以色列安全機(jī)構(gòu)checkpoint在今年1月份，發(fā)布了 2022 年 12 月全球威脅指數(shù)，由于過年加上其他雜七雜八的事情，一直拖著沒有整理過來和大家分享。

Glupteba 惡意軟件是支持區(qū)塊鏈的木馬僵尸網(wǎng)絡(luò)，自 2022 年 7 月以來首次重返前十名，升至第八位。Qbot 是一種復(fù)雜的特洛伊木馬程序，可以竊取銀行憑證和擊鍵，在去年十二月卷土重來后取代 Emotet 成為最流行的惡意軟件，影響了全球抽樣 7% 的組織。與此同時(shí)，Android 惡意軟件 Hiddad 卷土重來，教育仍然是全球受影響最大的行業(yè)。

最新研究的壓倒性主題是惡意軟件如何經(jīng)常偽裝成合法軟件，讓黑客在不引起懷疑的情況下通過后門訪問設(shè)備。這就是為什么在下載任何軟件和應(yīng)用程序或單擊鏈接時(shí)進(jìn)行盡職調(diào)查很重要，無論它們看起來多么真實(shí)。

研究還顯示，“Web Server Exposed Git Repository Information Disclosure”是最常被利用的漏洞，影響了全球 46% 的組織，其次是“Web Servers Malicious URL Directory Traversal”，全球 44% 的組織受到影響?！癏TTP 命令注入”是第三大最常使用的漏洞，全球影響為 43%。

2022年12月“十惡不赦”

*箭頭表示與上個(gè)月相比排名的變化。

Qbot是上個(gè)月最流行的惡意軟件，影響全球抽樣7%的組織，其次是Emotet，全球抽樣影響為4%，XMRig全球抽樣影響為3%。

1. ↑ Qbot – Qbot AKA Qakbot 是一種銀行木馬，于 2008 年首次出現(xiàn)。它旨在竊取用戶的銀行憑證和擊鍵。Qbot 通常通過垃圾郵件分發(fā)，它采用多種反虛擬機(jī)、反調(diào)試和反沙盒技術(shù)來阻礙分析和逃避檢測。
2. ? Emotet – Emotet 是一種先進(jìn)的、自我傳播的模塊化木馬。Emotet 曾被用作銀行木馬，最近被用作其他惡意軟件或惡意活動的分發(fā)者。它使用多種方法來保持持久性和規(guī)避技術(shù)以避免被發(fā)現(xiàn)。此外，它還可以通過包含惡意附件或鏈接的網(wǎng)絡(luò)釣魚垃圾郵件進(jìn)行傳播。
3. ↑ XMRig – XMRig 是用于挖掘 Monero 加密貨幣的開源 CPU 挖掘軟件。威脅行為者經(jīng)常通過將其集成到他們的惡意軟件中來濫用這種開源軟件，從而在受害者的設(shè)備上進(jìn)行非法挖掘。
4. ↑ Formbook – Formbook 是一種針對 Windows 操作系統(tǒng)的信息竊取程序，于 2016 年首次被發(fā)現(xiàn)。由于其強(qiáng)大的規(guī)避技術(shù)和相對較低的價(jià)格，它在地下黑客論壇中作為惡意軟件即服務(wù) (MaaS) 進(jìn)行銷售。FormBook 從各種網(wǎng)絡(luò)瀏覽器收集憑證、收集屏幕截圖、監(jiān)控和記錄擊鍵，并可以根據(jù)其 C&C 的命令下載和執(zhí)行文件。
5. ↑ Nanocore ——NanoCore 是一種針對 Windows 操作系統(tǒng)用戶的遠(yuǎn)程訪問木馬，于 2013 年首次在野外被發(fā)現(xiàn)。RAT 的所有版本都包含基本的插件和功能，例如屏幕捕獲、加密貨幣挖掘、遠(yuǎn)程控制桌面和網(wǎng)絡(luò)攝像頭會話盜竊。
6. ↑ Ramnit – Ramnit 是一種模塊化銀行木馬程序，于 2010 年首次被發(fā)現(xiàn)。Ramnit 竊取網(wǎng)絡(luò)會話信息，使其運(yùn)營商能夠竊取受害者使用的所有服務(wù)的帳戶憑據(jù)，包括銀行帳戶、公司和社交網(wǎng)絡(luò)帳戶。木馬使用硬編碼域以及 DGA（域生成算法）生成的域來聯(lián)系 C&C 服務(wù)器并下載其他模塊。
7. ↑Remcos – Remcos 是一種 RAT，于 2016 年首次在野外出現(xiàn)。Remcos 通過附加在垃圾郵件中的惡意 Microsoft Office 文檔進(jìn)行自我分發(fā)，旨在繞過 Microsoft Windows 的 UAC 安全并以高級別權(quán)限執(zhí)行惡意軟件。
8. ↑Glupteba – 自 2011 年以來，Glupteba 是一個(gè)逐漸成熟為僵尸網(wǎng)絡(luò)的后門程序。到 2019 年，它包括通過公共比特幣列表的 C&C 地址更新機(jī)制、集成的瀏覽器竊取器功能和路由器利用程序。
9. ↓AgentTesla – AgentTesla 是一種高級 RAT，充當(dāng)鍵盤記錄器和信息竊取器，能夠監(jiān)視和收集受害者的鍵盤輸入、系統(tǒng)鍵盤、截屏，并將憑證泄露到安裝在受害者機(jī)器上的各種軟件（包括 Google Chrome、Mozilla Firefox 和 Microsoft Outlook 電子郵件客戶端）。
10. ↓ Phorpiex – Phorpiex 是一個(gè)僵尸網(wǎng)絡(luò)（又名 Trik），自 2010 年以來一直活躍，在其高峰期控制了超過一百萬臺受感染的主機(jī)。它以通過垃圾郵件活動分發(fā)其他惡意軟件系列以及助長大規(guī)模垃圾郵件和性勒索活動而聞名。

