今年4月份，對(duì)于微軟來(lái)說(shuō)漏洞修復(fù)完成量還是蠻高的，又一次破百了。微軟4月份的Patch Tuesday更新解決了其軟件產(chǎn)品組合中的總共 128 個(gè)安全漏洞，包括 Windows、Defender、Office、ExchangeServer、Visual Studio 和 PrintSpooler 等。

4 月份，Adobe 發(fā)布了四次更新，解決了Acrobat 和 Reader、Photoshop、After Effects 和 Adobe Commerce 中的 70 個(gè) CVE。Acrobat 和 Reader的更新是迄今為止最大的一次，解決了 62 個(gè) CVE。

根據(jù)CheckPoint相關(guān)信息，Emotet繼續(xù)作為惡意軟件占據(jù)統(tǒng)治地位，影響了全球10%的組織，是2月份的兩倍，Emotet一直在鞏固其作為霸主地位，這種情況進(jìn)一步鞏固加深，因?yàn)樵S多激進(jìn)的電子郵件活動(dòng)一直在傳播僵尸網(wǎng)絡(luò)。這些電子郵件被發(fā)送給世界各地的受害者，其中一個(gè)使用主題“buonapasqua，復(fù)活節(jié)快樂(lè)”的示例，但電子郵件中附加的是用于傳遞Emotet 的惡意 XLS 文件。

本月，作為鍵盤記錄器和信息竊取程序的高級(jí)遠(yuǎn)程訪問(wèn)木馬(RAT) Agent Tesla是第二大惡意軟件，在上個(gè)月排名第四，其崛起是由于幾個(gè)新的惡意垃圾郵件活動(dòng)通過(guò)全球惡意 xlsx/pdf 文件傳遞 RAT。其中不乏一些活動(dòng)利用俄羅斯/烏克蘭戰(zhàn)爭(zhēng)來(lái)引誘受害者。

近年來(lái)，技術(shù)已經(jīng)發(fā)展到這樣一個(gè)地步，網(wǎng)絡(luò)犯罪分子越來(lái)越不得不依靠人類的信任才能進(jìn)入公司網(wǎng)絡(luò)。本月，各安全機(jī)構(gòu)監(jiān)測(cè)到 Apache Log4j 再次成為最常被利用的漏洞。即使在去年年底談?wù)撨^(guò)這個(gè)漏洞之后，在最初發(fā)現(xiàn)數(shù)月后，仍然會(huì)造成傷害。組織需要立即采取行動(dòng)以防止攻擊發(fā)生。

4月份還透露，教育/研究仍然是全球受攻擊最多的行業(yè)，其次是政府/軍事和互聯(lián)網(wǎng)服務(wù)提供商/托管服務(wù)提供商(ISP/MSP)。Web Server Exposed Git Repository InformationDisclosure現(xiàn)在是第二大最常利用的漏洞，影響全球抽樣 26% 的組織，而Apache Log4j 遠(yuǎn)程代碼執(zhí)行位居榜首，影響了全球監(jiān)測(cè)抽樣33% 的組織。HTTP Headers RemoteCode Execution (CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-13756)以 26% 的全球監(jiān)測(cè)抽樣，位居第三。

2022年3月“十惡不赦”

*箭頭表示與上個(gè)月相比排名的變化。

本月，Emotet仍然是榜首的惡意軟件，對(duì)全球監(jiān)測(cè)抽樣 10% 的組織產(chǎn)生影響，其次是 Agent Tesla 和 XMRig，各有 2% 的全球監(jiān)測(cè)抽樣組織受到影響。

1.? Emotet – Emotet是一種先進(jìn)的、自我傳播的模塊化木馬。Emotet 曾經(jīng)被用作銀行木馬，最近被用作其他惡意軟件或惡意活動(dòng)的分發(fā)者，使用多種方法來(lái)維護(hù)持久性和規(guī)避技術(shù)以避免檢測(cè)。此外，還可以通過(guò)包含惡意附件或鏈接的網(wǎng)絡(luò)釣魚垃圾郵件進(jìn)行傳播。

2.↑ Agent Tesla – Agent Tesla 是一種高級(jí)RAT，可用作鍵盤記錄器和信息竊取器，能夠監(jiān)控和收集受害者的鍵盤輸入、系統(tǒng)鍵盤、截屏以及將憑據(jù)泄露到安裝在受害者機(jī)器上的各種軟件(包括 Google Chrome、Mozilla Firefox 和 Microsoft Outlook 電子郵件客戶端)。

