Emotet重出江湖：2020年十大恶意软件、漏洞榜单（7月）

“退隐江湖”近半年后，老牌恶意软件Emotet僵尸网络病毒重出江湖，并迅速夺回恶意软件TOP10头把交椅。

近日，根据Checkpoint发布的2020年7月全球威胁指数，在缺席五个月之后，Emotet已升至该指数的榜首位置，短时间内袭击了全球5％的企业和组织，主要活动是传播钓鱼邮件窃取银行账户并在目标网络内部传播。

由于具备类似硅谷顶级科技企业的一流“敏捷开发”能力，过去几年Emotet始终是最具“创造性”、“颠覆性”、“影响力”和破坏力的恶意软件，其产品迭代和技术创新的速度甚至很多网络安全公司都自叹弗如。

具体来说，Emotet就像一个“搬运工”，侵入宿主系统后，具备下载其他恶意软件的能力，由于其模块化的性质，这只是其能力之一。借助传播组件，Emotet能够将自身传送到同一网络上的其他计算机，该组件可以通过挂载共享或利用漏洞利用来传播恶意软件。换而言之，Emotet就像一个大的恶意软件“电商平台”，是很多其他恶意软件的重要“投放渠道”。

自2020年2月以来，Emotet的活动（主要是发送大量的垃圾和钓鱼邮件）开始放缓，并最终停止，直到7月重新开始活跃。值得注意的是，2019年Emotet僵尸网络也选择在夏季“蛰伏”，在9月恢复活动。

今年7月，Emotet通过垃圾和钓鱼邮件活动，用TrickBot和Qbot感染了大量受害者，这些攻击活动的主要目的是窃取银行凭证并在企业网络内部传播。这些钓鱼邮件活动中有些包含名称为“form.doc”或“invoice.doc”之类的恶意doc文件。据安全研究人员称，这些恶意文档启动了PowerShell，以从远程网站提取Emotet二进制文件并感染计算机，然后将其添加到僵尸网络中。Emotet的活动恢复凸显了僵尸网络在全球范围内的规模和力量。

至于Emotet为什么会在2020年和2019年都选择在夏天“蛰伏”，CheckPoint研究人员认为，Emotet僵尸网络背后的开发人员选择这个时间端更新迭代其功能。

由于Emotet每次复出都会“功力大增”，企业应该尽快对员工进行相关安全意识培训，包括如何识别携带这些威胁的垃圾邮件类型，并警告打开电子邮件附件或点击外部来源链接的风险。企业还应该考虑部署反恶意软件解决方案，以防止此类内容到达最终用户。

报告还警告说，“MVPower DVR远程执行代码”是当下最普遍利用的漏洞，影响了全球44％的企业和组织，其次是“OpenSSL TLS DTLS心跳信息泄露”，它影响了全球42％的组织。“HTTP有效负载命令注入”排名第三，对全球企业和组织的影响为38％。

以下是CheckPoint报告中列出的7月份十大恶意软件榜单和十大漏洞榜单。

*箭头表示与上个月相比的排名变化。

7月，Emotet是最流行的恶意软件，影响了全球5%的企业和组织，紧随其后的是Dridex和Agent Tesla，对组织的影响分别为4％。

1.↑Emotet–Emotet是一种高级自我传播的模块化木马。Emotet最初是银行木马，但最近被用作其他恶意软件或恶意活动的分发者。它使用多种方法来保持持久性和逃避技术，从而避免检测。此外，它可以通过包含恶意附件或链接的网络钓鱼垃圾邮件来传播。

2.↑Dridex–Dridex是针对Windows平台的木马，通过垃圾邮件附件下载传播。Dridex联系远程服务器并发送有关受感染系统的信息。它还可以下载并执行从远程服务器接收的任意模块。

3.↓Agent Tesla–Agent Tesla是一种高级RAT，用作键盘记录程序和信息窃取程序，能够监视和收集受害者的键盘输入、系统剪贴板，截屏并窃取受害者计算机上安装的各种软件的凭证（包括Google Chrome、Mozilla Firefox和Microsoft Outlook电子邮件客户端）。

4.↑Trickbot–Trickbot当下占据主流地位的多功能bot，并不断通过新功能，功能和发行媒介进行更新。这使Trickbot成为灵活且可自定义的恶意软件，可以作为多用途活动的一部分进行分发。

5.↑Formbook–Formbook是一个信息盗窃工具（infoStealer），它从各种Web浏览器中收集账户凭据、屏幕快照、监视和记录击键，并可以根据其C＆C命令下载和执行文件。

