跟蹤，CheckPoint發(fā)布的10 月全球威脅指數(shù)報告，鍵盤記錄程序 AgentTesla 已成為最廣泛傳播的惡意軟件，影響全球抽樣 7% 的組織。來自信息竊取者 Lokibot 的攻擊數(shù)量顯著增加，五個月來首次達(dá)到第三位。此外，還披露了一個影響 Apache Commons Text 庫的新漏洞 Text4Shell。

Lokibot 是一種商品信息竊取器，旨在從各種應(yīng)用程序中獲取憑據(jù)，包括：Web 瀏覽器、電子郵件客戶端和 IT 管理工具。作為特洛伊木馬，它的目標(biāo)是通過偽裝成合法程序潛入系統(tǒng)，不被發(fā)現(xiàn)。可以通過網(wǎng)絡(luò)釣魚電子郵件、惡意網(wǎng)站、SMS 和其他消息傳遞平臺進(jìn)行分發(fā)。這種受歡迎程度的上升可以通過以在線查詢、訂單和付款確認(rèn)消息為主題的垃圾郵件活動的增加來解釋。

10 月還發(fā)現(xiàn)了一個新的嚴(yán)重漏洞 Text4Shell (CVE-2022-42889)?；?Apache Commons Text 的功能，這允許通過網(wǎng)絡(luò)進(jìn)行攻擊，而無需任何特定權(quán)限或用戶交互。Text4shell 讓人想起 Log4Shell 漏洞，該漏洞仍然存在一年，是主要威脅之一，在 10 月列表中排名第二。盡管 Text4Shell 沒有列入本月利用的主要漏洞列表，但它已經(jīng)影響了全球超過 8% 的組織，Check Point 將繼續(xù)監(jiān)控其影響。

本月的排名發(fā)生了很大變化，一組新的惡意軟件家族構(gòu)成了三巨頭。有趣的是，Lokibot 如此迅速地爬回了第三位，這表明網(wǎng)絡(luò)釣魚攻擊的趨勢越來越明顯。隨著時間進(jìn)入11月，這是一個繁忙的購買期，重要的是人們要保持警惕并留意可能攜帶惡意代碼的可疑電子郵件。注意諸如不熟悉的發(fā)件人、要求提供個人信息和鏈接等跡象。如有疑問，請直接訪問網(wǎng)站并從經(jīng)過驗證的來源中找到適當(dāng)?shù)穆?lián)系信息，并確保安裝了惡意軟件防護(hù)。

根據(jù)CheckPoint的研究還顯示，“Web Server Exposed Git Repository Information Disclosure”是最常被利用的漏洞，影響了全球 43% 的組織，緊隨其后的是“Apache Log4j 遠(yuǎn)程代碼執(zhí)行”，影響率為 41%。10 月，教育/研究仍然是全球受攻擊最多的行業(yè)。

2022年10月“十惡不赦”

*箭頭表示與上個月相比排名的變化。

AgentTesla是本月影響最廣泛的惡意軟件，影響了全球 7% 的組織，其次是SnakeKeylogger ，影響了 5%，Lokibot影響了 4%。

↑ AgentTesla – AgentTesla 是一種高級 RAT，可用作鍵盤記錄器和信息竊取器。它能夠監(jiān)控和收集受害者的鍵盤輸入、系統(tǒng)鍵盤、截取屏幕截圖并將憑據(jù)泄露給安裝在受害者機(jī)器上的各種軟件（包括 Google Chrome、Mozilla Firefox 和 Microsoft Outlook）。

↑ SnakeKeylogger – SnakeKeylogger 是一個模塊化的 .NET 鍵盤記錄器和憑據(jù)竊取程序，于 2020 年 11 月首次被發(fā)現(xiàn)。其主要功能是記錄用戶的擊鍵并將收集的數(shù)據(jù)傳輸給威脅參與者。它對用戶的在線安全構(gòu)成重大威脅，因為這種惡意軟件可以竊取各種敏感信息，并且特別具有規(guī)避性。

↑Lokibot – Lokibot 是一種信息竊取程序，主要通過網(wǎng)絡(luò)釣魚電子郵件分發(fā)，用于竊取各種數(shù)據(jù)，例如電子郵件憑據(jù)，以及 Crypto Coin 錢包和 FTP 服務(wù)器的密碼。

