本月的漏洞補丁日了，很多國際廠商和微軟一樣，在周二發(fā)布其產品安全補丁，如Adobe、Android、Cisco、Citrix、Intel、Linux distributions Oracle Linux, Red Hat, SUSE、Samba、SAP、Schneider Electric、Siemens等。本月微軟方面則為其產品的55個漏洞發(fā)布了補丁，產品涉及 Microsoft Windows 和 Windows 組件、Azure、Azure RTOS、Azure Sphere、Microsoft Dynamics、Microsoft Edge(基于 Chromium)、Exchange Server、Microsoft Office 和 Office 組件、Windows Hyper-V等，其中包括對 Excel 和 Exchange Server 中兩個被積極利用的零日漏洞的修復?？赡軙粸E用以控制受影響的系統(tǒng)。從歷史上看，今年微軟11 月份的 55 個補丁是一個相對較低的數(shù)字。

CheckPoint給出的最新的 2021 年 10 月全球威脅指數(shù)顯示，模塊化僵尸網(wǎng)絡和銀行木馬 Trickbot 仍位居最流行的惡意軟件列表之首，影響全球抽樣 4% 的組織，而Apache HTTP 服務器目錄遍歷已進入被利用的漏洞列表前十名。其透露本月全球受攻擊最多的行業(yè)是教育/研究。這點，與我們國內某些統(tǒng)計數(shù)據(jù)顯示的結果是一致的。究其原因，一則被黑客們關注，二則自身防護措施不佳(能力、管理、技術各方面共同決定)。

Trickbot 已經是五次躋身CheckPoint統(tǒng)計的惡意軟件排行榜第一名，其可以竊取財務詳細信息、賬戶憑據(jù)和個人身份信息，以及在網(wǎng)絡中橫向傳播并投放勒索軟件。曾經的Emotet在今年1月份被鏟除，Trickbot上位躋身惡意軟件列表之首。其還在不斷更新新功能、特性和分發(fā)載體，使其成為一種靈活且可定制的惡意軟件，實現(xiàn)其多用途活動分發(fā)。

新漏洞Apache HTTP Server Directory Traversal進入10月份進入漏洞排行榜前十名，位列第十。首次被發(fā)現(xiàn)時，Apache 的開發(fā)人員在 Apache HTTP Server 2.4.50 中發(fā)布了針對 CVE-2021-41773 的修復程序，但是使用Apache的單位修復補丁不夠積極，故修復不夠完善，Apache HTTP Server 仍然存在目錄遍歷漏洞。成功利用此漏洞可能允許攻擊者訪問受影響系統(tǒng)上的任意文件。

據(jù)CheckPoint觀點，在全球范圍內，每周每 61 個組織中就有一個受到勒索軟件的影響。許多攻擊都是從一封簡單的電子郵件開始的，因此教育培訓用戶如何識別潛在威脅是組織可以部署的最重要的防御措施之一。記住，教育培訓是時時新，需要持之以恒的進行，在等級保護中也對此有要求，畢竟我們的等級保護是吸納了國際先進的經驗和成果的再創(chuàng)新，豈能沒有對教育培訓作出要求。

[[436161]]

CheckPoint統(tǒng)計的是教育/研究是全球受攻擊最多的行業(yè)，其次是通信和政府/軍事。Web 服務器惡意 URL 目錄遍歷是被利用最多的漏洞，影響了全球抽樣 60% 的組織，其次是Web 服務器暴露的 Git 存儲庫信息泄露，影響了全球抽樣 55% 的組織。HTTP Headers Remote Code Execution排名第三，全球抽樣影響為54%。

2021年10月“十惡不赦”

*箭頭表示與上個月相比的排名變化。

本月，Trickbot是最流行的惡意軟件，影響了全球 抽樣4% 的組織，其次是XMRig和Remcos，分別影響了全球抽樣的3%、2%的組織。

↑ Trickbot – Trickbot 是一個模塊化僵尸網(wǎng)絡和銀行木馬程序，不斷更新新功能、特性和分發(fā)載體，使 Trickbot 成為一種靈活且可定制的惡意軟件，可以作為多用途活動的一部分進行分發(fā)。

↑ XMRig – XMRig 是一種開源 CPU 挖礦軟件，用于門羅幣加密貨幣的挖掘，于 2017 年 5 月首次出現(xiàn)在野外。

↑ Remcos – Remcos 是一種 RAT，于 2016 年首次出現(xiàn)在野外。Remcos 通過附加到垃圾郵件電子郵件的惡意 Microsoft Office 文檔分發(fā)自身，旨在繞過 Microsoft Windows UAC 安全并以高級權限執(zhí)行惡意軟件。

↑ Glupteba – Glupteba 是一個逐漸成熟為僵尸網(wǎng)絡的后門。截至到 2019 年，功能涵蓋了公共比特幣列表的 C&C 地址更新機制、集成的瀏覽器竊取器功能和路由器開發(fā)器。

↑ Tofsee – Tofsee 是一種后門木馬，至少從 2013 年開始運行。Tofsee 是一種多用途工具，可以進行 DDoS 攻擊、發(fā)送垃圾郵件、加密貨幣挖礦等。

↑ Ramnit -Ramnit 是一種銀行木馬，可竊取銀行憑據(jù)、FTP 密碼、會話 cookie 和個人數(shù)據(jù)。

↓ Agent Tesla – Agent Tesla 是一種先進的 RAT，用作鍵盤記錄器和信息竊取器，能夠監(jiān)視和收集受害者的鍵盤輸入、系統(tǒng)鍵盤、截屏，并將憑據(jù)泄露到安裝在受害者機器上的各種軟件中(包括 Google Chrome、Mozilla Firefox 和 Microsoft Outlook 電子郵件客戶端)。

