2023年11月份恶意软件之十恶不赦排行榜

AsyncRAT 是一种远程访问木马 (RAT)，因其能够在不被发现的情况下远程监视和控制计算机系统而闻名。该恶意软件在上个月的十大榜单中排名第六，利用PowerShell、BAT等多种文件格式进行进程注入。在上个月的活动中，收件人收到了一封包含嵌入式链接的电子邮件。一旦点击，该链接就会触发下载恶意 HTML 文件，然后引发一系列事件，这意味着攻击者可以隐藏在受信任的系统应用程序中以避免检测。

与此同时，下载程序 FakeUpdates 在中断两个月后重新进入恶意软件排行榜。该恶意软件分发框架用 JavaScript 编写，部署受感染的网站来诱骗用户运行虚假的浏览器更新。它导致了许多其他恶意软件的进一步危害，包括 GootLoader、Dridex、NetSupport、DoppelPaymer 和 AZORult。

11 月的网络威胁展示了威胁行为者如何利用看似无害的方法来渗透网络。AsyncRAT 活动的兴起和 FakeUpdates 的复兴凸显了攻击者利用欺骗性的简单性来绕过传统防御的趋势。这强调了组织需要采用分层安全方法，该方法不仅依赖于识别已知威胁，而且还能够在新的攻击媒介造成损害之前识别、预防和响应它们。

HTTP 命令注入”是最容易被利用的漏洞，影响了全球 45% 的组织，其次是Web 服务器恶意 URL 目录遍历，影响了 42%。Zyxel ZyWALL 命令注入（CVE-2023-28771）位居第三，全球影响力达 41%

2023年11月“十恶不赦”

*箭头表示与上个月相比的排名变化。

Formbook 是上个月最流行的恶意软件，影响了 3% 全球组织，其次是由 FakeUpdates 发起，全球影响力为 2%、 和 1%。全球影响力为Remcos

1. ↔ Formbook – Formbook 是一种针对 Windows 操作系统的信息窃取程序，于 2016 年首次被发现。它在地下黑客论坛中以恶意软件即服务 (MaaS) 的形式进行销售，因其强大的功能规避技术和相对较低的 FormBook 从各种网络浏览器获取凭据，收集屏幕截图，监视和记录击键，并可以根据其 C&C 的命令下载和执行文件。

2. ↑ FakeUpdates – FakeUpdates（又名 SocGholish）是一个用 JavaScript 编写的下载器。它在启动有效负载之前将其写入磁盘。FakeUpdates 通过许多其他恶意软件导致了进一步的危害，包括 GootLoader、Dridex、NetSupport、DoppelPaymer 和 AZORult。

3. ↔ Remcos – Remcos 是一种 RAT，于 2016 年首次出现在野外。Remcos 通过附加到垃圾邮件的恶意 Microsoft Office 文档进行传播，旨在绕过 Microsoft Windows UAC 安全并以高级权限执行恶意软件。

4. ↔ Nanocore – Nanocore 是一种针对 Windows 操作系统用户的远程访问木马，于 2013 年首次在野外观察到。所有版本的 RAT 都包含基本插件和功能，例如例如屏幕捕获、加密货币挖掘、桌面远程控制和网络摄像头会话盗窃。

5. ↑ AgentTesla – AgentTesla 是一种高级 RAT，充当键盘记录程序和信息窃取程序，能够监控和收集受害者的键盘输入、系统键盘、截图和泄露受害者计算机上安装的各种软件（包括 Google Chrome、Mozilla Firefox 和 Microsoft Outlook 电子邮件客户端）的凭据。

6. ↑ AsyncRat – Asyncrat 是一种针对 Windows 平台的木马。该恶意软件将有关目标系统的系统信息发送到远程服务器。它从服务器接收命令来下载并执行插件、终止进程、卸载/更新自身以及捕获受感染系统的屏幕截图。

7. ↓ NJRat – NJRat 是一种远程访问木马，主要针对中东的政府机构和组织。该木马首次出现于 2012 年，具有多种功能：捕获击键、访问受害者的摄像头、窃取浏览器中存储的凭据、上传和下载文件、执行进程和文件操作以及查看受害者的桌面。NJRat 通过网络钓鱼攻击和偷渡式下载感染受害者，并在 Command & 的支持下通过受感染的 USB 密钥或网络驱动器进行传播。控制服务器软件。