↑Icedid – IcedID 是一種銀行木馬，于 2017 年 9 月首次出現(xiàn)。它通過垃圾郵件活動傳播，并經(jīng)常使用 Emotet 等其他惡意軟件來幫助其擴(kuò)散。IcedID 使用諸如進(jìn)程注入和隱寫術(shù)之類的規(guī)避技術(shù)。它通過重定向攻擊（通過安裝本地代理將用戶重定向到假克隆站點）和網(wǎng)絡(luò)注入攻擊來竊取用戶財務(wù)數(shù)據(jù)。

↓ XMRig – XMRig 是用于挖掘 Monero 加密貨幣的開源 CPU 挖掘軟件。威脅者經(jīng)常濫用這種開源軟件，將其集成到他們的惡意軟件中，在受害者的設(shè)備上進(jìn)行非法挖掘。

↓ Emotet- Emotet 是一種先進(jìn)的、自我傳播的模塊化木馬。Emotet 曾經(jīng)用作銀行木馬，現(xiàn)在也用作其他惡意軟件或惡意活動的分發(fā)者。它使用多種規(guī)避技術(shù)來避免檢測。此外，它還可以通過包含惡意附件或鏈接的網(wǎng)絡(luò)釣魚垃圾郵件進(jìn)行傳播。

↓ Formbook – Formbook 是針對 Windows 操作系統(tǒng)的信息竊取程序，于 2016 年首次被發(fā)現(xiàn)。由于其強(qiáng)大的規(guī)避技術(shù)和相對較低的價格，它在地下黑客論壇中作為惡意軟件即服務(wù) (MaaS) 進(jìn)行銷售。Formbook 從各種 Web 瀏覽器收集憑據(jù)，收集屏幕截圖，監(jiān)控和記錄擊鍵，并可以根據(jù)其 C&C 的命令下載和執(zhí)行文件。

↓ Ramnit – Ramnit 是 2010 年首次發(fā)現(xiàn)的模塊化銀行木馬。Ramnit 竊取 Web 會話信息，使其運營商能夠竊取受害者使用的所有服務(wù)的帳戶憑據(jù)，包括銀行應(yīng)用程序以及公司和社交網(wǎng)絡(luò)帳戶。該木馬使用硬編碼域以及由 DGA（域生成算法）生成的域來聯(lián)系 C&C 服務(wù)器并下載其他模塊。

↓ Vidar- Vidar 是一個針對 Windows 操作系統(tǒng)的信息竊取程序。它于 2018 年底首次被發(fā)現(xiàn)，旨在從各種網(wǎng)絡(luò)瀏覽器和數(shù)字錢包中竊取密碼、信用卡數(shù)據(jù)和其他敏感信息。Vidar 在各種在線論壇上出售，并用作惡意軟件投放器來下載 GandCrab 勒索軟件作為其輔助有效負(fù)載。

? Remcos – Remcos 是一種 RAT，于 2016 年首次出現(xiàn)。Remcos 通過附加到垃圾郵件的惡意 Microsoft Office 文檔進(jìn)行傳播，旨在繞過 Microsoft Windows UAC 安全性并以高級權(quán)限執(zhí)行惡意軟件。

全球受攻擊最多的行業(yè)

本月，教育/研究部門仍然是全球受攻擊最多的行業(yè)，其次是政府/軍事和醫(yī)療保健。

• 教育/研究
• 政府/軍隊
• 衛(wèi)生保健

最常被利用的漏洞

“Web 服務(wù)器暴露 Git 存儲庫信息泄露”仍然是 10 月份最常被利用的漏洞，影響了全球 43% 的組織。緊隨其后的是“Apache Log4j 遠(yuǎn)程代碼執(zhí)行”以 41% 的影響位居第二，“HTTP 標(biāo)頭遠(yuǎn)程代碼執(zhí)行”以 39% 的全球影響位居第三。

? Web 服務(wù)器暴露的 Git 存儲庫信息泄露 – Git 存儲庫中報告了一個信息泄露漏洞。成功利用此漏洞可能會導(dǎo)致無意泄露帳戶信息。

? Apache Log4j 遠(yuǎn)程代碼執(zhí)行 (CVE-2021-44228) – Apache Log4j 中存在遠(yuǎn)程代碼執(zhí)行漏洞。成功利用此漏洞可能允許遠(yuǎn)程攻擊者在受影響的系統(tǒng)上執(zhí)行任意代碼。