3.↑ XMRig– XMRig 是一款開源CPU 挖掘軟件，用于門羅幣加密貨幣的挖掘過(guò)程，于 2017 年 5 月首次出現(xiàn)。

4.↓ Glupteba –Glupteba 是一個(gè)后門，逐漸成熟為僵尸網(wǎng)絡(luò)。到 2019 年，包括一個(gè)通過(guò)公共比特幣列表的 C&C 地址更新機(jī)制、一個(gè)完整的瀏覽器竊取功能和一個(gè)路由器漏洞利用程序。

5.↑ Ramnit – Ramnit 是一種銀行木馬，可竊取銀行憑證、FTP 密碼、會(huì)話 cookie 和個(gè)人數(shù)據(jù)。

6.↑ Mirai – Mirai 僵尸網(wǎng)絡(luò)于2016 年 9 月首次浮出水面，是一種臭名昭著的物聯(lián)網(wǎng)(IoT) 惡意軟件，跟蹤易受攻擊的物聯(lián)網(wǎng)設(shè)備，例如網(wǎng)絡(luò)攝像頭、調(diào)制解調(diào)器和路由器，并將它們變成機(jī)器人。僵尸網(wǎng)絡(luò)被其運(yùn)營(yíng)商用來(lái)進(jìn)行大規(guī)模的分布式拒絕服務(wù)(DDoS) 攻擊。

7.↑ Phorpiex – Phorpiex 是一個(gè)僵尸網(wǎng)絡(luò)(又名 Trik)，自 2010 年以來(lái)一直存在，并在其鼎盛時(shí)期控制了超過(guò)一百萬(wàn)個(gè)受感染的主機(jī)，以通過(guò)垃圾郵件活動(dòng)分發(fā)其他惡意軟件系列以及助長(zhǎng)大規(guī)模垃圾郵件和性勒索活動(dòng)而聞名。

8.↑ Remcos – Remcos 是 2016 年首次出現(xiàn)在野外的 RAT。Remcos 通過(guò)附加到垃圾郵件的惡意 Microsoft Office 文檔進(jìn)行傳播，旨在繞過(guò) MicrosoftWindows UAC 安全并以高級(jí)權(quán)限執(zhí)行惡意軟件。

9.↑ Tofsee – Tofsee 是一個(gè)針對(duì)Windows 平臺(tái)的 Trickler。此惡意軟件嘗試在目標(biāo)系統(tǒng)上下載并執(zhí)行其他惡意文件，可能會(huì)下載圖像文件并將其顯示給用戶，以隱藏其真實(shí)目的。

10. ↑ Nanocore- Nanocore 是一種 RAT，于 2013 年首次在野外觀察到，并針對(duì) Windows 操作系統(tǒng)用戶。所有版本的 RAT 都具有基本插件和功能，例如屏幕捕獲、加密貨幣挖掘、桌面遠(yuǎn)程控制和網(wǎng)絡(luò)攝像頭會(huì)話盜竊。

全球受攻擊最多的行業(yè)

本月，教育/研究是全球受攻擊最多的行業(yè)，其次是政府/軍事和ISP/MSP。

1.教育/研究

2.政府/軍隊(duì)

3.ISP/MSP

3月份漏洞Top10

本月ApacheLog4j 遠(yuǎn)程代碼執(zhí)行是最常被利用的漏洞，影響了全球監(jiān)測(cè)抽樣 33% 的組織，其次是Web 服務(wù)器暴露的 Git 存儲(chǔ)庫(kù)信息泄露，從第一位跌至第二位，影響了全球監(jiān)測(cè)抽樣 26% 的組織。HTTP Headers Remote Code Execution在被利用最多的漏洞列表中仍然位列第三，全球監(jiān)測(cè)抽樣影響率為 26%。

1.↑ Apache Log4j 遠(yuǎn)程代碼執(zhí)行(CVE-2021-44228) – Apache Log4j 中存在遠(yuǎn)程代碼執(zhí)行漏洞，成功利用此漏洞可能允許遠(yuǎn)程攻擊者在受影響的系統(tǒng)上執(zhí)行任意代碼。

2.↓ Web Server Exposed Git RepositoryInformation Disclosure – Git Repository 中報(bào)告一個(gè)信息泄露漏洞，成功利用此漏洞可能會(huì)無(wú)意中泄露賬戶信息。

