通過公共比特幣列表的 C&C 地址更新機制、一個完整的瀏覽器竊取功能和一個路由器漏洞利用程序。

4.? Agent Tesla – Agent Tesla 是一種高級 RAT，可用作鍵盤記錄器和信息竊取程序，能夠監(jiān)控和收集受害者的鍵盤輸入、系統(tǒng)鍵盤、截屏以及將憑據(jù)泄露到安裝在受害者機器上的各種軟件(包括 Google Chrome、Mozilla Firefox 和 Microsoft Outlook 電子郵件客戶端)。

5.? XMRig – XMRig 是一款開源 CPU 挖掘軟件，用于門羅幣加密貨幣的挖掘過程，于 2017 年 5 月首次出現(xiàn)。

6.↓ Trickbot – Trickbot 是一個模塊化的僵尸網(wǎng)絡(luò)和銀行木馬，不斷更新新的功能、特性和分發(fā)向量。

這使 Trickbot 成為一種靈活且可定制的惡意軟件，可以作為多用途活動的一部分進(jìn)行分發(fā)。

7.↑ Ramnit -Ramnit 是一種銀行木馬，可竊取銀行憑證、FTP 密碼、會話 cookie 和個人數(shù)據(jù)。

8.↑ SnakeKeylogger – Snake 是一個模塊化的 .NET 鍵盤記錄器和憑據(jù)竊取程序，于 2020 年 11 月下旬首次被發(fā)現(xiàn)。

其主要功能是記錄用戶的擊鍵并將收集到的數(shù)據(jù)傳輸給威脅參與者。

Snake 感染對用戶的隱私和在線安全構(gòu)成重大威脅，因為該惡意軟件可以竊取幾乎所有類型的敏感信息，而且它是一種特別隱蔽和持久的鍵盤記錄器。

9.↑ Phorpiex – Phorpiex 是一個僵尸網(wǎng)絡(luò)(又名 Trik)，自 2010 年以來一直存在，并在其鼎盛時期控制了超過一百萬個受感染的主機。

它以通過垃圾郵件活動分發(fā)其他惡意軟件系列以及助長大規(guī)模垃圾郵件和性勒索活動而聞名。

10.↑ Tofsee – Tofsee 是一個針對 Windows 平臺的 Trickler。

此惡意軟件嘗試在目標(biāo)系統(tǒng)上下載并執(zhí)行其他惡意文件。

它可能會下載圖像文件并將其顯示給用戶，以隱藏其真實目的。

全球受攻擊最多的行業(yè)

本月教育/研究是全球受攻擊最多的行業(yè)，其次是政府/軍事和ISP/MSP。

• 教育/研究
• 政府/軍隊
• ISP/MSP

2月份漏洞Top10

本月 Web Server Exposed Git Repository Information Disclosure 是最常被利用的漏洞，影響了全球監(jiān)測抽樣 46% 的組織，其次是 Apache Log4j 遠(yuǎn)程代碼執(zhí)行，它從第一位跌至第二位，影響了全球監(jiān)測抽樣 44% 的組織。 HTTP Headers Remote Code Execution 是第三大漏洞，全球監(jiān)測抽樣影響率為 41%。

1.↑ Web Server Exposed Git Repository Information Disclosure – Git Repository 中報告了一個信息泄露漏洞。成功利用此漏洞可能會無意中泄露賬戶信息。

2.↓ Apache Log4j 遠(yuǎn)程代碼執(zhí)行 (CVE-2021-44228) – Apache Log4j 中存在遠(yuǎn)程代碼執(zhí)行漏洞。成功利用此漏洞可能允許遠(yuǎn)程攻擊者在受影響的系統(tǒng)上執(zhí)行任意代碼。

