惡意軟件的起起落落，來來回回， 在夏季短暫休整11 月顯示 Emotet 的回歸，Lokibot 是一種商品信息竊取器，旨在從各種應(yīng)用程序中獲取憑據(jù)，包括：Web 瀏覽器、電子郵件客戶端和 IT 管理工具。作為特洛伊木馬，它的目標(biāo)是通過偽裝成合法程序潛入系統(tǒng)，不被發(fā)現(xiàn)?？梢酝ㄟ^網(wǎng)絡(luò)釣魚電子郵件、惡意網(wǎng)站、SMS 和其他消息傳遞平臺(tái)進(jìn)行分發(fā)。這種受歡迎程度的上升可以通過以在線查詢、訂單和付款確認(rèn)消息為主題的垃圾郵件活動(dòng)的增加來解釋。

2022年11月“十惡不赦”

*箭頭表示與上個(gè)月相比排名的變化。

?AgentTesla仍然是本月最流行的惡意軟件，影響全球6%的組織，其次是Emotet和Qbot，每個(gè)組織的全球影響均為4%。

? AgentTesla – AgentTesla 是一種高級 RAT，用作鍵盤記錄器和信息竊取器。它能夠監(jiān)控和收集受害者的鍵盤輸入、系統(tǒng)鍵盤、截取屏幕截圖并將憑證泄露到安裝在受害者機(jī)器上的各種軟件（包括 Google Chrome、Mozilla Firefox 和 Microsoft Outlook）。

↑ Emotet – Emotet 是一種先進(jìn)的、自我傳播的模塊化木馬。Emotet 曾被用作銀行木馬，最近被用作其他惡意軟件或惡意活動(dòng)的分發(fā)者。它使用多種方法來保持持久性和規(guī)避技術(shù)以避免被發(fā)現(xiàn)。此外，它還可以通過包含惡意附件或鏈接的網(wǎng)絡(luò)釣魚垃圾郵件進(jìn)行傳播。

↑ Qbot – Qbot AKA Qakbot 是一種銀行木馬，首次出現(xiàn)于 2008 年，旨在竊取用戶的銀行憑證和擊鍵。它通常通過垃圾郵件進(jìn)行分發(fā)，并采用多種反虛擬機(jī)、反調(diào)試和反沙盒技術(shù)來阻礙分析和逃避檢測。

↓ SnakeKeylogger – Snake 是一種模塊化的 .NET 鍵盤記錄器和憑證竊取程序，于 2020 年 11 月下旬首次被發(fā)現(xiàn)。其主要功能是記錄用戶的擊鍵并將收集到的數(shù)據(jù)傳輸給威脅參與者。蛇感染對用戶隱私和在線安全構(gòu)成重大威脅，因?yàn)樗梢愿`取各種敏感信息。它也被證明是一個(gè)特別規(guī)避和持久的鍵盤記錄器。

? XMRig – XMRig 是一種用于挖掘 Monero 加密貨幣的開源 CPU 挖掘軟件。威脅行為者經(jīng)常濫用此開源軟件，將其集成到他們的惡意軟件中以進(jìn)行非法挖礦。

↑ Formbook – Formbook 是一種針對 Windows 操作系統(tǒng)的信息竊取程序，于 2016 年首次被發(fā)現(xiàn)。它在地下黑客論壇中以惡意軟件即服務(wù) (MaaS) 的形式銷售，以其強(qiáng)大的規(guī)避技術(shù)和相對低廉的價(jià)格而聞名。Formbook 可以從各種網(wǎng)絡(luò)瀏覽器獲取憑證、收集屏幕截圖、監(jiān)控和記錄擊鍵以及根據(jù)其 C&C 的命令下載和執(zhí)行文件。

↓ IcedID – IcedID 是一種銀行木馬，于 2017 年 9 月首次出現(xiàn)。它通過垃圾郵件活動(dòng)傳播，并經(jīng)常使用 Emotet 等其他惡意軟件來幫助其擴(kuò)散。IcedID 使用進(jìn)程注入和隱寫術(shù)等規(guī)避技術(shù)，并通過重定向攻擊（安裝本地代理將用戶重定向到假冒克隆站點(diǎn)）和 Web 注入攻擊竊取用戶財(cái)務(wù)數(shù)據(jù)。

? Ramnit – Ramnit 是一種模塊化銀行木馬，于 2010 年首次被發(fā)現(xiàn)。Ramnit 竊取網(wǎng)絡(luò)會(huì)話信息，使其運(yùn)營商能夠竊取受害者使用的所有服務(wù)的帳戶憑據(jù)，包括銀行、公司和社交網(wǎng)絡(luò)帳戶。該木馬使用硬編碼域以及由 DGA（域生成算法）生成的域來聯(lián)系 C&C 服務(wù)器并下載其他模塊。

↑ Raspberry Robin – Raspberry Robin 是一種蠕蟲，于 2021 年 9 月首次被發(fā)現(xiàn)，通過受感染的 USB 設(shè)備進(jìn)行傳播。該惡意軟件使用多個(gè)合法的窗口實(shí)用程序來與其 C&C 服務(wù)器通信并執(zhí)行惡意負(fù)載。

↑ Phorpiex – Phorpiex 是一個(gè)僵尸網(wǎng)絡(luò)（又名 Trik），自 2010 年以來一直活躍，在其高峰期控制了超過一百萬臺(tái)受感染的主機(jī)。它以通過垃圾郵件活動(dòng)分發(fā)其他惡意軟件系列以及助長大規(guī)模垃圾郵件和性勒索活動(dòng)而聞名。

全球受攻擊最多的行業(yè)

