在介绍本期内容前,我们看一下全世界的新冠疫情,全球累计确诊213万多人,现有确认人数145万多人,累计死亡14万2千多人。美国累计确认644806人,死亡30925人。西班牙、意大利、法国、德国、英国紧随其后,累计确认病历均突破十万人大关。而伊朗、土耳其也达七万人大关。同时,以COVID-19为主题的钓鱼邮件掺杂着恶意软件也在世界蔓延。我们在为我国抗疫取得阶段性胜利之时,在我们使用计算机过程中,也需要提升自身的网络安全意识,严防以新冠病毒为主题的钓鱼邮件攻击,不打开陌生人发来的邮件及附件、链接等。
全球新冠病毒疫情图
于2011年首次出现的著名银行木马Dridex,首次挤进“十恶不赦”排行榜,在三月份排名第三位恶意软件。Dridex已更新,现在已用于早期攻击阶段,用于下载BitPaymer和DoppelPaymer等勒索软件。随着多个包含恶意Excel文件的垃圾邮件活动的开展,Dridex的占有率不断提升,这些Excel文件将Dridex恶意软件下载到受害者的计算机中。网络犯罪分子以快速改变其攻击主题引诱用户,试图最大程度地提高感染率。
XMRig本月居于榜首,影响占全球抽样统计数字5%组织,Jsecoin和Dridex紧随其后,从而也从另一个侧面说明,安全意识教育对垃圾邮件攻击是大有作用的。微软公司在本月的第二个周二发布了多达113个漏洞的补丁,17个超危,96高危。Oracle也在四月份发布了397个重要安全补丁,希望能够引起大家的足够重视,及时进行安全更新。
2020年3月“十恶不赦”
*箭头表示与上个月相比的排名变化。
本月XMRig排名第一,影响占全球抽样统计数字5%组织,其次是Jsecoin和Dridex,影响占全球抽样统计数字4%和3%组织。
1.↔XMRig – 是一种开源利用CPU进行挖掘恶意软件,用于挖掘Monero加密货币,并于2017年5月首次被发现,与上个月排名持平。
2. ↑Jsecoin –是一种可以嵌入网站的JavaScript矿工。使用JSEcoin,可以直接在浏览器中运行矿工,以换取无广告体验,游戏内货币和其他奖励,因恶意软件利用计算机资源挖掘虚拟货币,从而导致系统性能受到极大影响。
5.↑ Dridex – Dridex是针对Windows平台的银行木马,由垃圾邮件活动和漏洞利用工具包提供,依靠网页注入并将银行凭据重定向到攻击者控制的服务器。Dridex与远程服务器联系,发送有关受感染系统的信息,还可以下载并执行其他模块以进行远程控制,有近十年的活动历史。
6. ↓Trickbot – 是一种占主导地位的银行木马,不断更新功能和分发向量。这使得Trickbot成为一种灵活且可定制的恶意软件,可以作为多用途广告系列的一部分进行分发。。
7. ↓ Emotet – Emotet是一种高级的自我传播和高级模块化的木马。Emotet曾经被用作银行木马,最近被用作其他恶意软件或恶意广告的分销商。它使用多种方法来维护持久性和规避技术以避免检测。此外,它还可以通过包含恶意附件或链接的网络钓鱼垃圾邮件进行传播。
8. ↓Agent Tesla – AgentTesla是一种高级RAT,可用作键盘记录器和密码窃取器。攻击者利用AgentTesla能够监控和收集受害者的键盘输入、系统剪贴板、截取屏幕,以及泄露属于受害者机器上安装的各种软件(包括Google Chrome,Mozilla Firefox和Microsoft Outlook电子邮件客户端)的凭据。
9. ↑Formbook – FormBook是一个Info Stealer,可以从各种Web浏览器中获取凭据、收集屏幕截图、监视和记录键盘,并可以根据其C&C订单下载和执行文件。
10. ↓Lokibot – Lokibot是主要通过网络钓鱼电子邮件分发的信息窃取工具,用于窃取各种数据,例如电子邮件凭据以及CryptoCoin钱包和FTP服务器的密码。
此外,紧排在前十位后的两个漏洞为一个大家早就习以为常的Ramnit和一个见得不多的RigEK。