全球受攻擊最多的行業(yè)

上個(gè)月，教育/研究仍然是全球受攻擊最嚴(yán)重的行業(yè)，其次是政府/軍隊(duì)，然后是醫(yī)療保健。

1. 教育/研究
2. 政府/軍隊(duì)
3. 衛(wèi)生保健

最常被利用的漏洞

12 月，“ Web Server Exposed Git Repository Information Disclosure ”是最常被利用的漏洞，影響了全球46%的組織，其次是“ Web Servers Malicious URL Directory Traversal ”，全球44%的組織受到影響。“ HTTP 命令注入”是第三大最常使用的漏洞，全球影響為43%。

1. ↑ Web 服務(wù)器暴露的 Git 存儲庫信息泄露– Git 存儲庫中報(bào)告了一個(gè)信息泄露漏洞。成功利用此漏洞可能會導(dǎo)致無意中泄露帳戶信息。
2. ↓ Web 服務(wù)器惡意 URL 目錄遍歷 (CVE-2010-4598,CVE-2011-2474,CVE-2014-0130,CVE-2014-0780,CVE-2015-0666,CVE-2015-4068,CVE-2015-7254, CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-2020-8260) – 有在不同的網(wǎng)絡(luò)服務(wù)器上存在目錄遍歷漏洞。該漏洞是由于 Web 服務(wù)器中的輸入驗(yàn)證錯(cuò)誤導(dǎo)致的，該錯(cuò)誤未正確清理目錄遍歷模式的 URI。成功的利用允許未經(jīng)身份驗(yàn)證的遠(yuǎn)程攻擊者泄露或訪問易受攻擊的服務(wù)器上的任意文件。
3. ↑ HTTP 上的命令注入（CVE-2021-43936、CVE-2022-24086） ——已報(bào)告 HTTP 上的命令注入漏洞。遠(yuǎn)程攻擊者可以通過向受害者發(fā)送特制請求來利用此問題。成功的利用將允許攻擊者在目標(biāo)機(jī)器上執(zhí)行任意代碼。
4. ↓ HTTP 標(biāo)頭遠(yuǎn)程代碼執(zhí)行（CVE-2020-10826、CVE-2020-10827、CVE-2020-10828、CVE-2020-13756） ——HTTP 標(biāo)頭讓客戶端和服務(wù)器通過 HTTP 請求傳遞附加信息。遠(yuǎn)程攻擊者可能會使用易受攻擊的 HTTP 標(biāo)頭在受害計(jì)算機(jī)上運(yùn)行任意代碼。
5. ↑MVPower DVR 遠(yuǎn)程代碼執(zhí)行——MVPower DVR 設(shè)備中存在遠(yuǎn)程代碼執(zhí)行漏洞。遠(yuǎn)程攻擊者可以利用此弱點(diǎn)通過精心設(shè)計(jì)的請求在受影響的路由器中執(zhí)行任意代碼。
