2023年11月份恶意软件之十恶不赦排行榜

AsyncRAT 是一种远程访问木马 (RAT)，因其能够在不被发现的情况下远程监视和控制计算机系统而闻名。该恶意软件在上个月的十大榜单中排名第六，利用PowerShell、BAT等多种文件格式进行进程注入。在上个月的活动中，收件人收到了一封包含嵌入式链接的电子邮件。一旦点击，该链接就会触发下载恶意 HTML 文件，然后引发一系列事件，这意味着攻击者可以隐藏在受信任的系统应用程序中以避免检测。

与此同时，下载程序 FakeUpdates 在中断两个月后重新进入恶意软件排行榜。该恶意软件分发框架用 JavaScript 编写，部署受感染的网站来诱骗用户运行虚假的浏览器更新。它导致了许多其他恶意软件的进一步危害，包括 GootLoader、Dridex、NetSupport、DoppelPaymer 和 AZORult。

11 月的网络威胁展示了威胁行为者如何利用看似无害的方法来渗透网络。AsyncRAT 活动的兴起和 FakeUpdates 的复兴凸显了攻击者利用欺骗性的简单性来绕过传统防御的趋势。这强调了组织需要采用分层安全方法，该方法不仅依赖于识别已知威胁，而且还能够在新的攻击媒介造成损害之前识别、预防和响应它们。

HTTP 命令注入”是最容易被利用的漏洞，影响了全球 45% 的组织，其次是Web 服务器恶意 URL 目录遍历，影响了 42%。Zyxel ZyWALL 命令注入（CVE-2023-28771）位居第三，全球影响力达 41%

2023年11月“十恶不赦”

*箭头表示与上个月相比的排名变化。

Formbook 是上个月最流行的恶意软件，影响了 3% 全球组织，其次是由 FakeUpdates 发起，全球影响力为 2%、 和 1%。全球影响力为Remcos

1. ↔ Formbook – Formbook 是一种针对 Windows 操作系统的信息窃取程序，于 2016 年首次被发现。它在地下黑客论坛中以恶意软件即服务 (MaaS) 的形式进行销售，因其强大的功能规避技术和相对较低的 FormBook 从各种网络浏览器获取凭据，收集屏幕截图，监视和记录击键，并可以根据其 C&C 的命令下载和执行文件。

2. ↑ FakeUpdates – FakeUpdates（又名 SocGholish）是一个用 JavaScript 编写的下载器。它在启动有效负载之前将其写入磁盘。FakeUpdates 通过许多其他恶意软件导致了进一步的危害，包括 GootLoader、Dridex、NetSupport、DoppelPaymer 和 AZORult。

3. ↔ Remcos – Remcos 是一种 RAT，于 2016 年首次出现在野外。Remcos 通过附加到垃圾邮件的恶意 Microsoft Office 文档进行传播，旨在绕过 Microsoft Windows UAC 安全并以高级权限执行恶意软件。

4. ↔ Nanocore – Nanocore 是一种针对 Windows 操作系统用户的远程访问木马，于 2013 年首次在野外观察到。所有版本的 RAT 都包含基本插件和功能，例如例如屏幕捕获、加密货币挖掘、桌面远程控制和网络摄像头会话盗窃。

5. ↑ AgentTesla – AgentTesla 是一种高级 RAT，充当键盘记录程序和信息窃取程序，能够监控和收集受害者的键盘输入、系统键盘、截图和泄露受害者计算机上安装的各种软件（包括 Google Chrome、Mozilla Firefox 和 Microsoft Outlook 电子邮件客户端）的凭据。

6. ↑ AsyncRat – Asyncrat 是一种针对 Windows 平台的木马。该恶意软件将有关目标系统的系统信息发送到远程服务器。它从服务器接收命令来下载并执行插件、终止进程、卸载/更新自身以及捕获受感染系统的屏幕截图。

7. ↓ NJRat – NJRat 是一种远程访问木马，主要针对中东的政府机构和组织。该木马首次出现于 2012 年，具有多种功能：捕获击键、访问受害者的摄像头、窃取浏览器中存储的凭据、上传和下载文件、执行进程和文件操作以及查看受害者的桌面。NJRat 通过网络钓鱼攻击和偷渡式下载感染受害者，并在 Command & 的支持下通过受感染的 USB 密钥或网络驱动器进行传播。控制服务器软件。

