| 网络安全等级保护:信息系统安全运维管理指南思维导图 |
2022年10月“十恶不赦”
*箭头表示与上个月相比排名的变化。
-
↑ AgentTesla – AgentTesla 是一种高级 RAT,可用作键盘记录器和信息窃取器。它能够监控和收集受害者的键盘输入、系统键盘、截取屏幕截图并将凭据泄露给安装在受害者机器上的各种软件(包括 Google Chrome、Mozilla Firefox 和 Microsoft Outlook)。
-
↑ SnakeKeylogger – SnakeKeylogger 是一个模块化的 .NET 键盘记录器和凭据窃取程序,于 2020 年 11 月首次被发现。其主要功能是记录用户的击键并将收集的数据传输给威胁参与者。它对用户的在线安全构成重大威胁,因为这种恶意软件可以窃取各种敏感信息,并且特别具有规避性。
-
↑Lokibot – Lokibot 是一种信息窃取程序,主要通过网络钓鱼电子邮件分发,用于窃取各种数据,例如电子邮件凭据,以及 Crypto Coin 钱包和 FTP 服务器的密码。
-
↑Icedid – IcedID 是一种银行木马,于 2017 年 9 月首次出现。它通过垃圾邮件活动传播,并经常使用 Emotet 等其他恶意软件来帮助其扩散。IcedID 使用诸如进程注入和隐写术之类的规避技术。它通过重定向攻击(通过安装本地代理将用户重定向到假克隆站点)和网络注入攻击来窃取用户财务数据。
-
↓ XMRig – XMRig 是用于挖掘 Monero 加密货币的开源 CPU 挖掘软件。威胁者经常滥用这种开源软件,将其集成到他们的恶意软件中,在受害者的设备上进行非法挖掘。
-
↓ Emotet- Emotet 是一种先进的、自我传播的模块化木马。Emotet 曾经用作银行木马,现在也用作其他恶意软件或恶意活动的分发者。它使用多种规避技术来避免检测。此外,它还可以通过包含恶意附件或链接的网络钓鱼垃圾邮件进行传播。
-
↓ Formbook – Formbook 是针对 Windows 操作系统的信息窃取程序,于 2016 年首次被发现。由于其强大的规避技术和相对较低的价格,它在地下黑客论坛中作为恶意软件即服务 (MaaS) 进行销售。Formbook 从各种 Web 浏览器收集凭据,收集屏幕截图,监控和记录击键,并可以根据其 C&C 的命令下载和执行文件。
-
↓ Ramnit – Ramnit 是 2010 年首次发现的模块化银行木马。Ramnit 窃取 Web 会话信息,使其运营商能够窃取受害者使用的所有服务的帐户凭据,包括银行应用程序以及公司和社交网络帐户。该木马使用硬编码域以及由 DGA(域生成算法)生成的域来联系 C&C 服务器并下载其他模块。
-
↓ Vidar- Vidar 是一个针对 Windows 操作系统的信息窃取程序。它于 2018 年底首次被发现,旨在从各种网络浏览器和数字钱包中窃取密码、信用卡数据和其他敏感信息。Vidar 在各种在线论坛上出售,并用作恶意软件投放器来下载 GandCrab 勒索软件作为其辅助有效负载。
-
↔ Remcos – Remcos 是一种 RAT,于 2016 年首次出现。Remcos 通过附加到垃圾邮件的恶意 Microsoft Office 文档进行传播,旨在绕过 Microsoft Windows UAC 安全性并以高级权限执行恶意软件。
全球受攻击最多的行业
本月,教育/研究部门仍然是全球受攻击最多的行业,其次是政府/军事和医疗保健。
-
教育/研究
-
政府/军队
-
卫生保健
最常被利用的漏洞
“Web 服务器暴露 Git 存储库信息泄露”仍然是 10 月份最常被利用的漏洞,影响了全球 43% 的组织。紧随其后的是“Apache Log4j 远程代码执行”以 41% 的影响位居第二,“HTTP 标头远程代码执行”以 39% 的全球影响位居第三。
-
↔ Web 服务器暴露的 Git 存储库信息泄露 – Git 存储库中报告了一个信息泄露漏洞。成功利用此漏洞可能会导致无意泄露帐户信息。
-
↔ Apache Log4j 远程代码执行 (CVE-2021-44228) – Apache Log4j 中存在远程代码执行漏洞。成功利用此漏洞可能允许远程攻击者在受影响的系统上执行任意代码。
-
↑ HTTP 标头远程代码执行(CVE-2020-10826、CVE-2020-10827、CVE-2020-10828、CVE-2020-13756) ——HTTP 标头允许客户端和服务器通过 HTTP 请求传递附加信息。远程攻击者可能使用易受攻击的 HTTP 标头在受害者机器上运行任意代码。