6.↓XMRig–XMRig是用于挖掘Monero加密货币的开源CPU挖矿软件，于2017年5月首次在野外出现。

7.↑Mirai–Mirai是一种著名的物联网（IoT）恶意软件，可跟踪易受攻击的IoT设备（例如网络摄像头、调制解调器和路由器）并将其转变为僵尸网络的机器人。僵尸网络被其运营商用来进行大规模的分布式拒绝服务（DDoS）攻击。

8.↓Ramnit–Ramnit是一个银行木马，它窃取银行凭证、FTP密码、会话cookie和个人数据。

9.↓Glupteba–Glupteba是一个后门，它已逐渐成长为一个僵尸网络。到2019年，Glupteba具备了通过公共BitCoin列表提供的C＆C地址更新的机制，还集成了浏览器窃取功能和路由器利用程序。

10.↑RigEK–RigEK提供了针对Flash、Java、Silverlight和Internet Explorer的攻击。感染链从重定向到登录页面开始，该页面包含的JavaScript脚本能检查易受攻击的插件并进行利用。

7月，“MVPower DVR远程执行代码”是最普遍利用的漏洞，影响了全球44％的组织，其次是“OpenSSL TLS DTLS心跳信息泄露”，其影响了全球42％的组织。“HTTP有效负载命令注入”排名第三，对全球的影响为38％。

1.↑MVPower DVR远程执行代码。MVPower DVR设备中存在一个远程执行代码漏洞。远程攻击者可以利用此漏洞通过精心设计的请求在受影响的路由器中执行任意代码。

2.↓OpenSSL TLS DTLS心跳信息泄露（CVE-2014-0160;CVE-2014-0346）。OpenSSL中存在一个信息泄露漏洞。该漏洞是由于处理TLS/DTLS心跳数据包时出错。攻击者可以利用此漏洞来披露连接的客户端或服务器的内存内容。

3.↑通过HTTP有效负载进行命令注入。通过HTTP有效负载进行命令注入漏洞，远程攻击者可以通过向受害者发送特制请求来利用此问题。攻击者成功利用该漏洞后能在目标计算机上执行任意代码。

4.↔Dasan GPON路由器身份验证绕过（CVE-2018-10561）。Dasan GPON该路由器中存在身份验证旁路漏洞。成功利用此漏洞将使远程攻击者可以获得敏感信息并获得对受影响系统的未授权访问。

5.↑HTTP标头远程执行代码（CVE-2020-13756）。HTTP标头使客户端和服务器可以通过HTTP请求传递其他信息。远程攻击者可能使用易受攻击的HTTP标头在受害计算机上运行任意代码。

6.↑Apache Struts2内容类型远程代码执行。使用Jakarta解析器的Apache Struts2中存在一个远程执行代码漏洞。攻击者可以通过在文件上载请求中发送无效的内容类型来利用此漏洞。成功利用该漏洞可能导致在受影响的系统上执行任意代码。

7.↓Git存储库的Web服务器信息泄露。Git存储库中报告了一个信息泄露漏洞。成功利用此漏洞可能导致无意中泄露账户信息。

8.↑SQL注入（几种技术）。在客户端应用程序的输入中插入SQL查询注入，同时利用应用程序软件中的安全漏洞。

9.↑PHP php-cgi查询字符串参数代码执行。PHP已报告一个远程执行代码漏洞。该漏洞是由于PHP对查询字符串的解析和过滤不当所致。远程攻击者可以通过发送精心制作的HTTP请求来利用此漏洞。成功的利用将使攻击者能在目标上执行任意代码。

10.↓WordPress Portable-phpMyAdmin插件身份验证绕过。WordPress Portable-phpMyAdmin插件中存在身份验证绕过漏洞。成功利用此漏洞将使远程攻击者可以获得敏感信息并获得对受影响系统的未授权访问。

xHelper是7月最受欢迎的移动恶意软件，其次是Necro和PreAMo。

1.xHelper。自2019年3月以来在野外常见的恶意应用程序，用于下载其他恶意应用程序和展示广告。该应用程序可以向用户隐藏自身，并在卸载后自动重新安装。

2.Necro。Necro是一个Android木马投放器（Android Trojan Dropper）。它可以下载其他恶意软件，显示侵入性广告，并通过向付费订阅来窃取钱财。

3.PreAMo。PreAmo是一种Android“刷点击”恶意软件，可模仿用户点击三个广告代理商Presage、Admob和Mopub的横幅广告。