8. ↓ Mirai – Mirai 是一种臭名昭著的物联网 (IoT) 恶意软件，它跟踪易受攻击的物联网设备，例如网络摄像头、调制解调器和路由器，并将其转变为机器人。该僵尸网络被其运营商用来进行大规模分布式拒绝服务 (DDoS) 攻击。Mirai 僵尸网络于 2016 年 9 月首次出现，并因一些大规模攻击而迅速成为头条新闻，其中包括用于使利比里亚整个国家瘫痪的大规模 DDoS 攻击，以及针对互联网基础设施公司 Dyn 的 DDoS 攻击，该公司提供了很大一部分美国互联网基础设施。

9. ↑ Tofsee – Tofsee 是一个针对 Windows 平台的 Trickler。该恶意软件尝试在目标系统上下载并执行其他恶意文件。它可能会下载并向用户显示图像文件，以隐藏其真实目的。

10. ↓ Phorpiex – Phorpiex 是一个僵尸网络（又名 Trik），自 2010 年以来一直活跃，在鼎盛时期控制了超过一百万台受感染的主机。它以通过垃圾邮件活动分发其他恶意软件系列以及助长大规模垃圾邮件和性勒索活动而闻名。

全球受攻击最多的行业

上个月，教育/研究仍然位居全球受攻击最严重的行业首位，其次是通讯和政府/军事。

1. 教育/研究

2. 通讯

3. 政府/军队

最常被利用的漏洞

上个月，“通过 HTTP 进行命令注入”是最常被利用的漏洞，影响了全球 45% 的组织，其次是 “Web 服务器恶意 URL 目录遍历”，42%。 “Zyxel ZyWALL 命令注入 (CVE-2023-28771)” 来了位居第三，全球影响力为 41%。

1. ↑ HTTP 命令注入（CVE-2021-43936、CVE-2022-24086） – 已报告 HTTP 命令注入漏洞。远程攻击者可以通过向受害者发送特制请求来利用此问题。成功利用该漏洞将允许攻击者在目标计算机上执行任意代码。

2. ↑ Web 服务器恶意 URL 目录遍历 (CVE-2010-4598、CVE-2011-2474、CVE-2014-0130、CVE-2014-0780、CVE-2015-0666、CVE-2015-4068、CVE -2015-7254、CVE-2016-4523、CVE-2016-8530、CVE-2017-11512、CVE-2018-3948、CVE-2018-3949、CVE-2019-18952、CVE-2020-5410、CVE-2020 -8260) – 不同 Web 服务器上存在目录遍历漏洞。该漏洞是由于 Web 服务器中的输入验证错误导致的，该错误未正确清理目录遍历模式的 URI。成功利用该漏洞允许未经身份验证的远程攻击者披露或访问易受攻击的服务器上的任意文件。

3. ↓ Zyxel ZyWALL 命令注入 (CVE-2023-28771) – Zyxel ZyWALL 中存在命令注入漏洞。成功利用此漏洞将允许远程攻击者在受影响的系统中执行任意操作系统命令。

4. ↑ Apache Log4j 远程执行代码 (CVE-2021-44228) – Apache Log4j 中存在远程代码执行漏洞。成功利用此漏洞可能允许远程攻击者在受影响的系统上执行任意代码。

5. ↑ HTTP 标头远程代码执行 – HTTP 标头允许客户端和服务器通过 HTTP 请求传递附加信息。远程攻击者可能使用易受攻击的 HTTP 标头在受害计算机上运行任意代码。

6. ↓ WordPress portable-phpMyAdmin 插件身份验证绕过 (CVE-2012-5469) – WordPress portable-phpMyAdmin 插件中存在身份验证绕过漏洞。成功利用此漏洞将允许远程攻击者获取敏感信息并对受影响的系统进行未经授权的访问。

