本月的漏洞補(bǔ)丁日了，很多國際廠商和微軟一樣，在周二發(fā)布其產(chǎn)品安全補(bǔ)丁，如Adobe、Android、Cisco、Citrix、Intel、Linux distributions Oracle Linux, Red Hat, SUSE、Samba、SAP、Schneider Electric、Siemens等。本月微軟方面則為其產(chǎn)品的55個(gè)漏洞發(fā)布了補(bǔ)丁，產(chǎn)品涉及 Microsoft Windows 和 Windows 組件、Azure、Azure RTOS、Azure Sphere、Microsoft Dynamics、Microsoft Edge(基于 Chromium)、Exchange Server、Microsoft Office 和 Office 組件、Windows Hyper-V等，其中包括對(duì) Excel 和 Exchange Server 中兩個(gè)被積極利用的零日漏洞的修復(fù)。可能會(huì)被濫用以控制受影響的系統(tǒng)。從歷史上看，今年微軟11 月份的 55 個(gè)補(bǔ)丁是一個(gè)相對(duì)較低的數(shù)字。

CheckPoint給出的最新的 2021 年 10 月全球威脅指數(shù)顯示，模塊化僵尸網(wǎng)絡(luò)和銀行木馬 Trickbot 仍位居最流行的惡意軟件列表之首，影響全球抽樣 4% 的組織，而Apache HTTP 服務(wù)器目錄遍歷已進(jìn)入被利用的漏洞列表前十名。其透露本月全球受攻擊最多的行業(yè)是教育/研究。這點(diǎn)，與我們國內(nèi)某些統(tǒng)計(jì)數(shù)據(jù)顯示的結(jié)果是一致的。究其原因，一則被黑客們關(guān)注，二則自身防護(hù)措施不佳(能力、管理、技術(shù)各方面共同決定)。

Trickbot 已經(jīng)是五次躋身CheckPoint統(tǒng)計(jì)的惡意軟件排行榜第一名，其可以竊取財(cái)務(wù)詳細(xì)信息、賬戶憑據(jù)和個(gè)人身份信息，以及在網(wǎng)絡(luò)中橫向傳播并投放勒索軟件。曾經(jīng)的Emotet在今年1月份被鏟除，Trickbot上位躋身惡意軟件列表之首。其還在不斷更新新功能、特性和分發(fā)載體，使其成為一種靈活且可定制的惡意軟件，實(shí)現(xiàn)其多用途活動(dòng)分發(fā)。

新漏洞Apache HTTP Server Directory Traversal進(jìn)入10月份進(jìn)入漏洞排行榜前十名，位列第十。首次被發(fā)現(xiàn)時(shí)，Apache 的開發(fā)人員在 Apache HTTP Server 2.4.50 中發(fā)布了針對(duì) CVE-2021-41773 的修復(fù)程序，但是使用Apache的單位修復(fù)補(bǔ)丁不夠積極，故修復(fù)不夠完善，Apache HTTP Server 仍然存在目錄遍歷漏洞。成功利用此漏洞可能允許攻擊者訪問受影響系統(tǒng)上的任意文件。

據(jù)CheckPoint觀點(diǎn)，在全球范圍內(nèi)，每周每 61 個(gè)組織中就有一個(gè)受到勒索軟件的影響。許多攻擊都是從一封簡(jiǎn)單的電子郵件開始的，因此教育培訓(xùn)用戶如何識(shí)別潛在威脅是組織可以部署的最重要的防御措施之一。記住，教育培訓(xùn)是時(shí)時(shí)新，需要持之以恒的進(jìn)行，在等級(jí)保護(hù)中也對(duì)此有要求，畢竟我們的等級(jí)保護(hù)是吸納了國際先進(jìn)的經(jīng)驗(yàn)和成果的再創(chuàng)新，豈能沒有對(duì)教育培訓(xùn)作出要求。

[[436161]]

CheckPoint統(tǒng)計(jì)的是教育/研究是全球受攻擊最多的行業(yè)，其次是通信和政府/軍事。Web 服務(wù)器惡意 URL 目錄遍歷是被利用最多的漏洞，影響了全球抽樣 60% 的組織，其次是Web 服務(wù)器暴露的 Git 存儲(chǔ)庫信息泄露，影響了全球抽樣 55% 的組織。HTTP Headers Remote Code Execution排名第三，全球抽樣影響為54%。

2021年10月“十惡不赦”