3.? HTTP 標(biāo)頭遠(yuǎn)程代碼執(zhí)行(CVE-2020-10826、CVE-2020-10827、CVE-2020-10828、CVE-2020-13756) ——HTTP 標(biāo)頭允許客戶端和服務(wù)器通過(guò) HTTP 請(qǐng)求傳遞附加信息，遠(yuǎn)程攻擊者可能使用易受攻擊的 HTTP 標(biāo)頭在受害機(jī)器上運(yùn)行任意代碼。

4.↑ Web 服務(wù)器惡意URL 目錄遍歷(CVE-2010-4598,CVE-2011-2474,CVE-2014-0130,CVE-2014-0780,CVE-2015-0666,CVE-2015-4068,CVE-2015-7254,CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-2020-8260) –那里在不同的 Web 服務(wù)器上存在目錄遍歷漏洞。該漏洞是由于 Web 服務(wù)器中的輸入驗(yàn)證錯(cuò)誤未正確清理目錄遍歷模式的 URI，成功利用允許未經(jīng)身份驗(yàn)證的遠(yuǎn)程攻擊者泄露或訪問(wèn)易受攻擊的服務(wù)器上的任意文件。

5.↓ MVPower DVR 遠(yuǎn)程代碼執(zhí)行– MVPower DVR 設(shè)備中存在遠(yuǎn)程代碼執(zhí)行漏洞，遠(yuǎn)程攻擊者可以利用此弱點(diǎn)通過(guò)精心制作的請(qǐng)求在受影響的路由器中執(zhí)行任意代碼。

6.↑ D-LINK 多產(chǎn)品遠(yuǎn)程代碼執(zhí)行 (CVE-2015-2051) - 多個(gè)D-Link 產(chǎn)品中報(bào)告了遠(yuǎn)程代碼執(zhí)行漏洞。成功利用可能導(dǎo)致在易受攻擊的設(shè)備上執(zhí)行任意代碼。

7.↓ PHP Easter Egg Information Disclosure – PHP 頁(yè)面中報(bào)告了一個(gè)信息泄露漏洞，是由于 Web 服務(wù)器配置不正確造成的，遠(yuǎn)程攻擊者可以通過(guò)向受影響的 PHP 頁(yè)面發(fā)送特制URL來(lái)利用此漏洞。

8.? Dasan GPON 路由器身份驗(yàn)證繞過(guò) (CVE-2018-10561) – Dasan GPON 路由器中存在身份驗(yàn)證繞過(guò)漏洞。成功利用此漏洞將允許遠(yuǎn)程攻擊者獲取敏感信息并未經(jīng)授權(quán)訪問(wèn)受影響的系統(tǒng)。

9.↑ Linux 系統(tǒng)文件信息泄露(CVE-2018-3948、CVE-2018-3948、CVE-2022-23119) ——Linux 操作系統(tǒng)包含帶有敏感信息的系統(tǒng)文件。如果配置不正確，遠(yuǎn)程攻擊者可以查看此類文件的信息。

10. ? PHPUnit 命令注入(CVE-2017-9841) – PHPUnit 中存在命令注入漏洞。成功利用此漏洞將允許遠(yuǎn)程攻擊者在受影響的系統(tǒng)中執(zhí)行任意命令。

頂級(jí)移動(dòng)惡意軟件

本月AlienBot是最流行的移動(dòng)惡意軟件，其次是xHelper和FluBot。

1.AlienBot – AlienBot 惡意軟件系列是用于 Android 設(shè)備的惡意軟件即服務(wù) (MaaS)，允許遠(yuǎn)程攻擊者首先將惡意代碼注入合法的金融應(yīng)用程序。攻擊者獲得對(duì)受害者賬戶的訪問(wèn)權(quán)限，并最終完全控制他們的設(shè)備。

2.xHelper - 自 2019 年3 月以來(lái)在野外出現(xiàn)的惡意應(yīng)用程序，用于下載其他惡意應(yīng)用程序和顯示廣告，能夠?qū)τ脩綦[藏自身并在卸載時(shí)重新安裝。

3.FluBot – FluBot 是一種通過(guò)網(wǎng)絡(luò)釣魚短信 ( Smishing ) 分發(fā)的 Android 惡意軟件，最常冒充物流配送品牌。一旦用戶單擊消息中的鏈接，就會(huì)被重定向到下載包含 FluBot 的虛假應(yīng)用程序。安裝后，惡意軟件具有多種功能來(lái)獲取憑據(jù)并支持 Smishing 操作本身，包括上傳聯(lián)系人列表以及向其他電話號(hào)碼發(fā)送 SMS 消息。