6. ↓ Dasan GPON 路由器身份驗(yàn)證繞過 (CVE-2018-10561) – Dasan GPON 路由器中存在身份驗(yàn)證繞過漏洞。成功利用此漏洞將允許遠(yuǎn)程攻擊者獲取敏感信息并獲得對受影響系統(tǒng)的未授權(quán)訪問。
7. ? PHP 復(fù)活節(jié)彩蛋信息泄露 – PHP 頁面中報(bào)告了一個(gè)信息泄露漏洞。該漏洞是由于不正確的 Web 服務(wù)器配置造成的。遠(yuǎn)程攻擊者可以通過向受影響的 PHP 頁面發(fā)送特制 URL 來利用此漏洞。
8. ↑Microsoft Windows HTTP.sys 遠(yuǎn)程代碼執(zhí)行（MS15-034：CVE-2015-1635）——某些版本的 Microsoft Windows OP 中的 HTTP.sys 漏洞被追蹤為 CVE-2015-1635。成功的利用將允許威脅參與者執(zhí)行任意 HTTP 請求，導(dǎo)致緩沖區(qū)溢出，并可能獲得 SYSTEM 權(quán)限。
9. ↓ WordPress portable-phpMyAdmin 插件身份驗(yàn)證繞過 (CVE-2012-5469) – WordPress portable-phpMyAdmin 插件中存在身份驗(yàn)證繞過漏洞。成功利用此漏洞將允許遠(yuǎn)程攻擊者獲取敏感信息并獲得對受影響系統(tǒng)的未授權(quán)訪問。
10. ↓ PHPUnit 命令注入 (CVE-2017-9841) – PHPUnit 中存在一個(gè)命令注入漏洞。成功利用此漏洞將允許遠(yuǎn)程攻擊者在受影響的系統(tǒng)中執(zhí)行任意命令。

頂級移動惡意軟件

上個(gè)月， Anubis仍然是最流行的移動惡意軟件，其次是Hiddad和AlienBot。

1. Anubis – Anubis 是一種專為 Android 手機(jī)設(shè)計(jì)的銀行木馬惡意軟件。自從最初被發(fā)現(xiàn)以來，它已經(jīng)獲得了額外的功能，包括遠(yuǎn)程訪問木馬 (RAT) 功能、鍵盤記錄器和錄音功能以及各種勒索軟件功能。已在 Google 商店中提供的數(shù)百種不同應(yīng)用程序中檢測到它。
2. Hiddad – Hiddad 是一種 Android 惡意軟件，它會重新打包合法應(yīng)用程序，然后將它們發(fā)布到第三方商店。它的主要功能是顯示廣告，但它也可以訪問操作系統(tǒng)內(nèi)置的關(guān)鍵安全細(xì)節(jié)。
3. AlienBot – AlienBot 是一種適用于 Android 的銀行木馬，作為惡意軟件即服務(wù) (MaaS) 在地下出售。它支持鍵盤記錄、用于憑據(jù)盜竊的動態(tài)覆蓋以及用于繞過 2FA 的 SMS 收集。使用 TeamViewer 模塊提供額外的遠(yuǎn)程控制功能。