3.? HTTP 標(biāo)頭遠(yuǎn)程代碼執(zhí)行(CVE-2020-10826、CVE-2020-10827、CVE-2020-10828、CVE-2020-13756) ——HTTP 標(biāo)頭允許客戶端和服務(wù)器通過 HTTP 請求傳遞附加信息。遠(yuǎn)程攻擊者可能使用易受攻擊的 HTTP 標(biāo)頭在受害者機器上運行任意代碼。

4.↑ MVPower DVR 遠(yuǎn)程代碼執(zhí)行– MVPower DVR 設(shè)備中存在遠(yuǎn)程代碼執(zhí)行漏洞。遠(yuǎn)程攻擊者可以利用此弱點通過精心設(shè)計的請求在受影響的路由器中執(zhí)行任意代碼。

5.↓ Web 服務(wù)器惡意 URL 目錄遍歷 (CVE-2010-4598,CVE-2011-2474,CVE-2014-0130,CVE-2014-0780,CVE-2015-0666,CVE-2015-4068,CVE-2015-7254, CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-2020-8260) – 那里在不同的 Web 服務(wù)器上存在目錄遍歷漏洞。該漏洞是由于 Web 服務(wù)器中的輸入驗證錯誤未正確清理目錄遍歷模式的 URI。成功利用允許未經(jīng)身份驗證的遠(yuǎn)程攻擊者泄露或訪問易受攻擊的服務(wù)器上的任意文件。

6.↑ PHP Easter Egg Information Disclosure – PHP 頁面中報告了一個信息泄露漏洞。該漏洞是由于 Web 服務(wù)器配置不正確造成的。遠(yuǎn)程攻擊者可以通過向受影響的 PHP 頁面發(fā)送特制URL來利用此漏洞。

7.↓ D-LINK 多產(chǎn)品遠(yuǎn)程代碼執(zhí)行 (CVE-2015-2051) – 多個 D-Link 產(chǎn)品中報告了遠(yuǎn)程代碼執(zhí)行漏洞。成功利用可能導(dǎo)致在易受攻擊的設(shè)備上執(zhí)行任意代碼。

8.? Dasan GPON 路由器身份驗證繞過 (CVE-2018-10561) – Dasan GPON 路由器中存在身份驗證繞過漏洞。成功利用此漏洞將允許遠(yuǎn)程攻擊者獲取敏感信息并未經(jīng)授權(quán)訪問受影響的系統(tǒng)。

9.↑ Dasan GPON 路由器遠(yuǎn)程命令注入 (CVE-2018-10562) - Dasan GPON 路由器中存在遠(yuǎn)程命令執(zhí)行漏洞。遠(yuǎn)程攻擊者可以通過向受害者發(fā)送惡意請求來利用此漏洞。成功利用此漏洞可能導(dǎo)致在目標(biāo)用戶的上下文中執(zhí)行任意代碼。

10.↑ PHPUnit 命令注入 (CVE-2017-9841) - PHPUnit 中存在命令注入漏洞。成功利用此漏洞將允許遠(yuǎn)程攻擊者在受影響的系統(tǒng)中執(zhí)行任意命令。

頂級移動惡意軟件

本月XLoader是最流行的移動惡意軟件，其次是xHelper和AlienBot。

1.XLoader – XLoader 是由中國黑客組織延邊幫開發(fā)的安卓間諜軟件和銀行木馬。該惡意軟件使用 DNS 欺騙來分發(fā)受感染的 Android 應(yīng)用程序以收集個人和財務(wù)信息。

2.xHelper – 自 2019 年 3 月以來在野外出現(xiàn)的惡意應(yīng)用程序，用于下載其他惡意應(yīng)用程序和顯示廣告。該應(yīng)用程序可以對用戶隱藏自己，并在被卸載時重新安裝。

3.AlienBot – AlienBot 惡意軟件系列是針對 Android 設(shè)備的惡意軟件即服務(wù) (MaaS)，它允許遠(yuǎn)程攻擊者首先將惡意代碼注入合法的金融應(yīng)用程序，然后允許攻擊者訪問受害者的賬戶，并最終完全控制他們的設(shè)備。