惡意軟件的起起落落，來來回回， 在夏季短暫休整11 月顯示 Emotet 的回歸，Lokibot 是一種商品信息竊取器，旨在從各種應用程序中獲取憑據，包括：Web 瀏覽器、電子郵件客戶端和 IT 管理工具。作為特洛伊木馬，它的目標是通過偽裝成合法程序潛入系統(tǒng)，不被發(fā)現?？梢酝ㄟ^網絡釣魚電子郵件、惡意網站、SMS 和其他消息傳遞平臺進行分發(fā)。這種受歡迎程度的上升可以通過以在線查詢、訂單和付款確認消息為主題的垃圾郵件活動的增加來解釋。

2022年11月“十惡不赦”

*箭頭表示與上個月相比排名的變化。

?AgentTesla仍然是本月最流行的惡意軟件，影響全球6%的組織，其次是Emotet和Qbot，每個組織的全球影響均為4%。

? AgentTesla – AgentTesla 是一種高級 RAT，用作鍵盤記錄器和信息竊取器。它能夠監(jiān)控和收集受害者的鍵盤輸入、系統(tǒng)鍵盤、截取屏幕截圖并將憑證泄露到安裝在受害者機器上的各種軟件（包括 Google Chrome、Mozilla Firefox 和 Microsoft Outlook）。

↑ Emotet – Emotet 是一種先進的、自我傳播的模塊化木馬。Emotet 曾被用作銀行木馬，最近被用作其他惡意軟件或惡意活動的分發(fā)者。它使用多種方法來保持持久性和規(guī)避技術以避免被發(fā)現。此外，它還可以通過包含惡意附件或鏈接的網絡釣魚垃圾郵件進行傳播。

↑ Qbot – Qbot AKA Qakbot 是一種銀行木馬，首次出現于 2008 年，旨在竊取用戶的銀行憑證和擊鍵。它通常通過垃圾郵件進行分發(fā)，并采用多種反虛擬機、反調試和反沙盒技術來阻礙分析和逃避檢測。

↓ SnakeKeylogger – Snake 是一種模塊化的 .NET 鍵盤記錄器和憑證竊取程序，于 2020 年 11 月下旬首次被發(fā)現。其主要功能是記錄用戶的擊鍵并將收集到的數據傳輸給威脅參與者。蛇感染對用戶隱私和在線安全構成重大威脅，因為它可以竊取各種敏感信息。它也被證明是一個特別規(guī)避和持久的鍵盤記錄器。

? XMRig – XMRig 是一種用于挖掘 Monero 加密貨幣的開源 CPU 挖掘軟件。威脅行為者經常濫用此開源軟件，將其集成到他們的惡意軟件中以進行非法挖礦。

↑ Formbook – Formbook 是一種針對 Windows 操作系統(tǒng)的信息竊取程序，于 2016 年首次被發(fā)現。它在地下黑客論壇中以惡意軟件即服務 (MaaS) 的形式銷售，以其強大的規(guī)避技術和相對低廉的價格而聞名。Formbook 可以從各種網絡瀏覽器獲取憑證、收集屏幕截圖、監(jiān)控和記錄擊鍵以及根據其 C&C 的命令下載和執(zhí)行文件。

↓ IcedID – IcedID 是一種銀行木馬，于 2017 年 9 月首次出現。它通過垃圾郵件活動傳播，并經常使用 Emotet 等其他惡意軟件來幫助其擴散。IcedID 使用進程注入和隱寫術等規(guī)避技術，并通過重定向攻擊（安裝本地代理將用戶重定向到假冒克隆站點）和 Web 注入攻擊竊取用戶財務數據。

? Ramnit – Ramnit 是一種模塊化銀行木馬，于 2010 年首次被發(fā)現。Ramnit 竊取網絡會話信息，使其運營商能夠竊取受害者使用的所有服務的帳戶憑據，包括銀行、公司和社交網絡帳戶。該木馬使用硬編碼域以及由 DGA（域生成算法）生成的域來聯(lián)系 C&C 服務器并下載其他模塊。

↑ Raspberry Robin – Raspberry Robin 是一種蠕蟲，于 2021 年 9 月首次被發(fā)現，通過受感染的 USB 設備進行傳播。該惡意軟件使用多個合法的窗口實用程序來與其 C&C 服務器通信并執(zhí)行惡意負載。

↑ Phorpiex – Phorpiex 是一個僵尸網絡（又名 Trik），自 2010 年以來一直活躍，在其高峰期控制了超過一百萬臺受感染的主機。它以通過垃圾郵件活動分發(fā)其他惡意軟件系列以及助長大規(guī)模垃圾郵件和性勒索活動而聞名。

全球受攻擊最多的行業(yè)