*箭頭表示與上個(gè)月相比的排名變化。

本月，Trickbot是最流行的惡意軟件，影響了全球 抽樣4% 的組織，其次是XMRig和Remcos，分別影響了全球抽樣的3%、2%的組織。

↑ Trickbot – Trickbot 是一個(gè)模塊化僵尸網(wǎng)絡(luò)和銀行木馬程序，不斷更新新功能、特性和分發(fā)載體，使 Trickbot 成為一種靈活且可定制的惡意軟件，可以作為多用途活動(dòng)的一部分進(jìn)行分發(fā)。

↑ XMRig – XMRig 是一種開源 CPU 挖礦軟件，用于門羅幣加密貨幣的挖掘，于 2017 年 5 月首次出現(xiàn)在野外。

↑ Remcos – Remcos 是一種 RAT，于 2016 年首次出現(xiàn)在野外。Remcos 通過附加到垃圾郵件電子郵件的惡意 Microsoft Office 文檔分發(fā)自身，旨在繞過 Microsoft Windows UAC 安全并以高級(jí)權(quán)限執(zhí)行惡意軟件。

↑ Glupteba – Glupteba 是一個(gè)逐漸成熟為僵尸網(wǎng)絡(luò)的后門。截至到 2019 年，功能涵蓋了公共比特幣列表的 C&C 地址更新機(jī)制、集成的瀏覽器竊取器功能和路由器開發(fā)器。

↑ Tofsee – Tofsee 是一種后門木馬，至少從 2013 年開始運(yùn)行。Tofsee 是一種多用途工具，可以進(jìn)行 DDoS 攻擊、發(fā)送垃圾郵件、加密貨幣挖礦等。

↑ Ramnit -Ramnit 是一種銀行木馬，可竊取銀行憑據(jù)、FTP 密碼、會(huì)話 cookie 和個(gè)人數(shù)據(jù)。

↓ Agent Tesla – Agent Tesla 是一種先進(jìn)的 RAT，用作鍵盤記錄器和信息竊取器，能夠監(jiān)視和收集受害者的鍵盤輸入、系統(tǒng)鍵盤、截屏，并將憑據(jù)泄露到安裝在受害者機(jī)器上的各種軟件中(包括 Google Chrome、Mozilla Firefox 和 Microsoft Outlook 電子郵件客戶端)。

↑ Ursnif – Ursnif 是一種針對(duì) Windows 平臺(tái)的木馬。通常通過漏洞利用工具包傳播，包括當(dāng)時(shí) Angler 和 Rig。Ursnif 竊取與 Verifone 銷售點(diǎn) (POS) 支付軟件相關(guān)的信息。聯(lián)系遠(yuǎn)程服務(wù)器以上傳收集的信息并接收指令。此外，還會(huì)下載并執(zhí)行受感染系統(tǒng)上的文件。

↓ Formbook – Formbook 是一個(gè)信息竊取器，可以從各種網(wǎng)絡(luò)瀏覽器中獲取憑據(jù)，收集屏幕截圖、監(jiān)控和記錄擊鍵，并可以根據(jù)其 C&C 命令下載和執(zhí)行文件。

↑ Nanocore – NanoCore 是一種遠(yuǎn)程訪問木馬，于 2013 年首次在野外觀察到，目標(biāo)是 Windows 操作系統(tǒng)用戶。所有版本的 RAT 都具有基本插件和功能，例如屏幕捕獲、加密貨幣挖掘、桌面遠(yuǎn)程控制和網(wǎng)絡(luò)攝像頭會(huì)話盜竊。

[[436162]]

10月份漏洞Top10

本月，Web 服務(wù)器惡意 URL 目錄遍歷是最常被利用的漏洞，影響了全球 抽樣60% 的組織，其次是Web 服務(wù)器暴露的 Git 存儲(chǔ)庫信息泄露，影響了全球抽樣 55% 的組織。HTTP Headers Remote Code Execution排名第三，全球抽樣影響為54%。

↑ Web 服務(wù)器惡意 URL 目錄遍歷(CVE-2010-4598、CVE-2011-2474、CVE-2014-0130、CVE-2014-0780、CVE-2015-0666、CVE-2015-4068、CVE-254、CVE-254、 CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-2020-8260-是不同網(wǎng)絡(luò)服務(wù)器上的目錄遍歷漏洞，是由于 Web 服務(wù)器中的輸入驗(yàn)證錯(cuò)誤導(dǎo)致的，該錯(cuò)誤未正確清理目錄遍歷模式的 URL，允許未經(jīng)身份驗(yàn)證的遠(yuǎn)程攻擊者披露或訪問易受攻擊的服務(wù)器上的任意文件。

↓ Web Server Exposed Git Repository Information Disclosure - Git Repository 中報(bào)告的一個(gè)信息泄露漏洞，可能會(huì)無意中泄露賬戶信息。

