在介紹本期內容前,我們看一下全世界的新冠疫情,全球累計確診213萬多人,現有確認人數145萬多人,累計死亡14萬2千多人。美國累計確認644806人,死亡30925人。西班牙、意大利、法國、德國、英國緊隨其後,累計確認病歷均突破十萬人大關。而伊朗、土耳其也達七萬人大關。同時,以COVID-19為主題的釣魚郵件摻雜著惡意軟件也在世界蔓延。我們在為我國抗疫取得階段性勝利之時,在我們使用計算機過程中,也需要提升自身的網絡安全意識,嚴防以新冠病毒為主題的釣魚郵件攻擊,不打開陌生人發來的郵件及附件、鏈接等。
全球新冠病毒疫情圖
於2011年首次出現的著名銀行木馬Dridex,首次擠進“十惡不赦”排行榜,在三月份排名第三位惡意軟件。Dridex已更新,現在已用於早期攻擊階段,用於下載BitPaymer和DoppelPaymer等勒索軟件。隨著多個包含惡意Excel文件的垃圾郵件活動的開展,Dridex的佔有率不斷提升,這些Excel文件將Dridex惡意軟件下載到受害者的計算機中。網絡犯罪分子以快速改變其攻擊主題引誘用戶,試圖最大程度地提高感染率。
XMRig本月居於榜首,影響佔全球抽樣統計數字5%組織,Jsecoin和Dridex緊隨其後,從而也從另一個側面說明,安全意識教育對垃圾郵件攻擊是大有作用的。微軟公司在本月的第二個週二發佈了多達113個漏洞的補丁,17個超危,96高危。Oracle也在四月份發佈了397個重要安全補丁,希望能夠引起大家的足夠重視,及時進行安全更新。
2020年3月“十惡不赦”
*箭頭表示與上個月相比的排名變化。
本月XMRig排名第一,影響佔全球抽樣統計數字5%組織,其次是Jsecoin和Dridex,影響佔全球抽樣統計數字4%和3%組織。
1.↔XMRig – 是一種開源利用CPU進行挖掘惡意軟件,用於挖掘Monero加密貨幣,並於2017年5月首次被發現,與上個月排名持平。
2. ↑Jsecoin –是一種可以嵌入網站的JavaScript礦工。使用JSEcoin,可以直接在瀏覽器中運行礦工,以換取無廣告體驗,遊戲內貨幣和其他獎勵,因惡意軟件利用計算機資源挖掘虛擬貨幣,從而導致系統性能受到極大影響。
5.↑ Dridex – Dridex是針對Windows平臺的銀行木馬,由垃圾郵件活動和漏洞利用工具包提供,依靠網頁注入並將銀行憑據重定向到攻擊者控制的服務器。Dridex與遠程服務器聯繫,發送有關受感染系統的信息,還可以下載並執行其他模塊以進行遠程控制,有近十年的活動歷史。
6. ↓Trickbot – 是一種占主導地位的銀行木馬,不斷更新功能和分發向量。這使得Trickbot成為一種靈活且可定製的惡意軟件,可以作為多用途廣告系列的一部分進行分發。。
7. ↓ Emotet – Emotet是一種高級的自我傳播和高級模塊化的木馬。Emotet曾經被用作銀行木馬,最近被用作其他惡意軟件或惡意廣告的分銷商。它使用多種方法來維護持久性和規避技術以避免檢測。此外,它還可以通過包含惡意附件或鏈接的網絡釣魚垃圾郵件進行傳播。
8. ↓Agent Tesla – AgentTesla是一種高級RAT,可用作鍵盤記錄器和密碼竊取器。攻擊者利用AgentTesla能夠監控和收集受害者的鍵盤輸入、系統剪貼板、截取屏幕,以及洩露屬於受害者機器上安裝的各種軟件(包括Google Chrome,Mozilla Firefox和Microsoft Outlook電子郵件客戶端)的憑據。
9. ↑Formbook – FormBook是一個Info Stealer,可以從各種Web瀏覽器中獲取憑據、收集屏幕截圖、監視和記錄鍵盤,並可以根據其C&C訂單下載和執行文件。
10. ↓Lokibot – Lokibot是主要通過網絡釣魚電子郵件分發的信息竊取工具,用於竊取各種數據,例如電子郵件憑據以及CryptoCoin錢包和FTP服務器的密碼。
此外,緊排在前十位後的兩個漏洞為一個大家早就習以為常的Ramnit和一個見得不多的RigEK。