本月，教育/研究仍然是全球受攻擊最嚴重的行業(yè)，其次是政府/軍隊，然后是醫(yī)療保健。

• 教育/研究
• 政府/軍隊
• 衛(wèi)生保健

最常被利用的漏洞

本月，“ Web Servers Malicious URL Directory Traversal ”是最常被利用的漏洞，影響 了全球46%的組織，其次是“ Web Server Exposed Git Repository Information Disclosure ”，影響為45%?！?nbsp;HTTP Headers Remote Code Execution ”仍然是第三大最常使用的漏洞，全球影響為42%。

↑ Web 服務器惡意 URL 目錄遍歷 (CVE-2010-4598,CVE-2011-2474,CVE-2014-0130,CVE-2014-0780,CVE-2015-0666,CVE-2015-4068,CVE-2015-7254, CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-2020-8260) – 有在不同的網絡服務器上存在目錄遍歷漏洞。該漏洞是由于 Web 服務器中的輸入驗證錯誤導致的，該錯誤未正確清理目錄遍歷模式的 URI。成功的利用允許未經身份驗證的遠程攻擊者泄露或訪問易受攻擊的服務器上的任意文件。

↓ Web 服務器暴露的 Git 存儲庫信息泄露– Git 存儲庫中報告了一個信息泄露漏洞。成功利用此漏洞可能會導致無意中泄露帳戶信息。

? HTTP 標頭遠程代碼執(zhí)行（CVE-2020-10826、CVE-2020-10827、CVE-2020-10828、CVE-2020-13756） ——HTTP 標頭讓客戶端和服務器通過 HTTP 請求傳遞附加信息。遠程攻擊者可能會使用易受攻擊的 HTTP 標頭在受害者的機器上運行任意代碼。

↑ 通過 HTTP 的命令注入（CVE-2021-43936、CVE-2022-24086） ——已報告通過 HTTP 的命令注入漏洞。遠程攻擊者可以通過向受害者發(fā)送特制請求來利用此問題。成功的利用將允許攻擊者在目標機器上執(zhí)行任意代碼。

↑ Dasan GPON 路由器身份驗證繞過 (CVE-2018-10561) – Dasan GPON 路由器中存在身份驗證繞過漏洞。成功利用此漏洞將允許遠程攻擊者獲取敏感信息并獲得對受影響系統(tǒng)的未授權訪問。

? MVPower DVR 遠程代碼執(zhí)行——MVPower DVR 設備中存在遠程代碼執(zhí)行漏洞。遠程攻擊者可以利用此弱點通過精心設計的請求在受影響的路由器中執(zhí)行任意代碼。

? PHP 復活節(jié)彩蛋信息泄露 – PHP 頁面中報告了一個信息泄露漏洞。該漏洞是由于不正確的 Web 服務器配置造成的。遠程攻擊者可以通過向受影響的 PHP 頁面發(fā)送特制 URL 來利用此漏洞。

? WordPress portable-phpMyAdmin 插件身份驗證繞過 (CVE-2012-5469) – WordPress portable-phpMyAdmin 插件中存在身份驗證繞過漏洞。成功利用此漏洞將允許遠程攻擊者獲取敏感信息并獲得對受影響系統(tǒng)的未授權訪問。

↑ PHPUnit 命令注入 (CVE-2017-9841) – PHPUnit 中存在一個命令注入漏洞。成功利用此漏洞將允許遠程攻擊者在受影響的系統(tǒng)中執(zhí)行任意命令。

↓ Apache Log4j 遠程代碼執(zhí)行 (CVE-2021-44228 ) – Apache Log4j 中存在遠程代碼執(zhí)行漏洞。成功利用此漏洞可能允許遠程攻擊者在受影響的系統(tǒng)上執(zhí)行任意代碼。

頂級移動惡意軟件

本月Anubis仍然是最流行的移動惡意軟件，其次是Hydra和AlienBot。

Anubis – Anubis 是一種專為 Android 手機設計的銀行木馬惡意軟件。自從最初被發(fā)現以來，它已經獲得了額外的功能，包括遠程訪問木馬 (RAT) 功能、鍵盤記錄器和錄音功能以及各種勒索軟件功能。已在 Google 商店中提供的數百種不同應用程序中檢測到它。

Hydra – Hydra 是一種銀行木馬，旨在通過請求受害者啟用危險權限來竊取金融憑證。

AlienBot – AlienBot 是一種適用于 Android 的銀行木馬，作為惡意軟件即服務 (MaaS) 在地下出售。它支持鍵盤記錄、用于憑據盜竊的動態(tài)覆蓋以及用于繞過 2FA 的 SMS 收集。使用 TeamViewer 模塊提供額外的遠程控制功能。