2023年10月份恶意软件之十恶不赦排行榜

最新的 2023 年 10 月全球威胁指数显示，以中东政府机构和组织为目标的远程访问木马 (RAT) NJRat 从第六位上升了四位，升至第二位。与此同时，研究人员报告了一项涉及高级 RAT AgentTesla 的新恶意垃圾邮件活动，而教育行业仍然是最有针对性的行业。

上个月，AgentTesla 被发现通过包含恶意 Microsoft 编译 HTML 帮助 (.CHM) 扩展名的存档文件进行分发。这些文件通过电子邮件以 .GZ 或 .zip 附件形式发送，使用与最近订单和发货相关的名称，例如 – po-######.gz / Shipping Documents.gz，旨在引诱目标下载恶意软件。安装后，AgentTesla 能够进行键盘记录、捕获剪贴板数据、访问文件系统以及秘密地将窃取的数据传输到命令和控制 (C&C) 服务器。

不能错过黑客用来传播恶意软件的策略，例如冒充熟悉的品牌或通过电子邮件发送恶意文件。随着 11 月进入繁忙的购物季节，保持警惕并记住网络犯罪分子正在积极利用我们对在线购物和运输的浓厚兴趣，这一点很重要。”

Zyxel ZyWALL 命令注入 (CVE-2023-28771)是最常被利用的漏洞，影响了全球 42% 的组织，其次是HTTP 命令注入，影响了全球 42% 的组织。Web 服务器恶意 URL 目录遍历是第三大最常用的漏洞，全球影响率为 42%。

2023年10月“十恶不赦”

*箭头表示与上个月相比的排名变化。

*箭头表示与上个月相比的排名变化。

Formbook是上个月最流行的恶意软件，影响了全球3% 的组织，其次是NJRat，影响了全球2%， Remcos影响了全球2%。

1. ↔ Formbook – Formbook 是一种针对 Windows 操作系统的信息窃取程序，于 2016 年首次被发现。由于其强大的规避技术和相对较低的价格，它在地下黑客论坛中以恶意软件即服务 (MaaS) 的形式进行销售。FormBook 从各种 Web 浏览器获取凭据、收集屏幕截图、监视和记录击键，并可以根据其 C&C 的命令下载和执行文件。

2. ^ NJRat – NJRat 是一种远程访问木马，主要针对中东的政府机构和组织。该木马于 2012 年首次出现，具有多种功能：捕获击键、访问受害者的摄像头、窃取浏览器中存储的凭据、上传和下载文件、执行进程和文件操作以及查看受害者的桌面。NJRat 通过网络钓鱼攻击和偷渡式下载感染受害者，并在命令与控制服务器软件的支持下通过受感染的 USB 密钥或网络驱动器进行传播。

3. ↓ Remcos – Remcos 是一种于 2016 年首次出现的 RAT。Remcos 通过恶意 Microsoft Office 文档进行传播，这些文档附加在垃圾邮件中，旨在绕过 Microsoft Windows UAC 安全性并以高级权限执行恶意软件。

4. ↔ Nanocore – Nanocore 是一种针对 Windows 操作系统用户的远程访问木马，于 2013 年首次在野外观察到。所有版本的 RAT 都包含基本插件和功能，例如屏幕捕获、加密货币挖掘、远程控制桌面和网络摄像头会话盗窃。

5. ↓ Emotet – Emotet 是一种先进的、自我传播的模块化木马，曾经用作银行木马，最近用作其他恶意软件或恶意活动的传播者。它使用多种方法来维持持久性和逃避技术来避免检测。此外，它还可以通过包含恶意附件或链接的网络钓鱼垃圾邮件进行传播。

6. ↑ AgentTesla – AgentTesla 是一种高级 RAT，充当键盘记录程序和信息窃取程序，能够监控和收集受害者的键盘输入、系统键盘、截取屏幕截图以及窃取受害者计算机上安装的各种软件的凭据（包括 Google Chrome、Mozilla Firefox 和 Microsoft Outlook 电子邮件客户端）。