11. ↓Ramnit – 是一款能够窃取银行凭据, FTP密码,会话cookie和个人数据的银行特洛伊木马。
12. ↑RigEK – RigEK提供了针对Flash、Java、Silverlight和InternetExplorer的攻击。感染链从重定向到登录页面开始,该页面包含JavaScript,该JavaScript检查易受攻击的插件并进行利用。
3月份漏洞Top 10
本月, MVPower DVR远程执行代码仍然是最普遍利用的漏洞,影响占全球抽样统计数字30%组织影响了,其次是PHP php-cgi查询字符串参数代码执行漏洞,影响占全球抽样统计数字29%组织,第三名是OpenSSL TLS DTLS心跳信息披露,正在影响全球抽样统计数字27%的组织。
1. ↔MVPower DVR远程执行代码 – MVPower DVR设备中存在一个远程执行代码漏洞。远程攻击者可以利用此漏洞通过精心设计的请求在受影响的路由器中执行任意代码。
2.↑ PHP php-cgi查询字符串参数代码执行-PHP中已报告一个远程执行代码漏洞。该漏洞是由于PHP对查询字符串的解析和过滤不当所致。远程攻击者可以通过发送精心制作的HTTP请求来利用此问题。成功的利用使攻击者可以在目标上执行任意代码。
3.↓ OpenSSL TLS DTLS心跳信息泄露(CVE-2014-0160;CVE-2014-0346) – OpenSSL中存在一个信息泄露漏洞。该漏洞是由于处理TLS / DTLS心跳数据包时出错。攻击者可以利用此漏洞来泄露连接的客户端或服务器的内存内容。
4.↑ Web服务器暴露的Git存储库信息泄露– Git存储库中报告了一个信息泄露漏洞。成功利用此漏洞可能导致无意中泄露账户信息。
5.↓Dasan GPON路由器身份验证绕过(CVE-2018-10561) –GPON路由器中存在身份验证绕过漏洞。成功利用此漏洞将使远程攻击者可以获得敏感信息并获得对受影响系统的未授权访问。
6.↑华为HG532路由器远程执行代码 –华为HG532路由器存在一个远程执行代码漏洞。远程攻击者可以利用此漏洞通过精心设计的请求在受影响的路由器中执行任意代码,这也是在这个排行榜里华为为数不多的一个严重漏洞。
7.↑D-Link DSL-2750B远程命令执行 –WordPress Portable -phpMyAdmin插件中存在一个身份验证绕过漏洞。成功利用此漏洞将使远程攻击者可以获得敏感信息并获得对受影响系统的未授权访问。
8. ↓PHP DIESCAN信息泄露– PHP页面中已报告的信息泄露漏洞。成功利用该漏洞可能导致服务器泄露敏感信息。
9. ↓SQL注入(混合技术)–在从客户端到应用程序的输入中插入SQL查询注入,同时利用应用程序软件中的安全漏洞。
10. ↑OpenSSL填充Oracle信息公开– OpenSSL的AES-NI实现中存在一个信息公开漏洞。该漏洞是由于在某些填充检查期间内存分配计算错误而引起的。远程攻击者可以利用此漏洞通过针对AES CBC会话的padding-oracle攻击来获取敏感的明文信息。
3月份移动恶意软件Top 3
本月xHelper占据移动恶意软件第一的位置,其次是AndroidBauts和Lotoor。
1.xHelper-自2019年3月被发现的恶意应用程序,用于下载其他恶意应用程序和显示广告。该应用程序可以向用户隐藏自己,并在卸载后重新安装。
2.AndroidBauts –针对Android用户的广告软件,可渗漏 IMEI、IMSI、GPS位置和其他设备信息,并允许在移动设备上安装第三方应用程序和快捷方式。
3. Lotoor –一种可利用Android操作系统上的漏洞在受感染的移动设备上获得root特权的黑客工具。
参考文件:微软官网
Oracle官网
ZERO DAY INITIATIVE
The Hacker News
CHECKPOINT等