↑ HTTP 標(biāo)頭遠(yuǎn)程代碼執(zhí)行（CVE-2020-10826、CVE-2020-10827、CVE-2020-10828、CVE-2020-13756） ——HTTP 標(biāo)頭允許客戶端和服務(wù)器通過 HTTP 請求傳遞附加信息。遠(yuǎn)程攻擊者可能使用易受攻擊的 HTTP 標(biāo)頭在受害者機(jī)器上運行任意代碼。

↑ Web 服務(wù)器惡意 URL 目錄遍歷 (CVE-2010-4598,CVE-2011-2474,CVE-2014-0130,CVE-2014-0780,CVE-2015-0666,CVE-2015-4068,CVE-2015-7254, CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-2020-8260) –那里在不同的 Web 服務(wù)器上存在目錄遍歷漏洞。該漏洞是由于 Web 服務(wù)器中的輸入驗證錯誤未正確清理目錄遍歷模式的 URL。成功利用允許未經(jīng)身份驗證的遠(yuǎn)程攻擊者泄露或訪問任意文件。

↓ 通過 HTTP 進(jìn)行命令注入 (CVE-2021-43936,CVE-2022-24086) –報告了通過 HTTP 的命令注入漏洞。遠(yuǎn)程攻擊者可以通過向受害者發(fā)送特制請求來利用此問題。成功的利用將允許攻擊者在目標(biāo)機(jī)器上執(zhí)行任意代碼。

? MVPower DVR 遠(yuǎn)程代碼執(zhí)行– MVPower DVR 設(shè)備中存在遠(yuǎn)程代碼執(zhí)行漏洞。遠(yuǎn)程攻擊者可以利用此弱點通過精心設(shè)計的請求在受影響的路由器中執(zhí)行任意代碼

? PHP Easter Egg Information Disclosure – PHP 頁面中報告了一個信息泄露漏洞。該漏洞是由于 Web 服務(wù)器配置不正確造成的。遠(yuǎn)程攻擊者可以通過向受影響的 PHP 頁面發(fā)送特制 URL 來利用此漏洞。

↑ WordPress 便攜式 phpMyAdmin 插件身份驗證繞過 (CVE-2012-5469) - WordPress 便攜式 phpMyAdmin 插件中存在身份驗證繞過漏洞。成功利用此漏洞將允許遠(yuǎn)程攻擊者獲取敏感信息并未經(jīng)授權(quán)訪問受影響的系統(tǒng)。

? Dasan GPON 路由器身份驗證繞過 (CVE-2018-10561)- Dasan GPON 路由器中存在身份驗證繞過漏洞。成功利用此漏洞將允許遠(yuǎn)程攻擊者獲取敏感信息并未經(jīng)授權(quán)訪問受影響的系統(tǒng)。

↓ PHPUnit 命令注入 (CVE-2017-9841) – PHPUnit 中存在命令注入漏洞。成功利用此漏洞將允許遠(yuǎn)程攻擊者在受影響的系統(tǒng)中執(zhí)行任意命令。

頂級移動惡意軟件

本月，Anubis繼續(xù)成為最流行的移動惡意軟件，緊隨其后的是Hydra和Joker。

Anubis – Anubis 是一種專為 Android 手機(jī)設(shè)計的銀行木馬惡意軟件。自從它最初被發(fā)現(xiàn)以來，它已經(jīng)獲得了額外的功能，包括遠(yuǎn)程訪問木馬 (RAT) 功能、鍵盤記錄器和錄音功能以及各種勒索軟件功能。它已在 Google 商店中的數(shù)百個不同應(yīng)用程序中檢測到。

Hydra – Hydra 是一種銀行木馬，旨在通過請求受害者啟用危險權(quán)限來竊取金融憑證。

Joker – Joker 是 Google Play 中的一款 Android 間諜軟件，旨在竊取 SMS 消息、聯(lián)系人列表和設(shè)備信息。該惡意軟件還可以在受害者未經(jīng)同意或不知情的情況下為其注冊付費高級服務(wù)。