7. ↑ PHP 彩蛋信息泄露 (CVE-2015-2051) – PHP 页面中报告了一个信息泄露漏洞。该漏洞是由于不正确的 Web 服务器配置造成的。远程攻击者可以通过向受影响的 PHP 页面发送特制 URL 来利用此漏洞。

8. ↓ MVPower CCTV DVR 远程执行代码 (CVE-2016-20016)- MVPower CCTV DVR 中存在远程执行代码漏洞。成功利用此漏洞可能允许远程攻击者在受影响的系统上执行任意代码。

9. ↓ PHPUnit 命令注入 (CVE-2017-9841) – PHPUnit 中存在命令注入漏洞。成功利用此漏洞将允许远程攻击者在受影响的系统中执行任意命令。

10. ↔ OpenSSL TLS DTLS 心跳信息泄露（CVE-2014-0160、CVE-2014-0346） – OpenSSL 中存在信息泄露漏洞。该漏洞又名 Heartbleed，是由于处理 TLS/DTLS 心跳数据包时出现错误造成的。攻击者可以利用此漏洞泄露所连接的客户端或服务器的内存内容。

热门移动恶意软件 

上个月Anubis仍然是最流行的移动恶意软件第一名，其次是AhMyth < /span>。SpinOk和

1. Anubis – Anubis 是一种专为 Android 手机设计的银行木马恶意软件。自最初检测到以来，它已获得了额外的功能，包括远程访问木马 (RAT) 功能、键盘记录器、录音功能和各种勒索软件功能。Google 商店中提供的数百种不同应用程序已检测到该病毒。

2. AhMyth – AhMyth 是 2017 年发现的远程访问木马 (RAT)。它通过 Android 应用程序进行分发，这些应用程序可以在应用程序商店和各种网站上找到。当用户安装这些受感染的应用程序之一时，恶意软件可以从设备收集敏感信息并执行键盘记录、截图、发送短信和激活摄像头等操作，这些操作通常用于窃取敏感信息。

3. SpinOk – SpinOk 是一个作为间谍软件运行的 Android 软件模块。它收集有关设备上存储的文件的信息，并将其传输给恶意威胁者。截至 2023 年 5 月，该恶意模块存在于 100 多个 Android 应用中，下载量超过 4.21 亿次。

90个网络和数据安全相关法律法规打包下载 2023年10佳免费网络威胁情报来源和工具 数据安全管理从哪里开始 网络安全等级保护：等级保护工作、分级保护工作、密码管理工作三者之间的关系 原文始发于微信公众号（祺印说信安）：2023年11月份恶意软件之“十恶不赦”排行榜 点赞 http://cn-sec.com/archives/2315141.html 复制链接 复制链接 左青龙 微信扫一扫 右白虎 微信扫一扫 网络安全等级保护 等级保护 asyncrat 思维导图 十恶不赦 恶意软件 数据安全 排行榜 fake formbook 供应链安全 过W的漏洞被质疑是造假 漏洞通告｜禅道项目管理系统 身份认证绕过漏洞 美国正在审查中国使用RISC-V芯片技术的风险 漏洞通告｜CrushFTP 服务器端模板注入漏洞(CVE-2024-4040) GitHub 被曝安全漏洞！ 19个月之后，博通终于修复了这些 SANnav漏洞 注意补丁间隙：利用 Ubuntu 中的 io_uring 漏洞 美国联邦调查局指控加密货币混合器创始人大规模洗钱 微软最新版RCE？别被钓鱼了！！！ 亡了羊也不补牢！OT/ICS设备暴露态势令人糟心 本文由 admin 发表于 2023年12月19日11:53:39 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出)：                2023年11月份恶意软件之十恶不赦排行榜http://cn-sec.com/archives/2315141.html GitHub 被曝安全漏洞！ 人物 | 悬镜安全random：解密供应链安全情报的头号黑客 研究者把 EDR 安全工具改造成超级恶意软件 网络安全等级保护：限制空会话访问 发表评论 匿名网友 填写信息 昵称 邮箱 网址 取消 Δ 登录 找回密码 记住我的登录信息 输入用户名或电子邮件 HP 重置密码链接通过邮箱发送给您 目录 在线咨询 13688888888 8888 QQ在线咨询 微信 本页二维码