↔ HTTP 標(biāo)頭遠(yuǎn)程代碼執(zhí)行(CVE-2020-10826、CVE-2020-10827、CVE-2020-10828、CVE-2020-13756) ——HTTP 標(biāo)頭讓客戶端和服務(wù)器通過 HTTP 請(qǐng)求傳遞附加信息，可能會(huì)使用易受攻擊的 HTTP 標(biāo)頭在受害機(jī)器上運(yùn)行任意代碼。

↑ Dasan GPON Router Authentication Bypass (CVE-2018-10561) – Dasan GPON 路由器中存在一個(gè)認(rèn)證繞過漏洞，允許遠(yuǎn)程攻擊者獲取敏感信息并未經(jīng)授權(quán)訪問受影響的系統(tǒng)。

↔ MVPower DVR 遠(yuǎn)程代碼執(zhí)行– MVPower DVR 設(shè)備中存在遠(yuǎn)程代碼執(zhí)行漏洞，遠(yuǎn)程攻擊者可以利用此弱點(diǎn)通過精心設(shè)計(jì)的請(qǐng)求在受影響的路由器中執(zhí)行任意代碼。

↑ Apache Struts2 Content-Type Remote Code Execution (CVE-2017-5638,CVE-2017-5638,CVE-2019-0230)-使用 Jakarta 多部分解析器的 Apache Struts2 中存在遠(yuǎn)程代碼執(zhí)行漏洞，攻擊者可以通過發(fā)送無效的內(nèi)容類型作為文件上傳請(qǐng)求的一部分來利用此漏洞，可能會(huì)導(dǎo)致在受影響的系統(tǒng)上執(zhí)行任意代碼。

↓ HTTP 命令注入 (CVE-2013-6719,CVE-2013-6720) –報(bào)告了 HTTP 命令注入漏洞。遠(yuǎn)程攻擊者可以通過向受害者發(fā)送特制的請(qǐng)求來利用此問題，允許攻擊者在目標(biāo)機(jī)器上執(zhí)行任意代碼。

↑ D-LINK 多產(chǎn)品遠(yuǎn)程代碼執(zhí)行 (CVE-2015-2051) –多個(gè) D-Link 產(chǎn)品中報(bào)告了一個(gè)遠(yuǎn)程代碼執(zhí)行漏洞，可能會(huì)導(dǎo)致在易受攻擊的設(shè)備上執(zhí)行任意代碼。

↓ OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160,CVE-2014-0346) – OpenSSL 中存在信息泄露漏洞。該漏洞，又名 Heartbleed，是由于處理 TLS/DTLS 心跳包時(shí)出現(xiàn)錯(cuò)誤造成的，利用此漏洞來泄露連接的客戶端或服務(wù)器的內(nèi)存內(nèi)容。

↑ Apache HTTP Server 目錄遍歷 (CVE-2021-41773,CVE-2021-42013) – Apache HTTP Server 中存在目錄遍歷漏洞，可能允許攻擊者訪問受影響系統(tǒng)上的任意文件。

頂級(jí)移動(dòng)惡意軟件

[[436163]]

本月 xHelper 仍然是最流行的移動(dòng)惡意軟件中的第一名，其次是 AlienBot 和 XLoader。

xHelper – 自 2019 年 3 月以來在野外發(fā)現(xiàn)的惡意應(yīng)用程序，用于下載其他惡意應(yīng)用程序并顯示廣告，應(yīng)用程序能夠?qū)τ脩綦[藏自己，甚至可以在卸載時(shí)重新安裝。

AlienBot – AlienBot 惡意軟件系列是一種適用于 Android 設(shè)備的惡意軟件即服務(wù) (MaaS)，允許遠(yuǎn)程攻擊者作為第一步，將惡意代碼注入合法的金融應(yīng)用程序中。攻擊者可以訪問受害者的帳戶，并最終完全控制他們的設(shè)備。

XLoader – XLoader 是 Android 間諜軟件和銀行木馬。該惡意軟件使用 DNS 欺騙來分發(fā)受感染的 Android 應(yīng)用程序以收集個(gè)人和財(cái)務(wù)信息。CheckPoint方面認(rèn)為是由名為“延邊幫”的中國黑客組織開發(fā)，具體開發(fā)團(tuán)隊(duì)有待進(jìn)一步確認(rèn)。

本文轉(zhuǎn)載自微信公眾號(hào)「祺印說信安」，作者何威風(fēng)。轉(zhuǎn)載本文請(qǐng)聯(lián)系祺印說信安公眾號(hào)。