屬於多用途銀行木馬的Trickbot退居二線有段時間後,在2019年4月重新晉身惡意軟體列表前十位。惡意軟體新變種,具有新功能和分發載體。Trickbot提供高度靈活性和定製,使其能夠作為多功能活動的一部分進行分發。Trickbot在4月美國的稅收日的一次此類活動被發現。利用垃圾郵件發送附有Excel文件的電子郵件,將Trickbot下載到受害者的計算機上,一旦下載,Trickbot可能會在網絡內傳播並竊取銀行詳細信息和機密稅務文件以供欺詐使用。
伴隨著惡意軟體的變種不斷更新變化,無不警示著網絡運營和使用單位必須擁有強大的防禦能力,並採用先進的威脅預防措施,不斷提高網絡安全防護水平,做到風險可控。
2019年4月份「十惡不赦」:
*箭頭與上個月的排名變化有關*
1. ↑Cryptoloot – 使用受害者的CPU或GPU電源和現有的資源開採加密的區塊鏈和發掘新的加密貨幣,是Coinhive的有力競爭對手,本月較上月持平,穩居第1名地位,取代長期占據第1的Coinhive。
2.↑XMRig-是一種開源利用CPU進行挖掘惡意軟體,用於挖掘Monero加密貨幣,並於2017年5月首次被發現,較上個月又提升1個名詞。
3.↑Jsecoin - 可以嵌入網站的JavaScript礦工。使用JSEcoin,可以直接在瀏覽器中運行礦工,以換取無廣告體驗,遊戲內貨幣和其他獎勵。較上個月提升2名次,本月為第3名的位置。
4.↓Emotet - 高級,自我傳播和高級模塊化的木馬。Emotet曾經被用作銀行木馬,最近被用作其他惡意軟體或惡意廣告的分銷商。它使用多種方法來維護持久性和規避技術以避免檢測。此外,它還可以通過包含惡意附件或連結的網絡釣魚垃圾郵件進行傳播,上月第2名,本月下滑2個名次,為第4名。
5.↓基於Dorkbot--IRC-是一種基於IRC設計的蠕蟲,可以以操作員執行遠程代碼,以及下載其他惡意軟體到被感染的機器。是一個銀行木馬,其主要動機是竊取敏感信息並可以發起拒絕服務攻擊,本月影響程度較上月下降1個名次,為第5名。
6.↑ Ramnit- 是一款能夠竊取銀行憑據, FTP密碼,會話cookie和個人數據的銀行特洛伊木馬,對比上個月上升1個名次,由第7名變成為現在的第6名。
7.↑Agentesla- AgentTesla是一種先進的RAT,可用作鍵盤記錄器和密碼竊取器。AgentTesla能夠監控和收集受害者的鍵盤輸入、系統剪貼板、截取螢幕以及泄露屬於受害者機器上安裝的各種軟體(包括Google Chrome,Mozilla Firefox和Microsoft Outlook電子郵件客戶端)的憑據。
8.↑Trickbot- Trickbot是一種占主導地位的銀行木馬,不斷更新新功能,功能和分發向量。這使得Trickbot成為一種靈活且可定製的惡意軟體,可以作為多用途廣告系列的一部分進行分發。
9.↑Sality-Sality是一個文件感染器,允許受感染的系統通過點對點(P2P)網絡進行通信,用於發送垃圾郵件、代理通信、破壞Web伺服器、泄露敏感數據以及協調分布式計算任務以進行處理密集的任務。
10. ↓Lokibot- Info盜竊者主要通過網絡釣魚電子郵件分發,用於竊取各種數據,如電子郵件憑證以及密碼到CryptoCoin錢包和FTP伺服器,屬於上月名列第9名的惡意軟體。
本月,Hiddad是最流行的移動惡意軟體,取代了頂級移動惡意軟體列表中的Triada,Triada則重回第3名,其地位排名進行了互換,Lootor排在第2名。
四月份三大移動惡意軟體:
1.Triada - 適用於Android的ModularBackdoor,它為下載的惡意軟體授予超級用戶權限,有助於它嵌入到系統進程中。Triada也被視為欺騙瀏覽器中加載的URL。
2. Lotoor-Hack工具利用Android作業系統上的漏洞獲取受感染移動設備的root權限。
3. Hiddad-是一款Android惡意軟體,對合法應用程式重新打包,然後將其發布到第三方應用商店。主要是顯示廣告,也能夠訪問作業系統內置的關鍵安全細節,允許攻擊者可獲取敏感的用戶數據。
OpenSSL TLS DTLS心跳信息泄露漏洞成為漏洞利用Top 1,占全球統計數字的44%。CVE-2017-7269在12個月後首次從第一位下降到第二位,占全球統計的40%,其次是CVE-2017-5638,占全球統計的38%。
4月份三大漏洞:
1.↑OpenSSL TLS DTLS心跳信息披露(CVE-2014-0160; CVE-2014-0346) - OpenSSL中存在1.信息泄露漏洞。該漏洞是由於處理TLS / DTLS心跳包時出錯。攻擊者可以利用此漏洞披露已連接客戶端或伺服器的內存內容。
2.↓Microsoft IIS WebDAV ScStoragePathFromUrl緩衝區溢出(CVE-2017-7269) - 通過Microsoft Internet Information Services 6.0通過網絡向Microsoft Windows Server 2003 R2發送製作的請求,遠程攻擊者可以執行任意代碼或導致拒絕目標伺服器上的服務條件。這主要是由於HTTP請求中對長報頭的不正確驗證導致的緩衝區溢出漏洞。
3. ↑Apache Struts2內容類型遠程執行代碼(CVE-2017-5638) - 使用Jakarta multipart解析器的Apache Struts2中存在一個遠程代碼執行漏洞。攻擊者可以通過在文件上載請求中發送無效內容類型來利用此漏洞。成功利用可能會導致在受影響的系統上執行任意代碼。