7. ^ Mirai – Mirai 是一种臭名昭著的物联网 (IoT) 恶意软件，它会跟踪易受攻击的物联网设备，例如网络摄像头、调制解调器和路由器，并将其转变为机器人。该僵尸网络被其运营商用来进行大规模分布式拒绝服务 (DDoS) 攻击。Mirai 僵尸网络于 2016 年 9 月首次出现，并因一些大规模攻击而迅速成为头条新闻，其中包括用于使利比里亚整个国家瘫痪的大规模 DDoS 攻击，以及针对互联网基础设施公司 Dyn 的 DDoS 攻击，该公司提供了很大一部分美国互联网基础设施。

8. ^ Phorpiex – Phorpiex 是一个僵尸网络（又名 Trik），自 2010 年以来一直活跃，在高峰时期控制了超过一百万台受感染的主机。它以通过垃圾邮件活动分发其他恶意软件系列以及助长大规模垃圾邮件和性勒索活动而闻名。

9. ↑ Ramnit – Ramnit 特洛伊木马是一种能够泄露敏感数据的恶意软件。此类数据可以包括银行凭证、FTP 密码、会话 cookie 和个人数据等任何内容。

10. ↑ Tofsee – Tofsee 是一个针对 Windows 平台的 Trickler。该恶意软件尝试在目标系统上下载并执行其他恶意文件。它可能会下载并向用户显示图像文件，以隐藏其真实目的。

全球受攻击最多的行业

上个月，教育/研究仍然是全球受攻击最严重的行业，位居榜首，其次是通信和政府/军事。

1. 教育/研究

2. 通讯

3. 政府/军队

最常被利用的漏洞

上个月，Zyxel ZyWALL 命令注入 (CVE-2023-28771)”是最常被利用的漏洞，影响了全球42%的组织，其次是HTTP 命令注入，影响了全球42%的组织。Web 服务器恶意 URL 目录遍历是第三大最常用的漏洞，全球影响率为42%。

1. ↑ Zyxel ZyWALL 命令注入 (CVE-2023-28771) – Zyxel ZyWALL 中存在命令注入漏洞。成功利用此漏洞将允许远程攻击者在受影响的系统中执行任意操作系统命令。

2. ↔ HTTP 命令注入（CVE-2021-43936、CVE-2022-24086） – 已报告 HTTP 命令注入漏洞。远程攻击者可以通过向受害者发送特制请求来利用此问题。成功利用该漏洞将允许攻击者在目标计算机上执行任意代码。

3. ↓ Web 服务器恶意 URL 目录遍历 (CVE-2010-4598、CVE-2011-2474、CVE-2014-0130、CVE-2014-0780、CVE-2015-0666、CVE-2015-4068、CVE-2015-7254、 CVE-2016-4523、CVE-2016-8530、CVE-2017-11512、CVE-2018-3948、CVE-2018-3949、CVE-2019-18952、CVE-2020-5410、CVE-2020-8260) –有不同Web服务器上存在目录遍历漏洞。该漏洞是由于 Web 服务器中的输入验证错误导致的，该错误未正确清理目录遍历模式的 URI。成功利用此漏洞允许未经身份验证的远程攻击者披露或访问易受攻击的服务器上的任意文件。

4. ↑ Apache Log4j 远程代码执行 (CVE-2021-44228) – Apache Log4j 中存在远程代码执行漏洞。成功利用此漏洞可能允许远程攻击者在受影响的系统上执行任意代码。

5. ↓ WordPress portable-phpMyAdmin 插件身份验证绕过 (CVE-2012-5469) – WordPress portable-phpMyAdmin 插件中存在身份验证绕过漏洞。成功利用此漏洞将允许远程攻击者获取敏感信息并对受影响的系统进行未经授权的访问。

6. ↑ PHPUnit 命令注入 (CVE-2017-9841) – PHPUnit 中存在命令注入漏洞。成功利用此漏洞将允许远程攻击者在受影响的系统中执行任意命令。