-
↑ Web 服务器恶意 URL 目录遍历 (CVE-2010-4598,CVE-2011-2474,CVE-2014-0130,CVE-2014-0780,CVE-2015-0666,CVE-2015-4068,CVE-2015-7254, CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-2020-8260) –那里在不同的 Web 服务器上存在目录遍历漏洞。该漏洞是由于 Web 服务器中的输入验证错误未正确清理目录遍历模式的 URL。成功利用允许未经身份验证的远程攻击者泄露或访问任意文件。
-
↓ 通过 HTTP 进行命令注入 (CVE-2021-43936,CVE-2022-24086) –报告了通过 HTTP 的命令注入漏洞。远程攻击者可以通过向受害者发送特制请求来利用此问题。成功的利用将允许攻击者在目标机器上执行任意代码。
-
↔ MVPower DVR 远程代码执行– MVPower DVR 设备中存在远程代码执行漏洞。远程攻击者可以利用此弱点通过精心设计的请求在受影响的路由器中执行任意代码
-
↔ PHP Easter Egg Information Disclosure – PHP 页面中报告了一个信息泄露漏洞。该漏洞是由于 Web 服务器配置不正确造成的。远程攻击者可以通过向受影响的 PHP 页面发送特制 URL 来利用此漏洞。
-
↑ WordPress 便携式 phpMyAdmin 插件身份验证绕过 (CVE-2012-5469) - WordPress 便携式 phpMyAdmin 插件中存在身份验证绕过漏洞。成功利用此漏洞将允许远程攻击者获取敏感信息并未经授权访问受影响的系统。
-
↔ Dasan GPON 路由器身份验证绕过 (CVE-2018-10561)- Dasan GPON 路由器中存在身份验证绕过漏洞。成功利用此漏洞将允许远程攻击者获取敏感信息并未经授权访问受影响的系统。
-
↓ PHPUnit 命令注入 (CVE-2017-9841) – PHPUnit 中存在命令注入漏洞。成功利用此漏洞将允许远程攻击者在受影响的系统中执行任意命令。
顶级移动恶意软件
本月,Anubis继续成为最流行的移动恶意软件,紧随其后的是Hydra和Joker。
-
Anubis – Anubis 是一种专为 Android 手机设计的银行木马恶意软件。自从它最初被发现以来,它已经获得了额外的功能,包括远程访问木马 (RAT) 功能、键盘记录器和录音功能以及各种勒索软件功能。它已在 Google 商店中的数百个不同应用程序中检测到。
-
Hydra – Hydra 是一种银行木马,旨在通过请求受害者启用危险权限来窃取金融凭证。
-
Joker – Joker 是 Google Play 中的一款 Android 间谍软件,旨在窃取 SMS 消息、联系人列表和设备信息。该恶意软件还可以在受害者未经同意或不知情的情况下为其注册付费高级服务。
-
开启等级保护之路:GB 17859网络安全等级保护上位标准 -
网络安全等级保护:等级保护测评过程及各方责任 -
网络安全等级保护:政务计算机终端核心配置规范思维导图 -
网络安全等级保护:什么是等级保护? -
网络安全等级保护:信息技术服务过程一般要求 -
闲话等级保护:网络安全等级保护基础标准(等保十大标准)下载 -
闲话等级保护:什么是网络安全等级保护工作的内涵? -
闲话等级保护:网络产品和服务安全通用要求之基本级安全通用要求 -
闲话等级保护:测评师能力要求思维导图 -
闲话等级保护:应急响应计划规范思维导图 -
闲话等级保护:浅谈应急响应与保障 -
闲话等级保护:如何做好网络总体安全规划 -
闲话等级保护:如何做好网络安全设计与实施 -
闲话等级保护:要做好网络安全运行与维护 -
闲话等级保护:人员离岗管理的参考实践 -
信息安全服务与信息系统生命周期的对应关系 -
工业控制系统安全:信息安全防护指南 -
工业控制系统安全:工控系统信息安全分级规范思维导图 -
工业控制系统安全:DCS防护要求思维导图 -
工业控制系统安全:DCS管理要求思维导图 -
工业控制系统安全:DCS评估指南思维导图 -
工业控制安全:工业控制系统风险评估实施指南思维导图 -
工业控制系统安全:安全检查指南思维导图(内附下载链接) -
工业控制系统安全:DCS风险与脆弱性检测要求思维导图
原文始发于微信公众号(祺印说信安):2022年10月份恶意软件之“十恶不赦”排行榜
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论