8. ↓ Mirai – Mirai 是一种臭名昭著的物联网 (IoT) 恶意软件，它跟踪易受攻击的物联网设备，例如网络摄像头、调制解调器和路由器，并将其转变为机器人。该僵尸网络被其运营商用来进行大规模分布式拒绝服务 (DDoS) 攻击。Mirai 僵尸网络于 2016 年 9 月首次出现，并因一些大规模攻击而迅速成为头条新闻，其中包括用于使利比里亚整个国家瘫痪的大规模 DDoS 攻击，以及针对互联网基础设施公司 Dyn 的 DDoS 攻击，该公司提供了很大一部分美国互联网基础设施。

9. ↑ Tofsee – Tofsee 是一个针对 Windows 平台的 Trickler。该恶意软件尝试在目标系统上下载并执行其他恶意文件。它可能会下载并向用户显示图像文件，以隐藏其真实目的。

10. ↓ Phorpiex – Phorpiex 是一个僵尸网络（又名 Trik），自 2010 年以来一直活跃，在鼎盛时期控制了超过一百万台受感染的主机。它以通过垃圾邮件活动分发其他恶意软件系列以及助长大规模垃圾邮件和性勒索活动而闻名。

全球受攻击最多的行业

上个月，教育/研究仍然位居全球受攻击最严重的行业首位，其次是通讯和政府/军事。

1. 教育/研究

2. 通讯

3. 政府/军队

最常被利用的漏洞

上个月，“通过 HTTP 进行命令注入”是最常被利用的漏洞，影响了全球 45% 的组织，其次是 “Web 服务器恶意 URL 目录遍历”，42%。 “Zyxel ZyWALL 命令注入 (CVE-2023-28771)” 来了位居第三，全球影响力为 41%。

1. ↑ HTTP 命令注入（CVE-2021-43936、CVE-2022-24086） – 已报告 HTTP 命令注入漏洞。远程攻击者可以通过向受害者发送特制请求来利用此问题。成功利用该漏洞将允许攻击者在目标计算机上执行任意代码。

2. ↑ Web 服务器恶意 URL 目录遍历 (CVE-2010-4598、CVE-2011-2474、CVE-2014-0130、CVE-2014-0780、CVE-2015-0666、CVE-2015-4068、CVE -2015-7254、CVE-2016-4523、CVE-2016-8530、CVE-2017-11512、CVE-2018-3948、CVE-2018-3949、CVE-2019-18952、CVE-2020-5410、CVE-2020 -8260) – 不同 Web 服务器上存在目录遍历漏洞。该漏洞是由于 Web 服务器中的输入验证错误导致的，该错误未正确清理目录遍历模式的 URI。成功利用该漏洞允许未经身份验证的远程攻击者披露或访问易受攻击的服务器上的任意文件。

3. ↓ Zyxel ZyWALL 命令注入 (CVE-2023-28771) – Zyxel ZyWALL 中存在命令注入漏洞。成功利用此漏洞将允许远程攻击者在受影响的系统中执行任意操作系统命令。

4. ↑ Apache Log4j 远程执行代码 (CVE-2021-44228) – Apache Log4j 中存在远程代码执行漏洞。成功利用此漏洞可能允许远程攻击者在受影响的系统上执行任意代码。

5. ↑ HTTP 标头远程代码执行 – HTTP 标头允许客户端和服务器通过 HTTP 请求传递附加信息。远程攻击者可能使用易受攻击的 HTTP 标头在受害计算机上运行任意代码。

6. ↓ WordPress portable-phpMyAdmin 插件身份验证绕过 (CVE-2012-5469) – WordPress portable-phpMyAdmin 插件中存在身份验证绕过漏洞。成功利用此漏洞将允许远程攻击者获取敏感信息并对受影响的系统进行未经授权的访问。

7. ↑ PHP 彩蛋信息泄露 (CVE-2015-2051) – PHP 页面中报告了一个信息泄露漏洞。该漏洞是由于不正确的 Web 服务器配置造成的。远程攻击者可以通过向受影响的 PHP 页面发送特制 URL 来利用此漏洞。

8. ↓ MVPower CCTV DVR 远程执行代码 (CVE-2016-20016)- MVPower CCTV DVR 中存在远程执行代码漏洞。成功利用此漏洞可能允许远程攻击者在受影响的系统上执行任意代码。

9. ↓ PHPUnit 命令注入 (CVE-2017-9841) – PHPUnit 中存在命令注入漏洞。成功利用此漏洞将允许远程攻击者在受影响的系统中执行任意命令。