7. ↓ MVPower CCTV DVR 远程执行代码 (CVE-2016-20016) - MVPower CCTV DVR 中存在远程执行代码漏洞。成功利用此漏洞可能允许远程攻击者在受影响的系统上执行任意代码。

8. ↓ PHP 彩蛋信息泄露 (CVE-2015-2051) – PHP 页面中报告了一个信息泄露漏洞。该漏洞是由于不正确的 Web 服务器配置造成的。远程攻击者可以通过向受影响的 PHP 页面发送特制 URL 来利用此漏洞。

9. ↑ ZTE F460/F660 后门未经授权访问– ZTE F460 和 F660 电缆调制解调器中存在未经授权访问漏洞。成功利用此漏洞可能允许远程攻击者在受影响的设备上以管理员级别访问权限执行任意命令。

10. ↓ OpenSSL TLS DTLS 心跳信息泄露（CVE-2014-0160、CVE-2014-0346） – OpenSSL 中存在信息泄露漏洞。该漏洞又名 Heartbleed，是由于处理 TLS/DTLS 心跳数据包时出现错误造成的。攻击者可以利用此漏洞泄露所连接的客户端或服务器的内存内容。

热门移动恶意软件

上个月，Anubis仍然位居最流行移动恶意软件的首位，其次是AhMyth和Hiddad。

1. Anubis – Anubis 是一种专为 Android 手机设计的银行木马恶意软件。自最初检测到以来，它已获得了额外的功能，包括远程访问木马 (RAT) 功能、键盘记录器、录音功能和各种勒索软件功能。Google 商店中数百个不同的应用程序已检测到该病毒。

2. AhMyth – AhMyth 是 2017 年发现的远程访问木马 (RAT)。它通过 Android 应用程序分发，可在应用程序商店和各种网站上找到。当用户安装这些受感染的应用程序之一时，恶意软件可以从设备收集敏感信息并执行键盘记录、截图、发送短信和激活摄像头等操作，这些操作通常用于窃取敏感信息。