11. ↓Ramnit – 是一款能夠竊取銀行憑據, FTP密碼,會話cookie和個人數據的銀行特洛伊木馬。
12. ↑RigEK – RigEK提供了針對Flash、Java、Silverlight和InternetExplorer的攻擊。感染鏈從重定向到登錄頁面開始,該頁面包含JavaScript,該JavaScript檢查易受攻擊的插件並進行利用。
3月份漏洞Top 10
本月, MVPower DVR遠程執行代碼仍然是最普遍利用的漏洞,影響佔全球抽樣統計數字30%組織影響了,其次是PHP php-cgi查詢字符串參數代碼執行漏洞,影響佔全球抽樣統計數字29%組織,第三名是OpenSSL TLS DTLS心跳信息披露,正在影響全球抽樣統計數字27%的組織。
1. ↔MVPower DVR遠程執行代碼 – MVPower DVR設備中存在一個遠程執行代碼漏洞。遠程攻擊者可以利用此漏洞通過精心設計的請求在受影響的路由器中執行任意代碼。
2.↑ PHP php-cgi查詢字符串參數代碼執行-PHP中已報告一個遠程執行代碼漏洞。該漏洞是由於PHP對查詢字符串的解析和過濾不當所致。遠程攻擊者可以通過發送精心製作的HTTP請求來利用此問題。成功的利用使攻擊者可以在目標上執行任意代碼。
3.↓ OpenSSL TLS DTLS心跳信息洩露(CVE-2014-0160;CVE-2014-0346) – OpenSSL中存在一個信息洩露漏洞。該漏洞是由於處理TLS / DTLS心跳數據包時出錯。攻擊者可以利用此漏洞來洩露連接的客戶端或服務器的內存內容。
4.↑ Web服務器暴露的Git存儲庫信息洩露– Git存儲庫中報告了一個信息洩露漏洞。成功利用此漏洞可能導致無意中洩露賬戶信息。
5.↓Dasan GPON路由器身份驗證繞過(CVE-2018-10561) –GPON路由器中存在身份驗證繞過漏洞。成功利用此漏洞將使遠程攻擊者可以獲得敏感信息並獲得對受影響系統的未授權訪問。
6.↑華為HG532路由器遠程執行代碼 –華為HG532路由器存在一個遠程執行代碼漏洞。遠程攻擊者可以利用此漏洞通過精心設計的請求在受影響的路由器中執行任意代碼,這也是在這個排行榜裡華為為數不多的一個嚴重漏洞。
7.↑D-Link DSL-2750B遠程命令執行 –WordPress Portable -phpMyAdmin插件中存在一個身份驗證繞過漏洞。成功利用此漏洞將使遠程攻擊者可以獲得敏感信息並獲得對受影響系統的未授權訪問。
8. ↓PHP DIESCAN信息洩露– PHP頁面中已報告的信息洩露漏洞。成功利用該漏洞可能導致服務器洩露敏感信息。
9. ↓SQL注入(混合技術)–在從客戶端到應用程序的輸入中插入SQL查詢注入,同時利用應用程序軟件中的安全漏洞。
10. ↑OpenSSL填充Oracle信息公開– OpenSSL的AES-NI實現中存在一個信息公開漏洞。該漏洞是由於在某些填充檢查期間內存分配計算錯誤而引起的。遠程攻擊者可以利用此漏洞通過針對AES CBC會話的padding-oracle攻擊來獲取敏感的明文信息。
3月份移動惡意軟件Top 3
本月xHelper佔據移動惡意軟件第一的位置,其次是AndroidBauts和Lotoor。
1.xHelper-自2019年3月被發現的惡意應用程序,用於下載其他惡意應用程序和顯示廣告。該應用程序可以向用戶隱藏自己,並在卸載後重新安裝。
2.AndroidBauts –針對Android用戶的廣告軟件,可滲漏 IMEI、IMSI、GPS位置和其他設備信息,並允許在移動設備上安裝第三方應用程序和快捷方式。
3. Lotoor –一種可利用Android操作系統上的漏洞在受感染的移動設備上獲得root特權的黑客工具。
參考文件:微軟官網
Oracle官網
ZERO DAY INITIATIVE
The Hacker News
CHECKPOINT等