本月，教育/研究仍然是全球受攻擊最嚴(yán)重的行業(yè)，其次是政府/軍隊(duì)，然后是醫(yī)療保健。

• 教育/研究
• 政府/軍隊(duì)
• 衛(wèi)生保健

最常被利用的漏洞

本月，“ Web Servers Malicious URL Directory Traversal ”是最常被利用的漏洞，影響 了全球46%的組織，其次是“ Web Server Exposed Git Repository Information Disclosure ”，影響為45%?！?nbsp;HTTP Headers Remote Code Execution ”仍然是第三大最常使用的漏洞，全球影響為42%。

↑ Web 服務(wù)器惡意 URL 目錄遍歷 (CVE-2010-4598,CVE-2011-2474,CVE-2014-0130,CVE-2014-0780,CVE-2015-0666,CVE-2015-4068,CVE-2015-7254, CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-2020-8260) – 有在不同的網(wǎng)絡(luò)服務(wù)器上存在目錄遍歷漏洞。該漏洞是由于 Web 服務(wù)器中的輸入驗(yàn)證錯(cuò)誤導(dǎo)致的，該錯(cuò)誤未正確清理目錄遍歷模式的 URI。成功的利用允許未經(jīng)身份驗(yàn)證的遠(yuǎn)程攻擊者泄露或訪問易受攻擊的服務(wù)器上的任意文件。

↓ Web 服務(wù)器暴露的 Git 存儲(chǔ)庫信息泄露– Git 存儲(chǔ)庫中報(bào)告了一個(gè)信息泄露漏洞。成功利用此漏洞可能會(huì)導(dǎo)致無意中泄露帳戶信息。

? HTTP 標(biāo)頭遠(yuǎn)程代碼執(zhí)行（CVE-2020-10826、CVE-2020-10827、CVE-2020-10828、CVE-2020-13756） ——HTTP 標(biāo)頭讓客戶端和服務(wù)器通過 HTTP 請求傳遞附加信息。遠(yuǎn)程攻擊者可能會(huì)使用易受攻擊的 HTTP 標(biāo)頭在受害者的機(jī)器上運(yùn)行任意代碼。

↑ 通過 HTTP 的命令注入（CVE-2021-43936、CVE-2022-24086） ——已報(bào)告通過 HTTP 的命令注入漏洞。遠(yuǎn)程攻擊者可以通過向受害者發(fā)送特制請求來利用此問題。成功的利用將允許攻擊者在目標(biāo)機(jī)器上執(zhí)行任意代碼。

↑ Dasan GPON 路由器身份驗(yàn)證繞過 (CVE-2018-10561) – Dasan GPON 路由器中存在身份驗(yàn)證繞過漏洞。成功利用此漏洞將允許遠(yuǎn)程攻擊者獲取敏感信息并獲得對受影響系統(tǒng)的未授權(quán)訪問。

? MVPower DVR 遠(yuǎn)程代碼執(zhí)行——MVPower DVR 設(shè)備中存在遠(yuǎn)程代碼執(zhí)行漏洞。遠(yuǎn)程攻擊者可以利用此弱點(diǎn)通過精心設(shè)計(jì)的請求在受影響的路由器中執(zhí)行任意代碼。

? PHP 復(fù)活節(jié)彩蛋信息泄露 – PHP 頁面中報(bào)告了一個(gè)信息泄露漏洞。該漏洞是由于不正確的 Web 服務(wù)器配置造成的。遠(yuǎn)程攻擊者可以通過向受影響的 PHP 頁面發(fā)送特制 URL 來利用此漏洞。

? WordPress portable-phpMyAdmin 插件身份驗(yàn)證繞過 (CVE-2012-5469) – WordPress portable-phpMyAdmin 插件中存在身份驗(yàn)證繞過漏洞。成功利用此漏洞將允許遠(yuǎn)程攻擊者獲取敏感信息并獲得對受影響系統(tǒng)的未授權(quán)訪問。

↑ PHPUnit 命令注入 (CVE-2017-9841) – PHPUnit 中存在一個(gè)命令注入漏洞。成功利用此漏洞將允許遠(yuǎn)程攻擊者在受影響的系統(tǒng)中執(zhí)行任意命令。

↓ Apache Log4j 遠(yuǎn)程代碼執(zhí)行 (CVE-2021-44228 ) – Apache Log4j 中存在遠(yuǎn)程代碼執(zhí)行漏洞。成功利用此漏洞可能允許遠(yuǎn)程攻擊者在受影響的系統(tǒng)上執(zhí)行任意代碼。

頂級移動(dòng)惡意軟件

本月Anubis仍然是最流行的移動(dòng)惡意軟件，其次是Hydra和AlienBot。

Anubis – Anubis 是一種專為 Android 手機(jī)設(shè)計(jì)的銀行木馬惡意軟件。自從最初被發(fā)現(xiàn)以來，它已經(jīng)獲得了額外的功能，包括遠(yuǎn)程訪問木馬 (RAT) 功能、鍵盤記錄器和錄音功能以及各種勒索軟件功能。已在 Google 商店中提供的數(shù)百種不同應(yīng)用程序中檢測到它。

Hydra – Hydra 是一種銀行木馬，旨在通過請求受害者啟用危險(xiǎn)權(quán)限來竊取金融憑證。

AlienBot – AlienBot 是一種適用于 Android 的銀行木馬，作為惡意軟件即服務(wù) (MaaS) 在地下出售。它支持鍵盤記錄、用于憑據(jù)盜竊的動(dòng)態(tài)覆蓋以及用于繞過 2FA 的 SMS 收集。使用 TeamViewer 模塊提供額外的遠(yuǎn)程控制功能。