3. Hiddad – Hiddad 是一种 Android 恶意软件，它会重新打包合法应用程序，然后将其发布到第三方商店。它的主要功能是展示广告，但它也可以访问操作系统内置的关键安全细节。

>>>错与罚<<< 公安部督办非法机顶盒大案告破：涉案2亿元！ 涉黄“小卡片”！扫码后到底有什么“套路”？ 西藏网警查处一起传播淫秽物品牟利案 生活中要警惕：不要随意蹭免费WIFI！ 家长必读：这些方法可以有效保护孩子上网安全 “内鬼”盗卖数据，某大药房被罚！ 被遗忘的网站，潜藏着网络安全隐患 紧急提示！“京东白条”诈骗又双叒来了 网络安全保护不是儿戏，违法违规必被查处 北京市网信办对三家企业未履行数据安全保护义务作出行政处罚 网安局@各学校，赶快检查一下你们的路由器安全吗? 倒闭跑路还主动退费？这套路真是防不胜防 背调时需要的无犯罪记录证明怎么开？ 湖南网安适用《数据安全法》对多个单位作出行政处罚 由上海政务系统数据泄露引发的一点点感慨 个人信息保护不当，宁夏6家物业公司被处罚 网络安全保护不是儿戏，违法违规必被查处 罚款8万！某科技公司因数据泄漏被依法处罚 近2万条学员信息泄露！该抓的抓，该罚的罚！ 信息系统被入侵，单位主体也得担责！ 警方打掉通过木马控制超1400万部“老年机”自动扣费的犯罪团伙 张家界警方全链条团灭非法侵入1600余台计算机系统终端案！ 警方提醒！多名百万网红被抓，54人落网！ 不履行数据安全保护义务，这些公司企业被罚！ “一案双查”！网络设备产品服务商这项义务要履行！ >>>等级保护<<< 开启等级保护之路：GB 17859网络安全等级保护上位标准 网络安全等级保护：什么是等级保护？ 网络安全等级保护：等级保护工作从定级到备案 网络安全等级保护：等级测评中的渗透测试应该如何做 网络安全等级保护：等级保护测评过程及各方责任 网络安全等级保护：政务计算机终端核心配置规范思维导图 网络安全等级保护：信息技术服务过程一般要求 网络安全等级保护：浅谈物理位置选择测评项 闲话等级保护：网络安全等级保护基础标准（等保十大标准）下载 闲话等级保护：什么是网络安全等级保护工作的内涵？ 闲话等级保护：网络产品和服务安全通用要求之基本级安全通用要求 闲话等级保护：测评师能力要求思维导图 闲话等级保护：应急响应计划规范思维导图 闲话等级保护：浅谈应急响应与保障 闲话等级保护：如何做好网络总体安全规划 闲话等级保护：如何做好网络安全设计与实施 闲话等级保护：要做好网络安全运行与维护 闲话等级保护：人员离岗管理的参考实践 信息安全服务与信息系统生命周期的对应关系 >>>工控安全<<< 工业控制系统安全：信息安全防护指南 工业控制系统安全：工控系统信息安全分级规范思维导图 工业控制系统安全：DCS防护要求思维导图 工业控制系统安全：DCS管理要求思维导图 工业控制系统安全：DCS评估指南思维导图 工业控制安全：工业控制系统风险评估实施指南思维导图 工业控制系统安全：安全检查指南思维导图（内附下载链接） 业控制系统安全：DCS风险与脆弱性检测要求思维导图 >>>数据安全<<< 数据治理和数据安全 数据安全风险评估清单 成功执行数据安全风险评估的3个步骤 美国关键信息基础设施数据泄露的成本 备份：网络和数据安全的最后一道防线 数据安全：数据安全能力成熟度模型 数据安全知识：什么是数据保护以及数据保护为何重要？ 信息安全技术：健康医疗数据安全指南思维导图 金融数据安全：数据安全分级指南思维导图 金融数据安全：数据生命周期安全规范思维导图 什么是数据安全态势管理 (DSPM)？ >>>供应链安全<<< 美国政府为客户发布软件供应链安全指南 OpenSSF 采用微软内置的供应链安全框架 供应链安全指南：了解组织为何应关注供应链网络安全 供应链安全指南：确定组织中的关键参与者和评估风险 供应链安全指南：了解关心的内容并确定其优先级 供应链安全指南：为方法创建关键组件 供应链安全指南：将方法整合到现有供应商合同中 供应链安全指南：将方法应用于新的供应商关系 供应链安全指南：建立基础，持续改进。 思维导图：ICT供应链安全风险管理指南思维导图 英国的供应链网络安全评估 >>>其他<<< 网络安全十大安全漏洞 网络安全等级保护：做等级保护不知道咋定级？来一份定级指南思维导图 网络安全等级保护：应急响应计划规范思维导图 安全从组织内部人员开始 VMware 发布9.8分高危漏洞补丁 影响2022 年网络安全的五个故事 2023年的4大网络风险以及如何应对 网络安全知识：物流业的网络安全 网络安全知识：什么是AAA（认证、授权和记账）？ 美国白宫发布国家网络安全战略 开源代码带来的 10 大安全和运营风险 不能放松警惕的勒索软件攻击 10种防网络钓鱼攻击的方法 5年后的IT职业可能会是什么样子？ 累不死的IT加班人：网络安全倦怠可以预防吗？ 网络风险评估是什么以及为什么需要 美国关于乌克兰战争计划的秘密文件泄露 五角大楼调查乌克兰绝密文件泄露事件 如何减少制造攻击面的暴露 来自不安全的经济、网络犯罪和内部威胁三重威胁 2023 年OWASP Top 10 API 安全风险 什么是渗透测试，能防止数据泄露吗？ SSH 与 Telnet 有何不同？ 管理组织内使用的“未知资产”：影子IT 最新更新：全国网络安全等级测评与检测评估机构目录（9月15日更新）

原文始发于微信公众号（祺印说信安）：2023年10月份恶意软件之“十恶不赦”排行榜