10. ↔ OpenSSL TLS DTLS 心跳信息泄露（CVE-2014-0160、CVE-2014-0346） – OpenSSL 中存在信息泄露漏洞。该漏洞又名 Heartbleed，是由于处理 TLS/DTLS 心跳数据包时出现错误造成的。攻击者可以利用此漏洞泄露所连接的客户端或服务器的内存内容。

热门移动恶意软件 

上个月Anubis仍然是最流行的移动恶意软件第一名，其次是AhMyth < /span>。SpinOk和

1. Anubis – Anubis 是一种专为 Android 手机设计的银行木马恶意软件。自最初检测到以来，它已获得了额外的功能，包括远程访问木马 (RAT) 功能、键盘记录器、录音功能和各种勒索软件功能。Google 商店中提供的数百种不同应用程序已检测到该病毒。

2. AhMyth – AhMyth 是 2017 年发现的远程访问木马 (RAT)。它通过 Android 应用程序进行分发，这些应用程序可以在应用程序商店和各种网站上找到。当用户安装这些受感染的应用程序之一时，恶意软件可以从设备收集敏感信息并执行键盘记录、截图、发送短信和激活摄像头等操作，这些操作通常用于窃取敏感信息。

3. SpinOk – SpinOk 是一个作为间谍软件运行的 Android 软件模块。它收集有关设备上存储的文件的信息，并将其传输给恶意威胁者。截至 2023 年 5 月，该恶意模块存在于 100 多个 Android 应用中，下载量超过 4.21 亿次。