↑ Ursnif – Ursnif 是一種針對 Windows 平臺的木馬。通常通過漏洞利用工具包傳播，包括當時 Angler 和 Rig。Ursnif 竊取與 Verifone 銷售點 (POS) 支付軟件相關的信息。聯(lián)系遠程服務器以上傳收集的信息并接收指令。此外，還會下載并執(zhí)行受感染系統(tǒng)上的文件。

↓ Formbook – Formbook 是一個信息竊取器，可以從各種網(wǎng)絡瀏覽器中獲取憑據(jù)，收集屏幕截圖、監(jiān)控和記錄擊鍵，并可以根據(jù)其 C&C 命令下載和執(zhí)行文件。

↑ Nanocore – NanoCore 是一種遠程訪問木馬，于 2013 年首次在野外觀察到，目標是 Windows 操作系統(tǒng)用戶。所有版本的 RAT 都具有基本插件和功能，例如屏幕捕獲、加密貨幣挖掘、桌面遠程控制和網(wǎng)絡攝像頭會話盜竊。

[[436162]]

10月份漏洞Top10

本月，Web 服務器惡意 URL 目錄遍歷是最常被利用的漏洞，影響了全球 抽樣60% 的組織，其次是Web 服務器暴露的 Git 存儲庫信息泄露，影響了全球抽樣 55% 的組織。HTTP Headers Remote Code Execution排名第三，全球抽樣影響為54%。

↑ Web 服務器惡意 URL 目錄遍歷(CVE-2010-4598、CVE-2011-2474、CVE-2014-0130、CVE-2014-0780、CVE-2015-0666、CVE-2015-4068、CVE-254、CVE-254、 CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-2020-8260-是不同網(wǎng)絡服務器上的目錄遍歷漏洞，是由于 Web 服務器中的輸入驗證錯誤導致的，該錯誤未正確清理目錄遍歷模式的 URL，允許未經身份驗證的遠程攻擊者披露或訪問易受攻擊的服務器上的任意文件。

↓ Web Server Exposed Git Repository Information Disclosure - Git Repository 中報告的一個信息泄露漏洞，可能會無意中泄露賬戶信息。

↔ HTTP 標頭遠程代碼執(zhí)行(CVE-2020-10826、CVE-2020-10827、CVE-2020-10828、CVE-2020-13756) ——HTTP 標頭讓客戶端和服務器通過 HTTP 請求傳遞附加信息，可能會使用易受攻擊的 HTTP 標頭在受害機器上運行任意代碼。

↑ Dasan GPON Router Authentication Bypass (CVE-2018-10561) – Dasan GPON 路由器中存在一個認證繞過漏洞，允許遠程攻擊者獲取敏感信息并未經授權訪問受影響的系統(tǒng)。

↔ MVPower DVR 遠程代碼執(zhí)行– MVPower DVR 設備中存在遠程代碼執(zhí)行漏洞，遠程攻擊者可以利用此弱點通過精心設計的請求在受影響的路由器中執(zhí)行任意代碼。

↑ Apache Struts2 Content-Type Remote Code Execution (CVE-2017-5638,CVE-2017-5638,CVE-2019-0230)-使用 Jakarta 多部分解析器的 Apache Struts2 中存在遠程代碼執(zhí)行漏洞，攻擊者可以通過發(fā)送無效的內容類型作為文件上傳請求的一部分來利用此漏洞，可能會導致在受影響的系統(tǒng)上執(zhí)行任意代碼。

↓ HTTP 命令注入 (CVE-2013-6719,CVE-2013-6720) –報告了 HTTP 命令注入漏洞。遠程攻擊者可以通過向受害者發(fā)送特制的請求來利用此問題，允許攻擊者在目標機器上執(zhí)行任意代碼。

↑ D-LINK 多產品遠程代碼執(zhí)行 (CVE-2015-2051) –多個 D-Link 產品中報告了一個遠程代碼執(zhí)行漏洞，可能會導致在易受攻擊的設備上執(zhí)行任意代碼。

↓ OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160,CVE-2014-0346) – OpenSSL 中存在信息泄露漏洞。該漏洞，又名 Heartbleed，是由于處理 TLS/DTLS 心跳包時出現(xiàn)錯誤造成的，利用此漏洞來泄露連接的客戶端或服務器的內存內容。

↑ Apache HTTP Server 目錄遍歷 (CVE-2021-41773,CVE-2021-42013) – Apache HTTP Server 中存在目錄遍歷漏洞，可能允許攻擊者訪問受影響系統(tǒng)上的任意文件。

頂級移動惡意軟件

[[436163]]

本月 xHelper 仍然是最流行的移動惡意軟件中的第一名，其次是 AlienBot 和 XLoader。

xHelper – 自 2019 年 3 月以來在野外發(fā)現(xiàn)的惡意應用程序，用于下載其他惡意應用程序并顯示廣告，應用程序能夠對用戶隱藏自己，甚至可以在卸載時重新安裝。

AlienBot – AlienBot 惡意軟件系列是一種適用于 Android 設備的惡意軟件即服務 (MaaS)，允許遠程攻擊者作為第一步，將惡意代碼注入合法的金融應用程序中。攻擊者可以訪問受害者的帳戶，并最終完全控制他們的設備。

XLoader – XLoader 是 Android 間諜軟件和銀行木馬。該惡意軟件使用 DNS 欺騙來分發(fā)受感染的 Android 應用程序以收集個人和財務信息。CheckPoint方面認為是由名為“延邊幫”的中國黑客組織開發(fā)，具體開發(fā)團隊有待進一步確認。

本文轉載自微信公眾號「祺印說信安」，作者何威風。轉載本文請聯(lián)系祺印說信安公眾號。