90个网络和数据安全相关法律法规打包下载 2023年10佳免费网络威胁情报来源和工具 数据安全管理从哪里开始 网络安全等级保护：等级保护工作、分级保护工作、密码管理工作三者之间的关系 >>>错与罚<<< 公安部重要提醒！“两高一弱”问题 倒卖电商账号，两人获刑！ 河南公布9起打击网络谣言、“网络水军”典型案例 网红PK，输了的被惩罚“直播遛狗”？低俗！ 致富靠劳动，“买码”网赌终将人财两空 2100万条好评点赞，竟然都是假的！ 消失的TA，爱情原来是场蓄谋已久的“杀猪盘” 成都网警破获一起编造传播证券市场网络谣言案 警惕！“精品网游”背后的淫秽色情！ 海淀网警侦破一起“羊毛党”诈骗补贴金案件 淫秽链接10余万条，这种传播被切断！ 公安部公布打击黑客犯罪10起典型案例 曝光！街边扫码送礼品的“黑色秘密”！ “郑强被举报案”，警方通报！ 涉案流水超60亿！内蒙古网警破获特大跨境网络赌博案 新生儿信息遭泄露，一案双查！ 疯狂吸金！普通视频一夜新增300万播放量？ 公安部公布依法惩治网络暴力违法犯罪10起典型案例 同城美女相邀约？其实是双簧陷阱！ 成都网警破获一起编造传播证券市场网络谣言案 涉黄“小卡片”！扫码后到底有什么“套路”？ 西藏网警查处一起传播淫秽物品牟利案 生活中要警惕：不要随意蹭免费WIFI！ 公安部督办非法机顶盒大案告破：涉案2亿元！ 家长必读：这些方法可以有效保护孩子上网安全 “内鬼”盗卖数据，某大药房被罚！ 被遗忘的网站，潜藏着网络安全隐患 紧急提示！“京东白条”诈骗又双叒来了 网络安全保护不是儿戏，违法违规必被查处 北京市网信办对三家企业未履行数据安全保护义务作出行政处罚 网安局@各学校，赶快检查一下你们的路由器安全吗? 倒闭跑路还主动退费？这套路真是防不胜防 背调时需要的无犯罪记录证明怎么开？ 湖南网安适用《数据安全法》对多个单位作出行政处罚 由上海政务系统数据泄露引发的一点点感慨 个人信息保护不当，宁夏6家物业公司被处罚 网络安全保护不是儿戏，违法违规必被查处 罚款8万！某科技公司因数据泄漏被依法处罚 近2万条学员信息泄露！该抓的抓，该罚的罚！ 信息系统被入侵，单位主体也得担责！ 警方打掉通过木马控制超1400万部“老年机”自动扣费的犯罪团伙 张家界警方全链条团灭非法侵入1600余台计算机系统终端案！ 警方提醒！多名百万网红被抓，54人落网！ 不履行数据安全保护义务，这些公司企业被罚！ “一案双查”！网络设备产品服务商这项义务要履行！ >>>等级保护<<< 开启等级保护之路：GB 17859网络安全等级保护上位标准 网络安全等级保护：什么是等级保护？ 网络安全等级保护：等级保护工作从定级到备案 网络安全等级保护：等级测评中的渗透测试应该如何做 网络安全等级保护：等级保护测评过程及各方责任 网络安全等级保护：政务计算机终端核心配置规范思维导图 网络安全等级保护：信息技术服务过程一般要求 网络安全等级保护：浅谈物理位置选择测评项 闲话等级保护：网络安全等级保护基础标准（等保十大标准）下载 闲话等级保护：什么是网络安全等级保护工作的内涵？ 闲话等级保护：网络产品和服务安全通用要求之基本级安全通用要求 闲话等级保护：测评师能力要求思维导图 闲话等级保护：应急响应计划规范思维导图 闲话等级保护：浅谈应急响应与保障 闲话等级保护：如何做好网络总体安全规划 闲话等级保护：如何做好网络安全设计与实施 闲话等级保护：要做好网络安全运行与维护 闲话等级保护：人员离岗管理的参考实践 信息安全服务与信息系统生命周期的对应关系 >>>工控安全<<< 工业控制系统安全：信息安全防护指南 工业控制系统安全：工控系统信息安全分级规范思维导图 工业控制系统安全：DCS防护要求思维导图 工业控制系统安全：DCS管理要求思维导图 工业控制系统安全：DCS评估指南思维导图 工业控制安全：工业控制系统风险评估实施指南思维导图 工业控制系统安全：安全检查指南思维导图（内附下载链接） 业控制系统安全：DCS风险与脆弱性检测要求思维导图 >>>数据安全<<< 数据治理和数据安全 数据安全风险评估清单 成功执行数据安全风险评估的3个步骤 美国关键信息基础设施数据泄露的成本 备份：网络和数据安全的最后一道防线 数据安全：数据安全能力成熟度模型 数据安全知识：什么是数据保护以及数据保护为何重要？ 信息安全技术：健康医疗数据安全指南思维导图 金融数据安全：数据安全分级指南思维导图 金融数据安全：数据生命周期安全规范思维导图 什么是数据安全态势管理 (DSPM)？ >>>供应链安全<<< 美国政府为客户发布软件供应链安全指南 OpenSSF 采用微软内置的供应链安全框架 供应链安全指南：了解组织为何应关注供应链网络安全 供应链安全指南：确定组织中的关键参与者和评估风险 供应链安全指南：了解关心的内容并确定其优先级 供应链安全指南：为方法创建关键组件 供应链安全指南：将方法整合到现有供应商合同中 供应链安全指南：将方法应用于新的供应商关系 供应链安全指南：建立基础，持续改进。 思维导图：ICT供应链安全风险管理指南思维导图 英国的供应链网络安全评估 >>>其他<<< 网络安全十大安全漏洞 网络安全等级保护：做等级保护不知道咋定级？来一份定级指南思维导图 网络安全等级保护：应急响应计划规范思维导图 安全从组织内部人员开始 VMware 发布9.8分高危漏洞补丁 影响2022 年网络安全的五个故事 2023年的4大网络风险以及如何应对 网络安全知识：物流业的网络安全 网络安全知识：什么是AAA（认证、授权和记账）？ 美国白宫发布国家网络安全战略 开源代码带来的 10 大安全和运营风险 不能放松警惕的勒索软件攻击 10种防网络钓鱼攻击的方法 5年后的IT职业可能会是什么样子？ 累不死的IT加班人：网络安全倦怠可以预防吗？ 网络风险评估是什么以及为什么需要 美国关于乌克兰战争计划的秘密文件泄露 五角大楼调查乌克兰绝密文件泄露事件 如何减少制造攻击面的暴露 来自不安全的经济、网络犯罪和内部威胁三重威胁 2023 年OWASP Top 10 API 安全风险 什么是渗透测试，能防止数据泄露吗？ SSH 与 Telnet 有何不同？ 管理组织内使用的“未知资产”：影子IT 最新更新：全国网络安全等级测评与检测评估机构目录（11月10日更新）

原文始发于微信公众号（河南等级保护测评）：2023年11月份恶意软件之“十恶不赦”排行榜