本月的漏洞补丁日了,很多国际厂商和微软一样,在周二发布其产品安全补丁,如Adobe、Android、Cisco、Citrix、Intel、Linux distributions Oracle Linux, Red Hat, SUSE、Samba、SAP、Schneider Electric、Siemens等。本月微软方面则为其产品的55个漏洞发布了补丁,产品涉及 Microsoft Windows 和 Windows 组件、Azure、Azure RTOS、Azure Sphere、Microsoft Dynamics、Microsoft Edge(基于 Chromium)、Exchange Server、Microsoft Office 和 Office 组件、Windows Hyper-V等,其中包括对 Excel 和 Exchange Server 中两个被积极利用的零日漏洞的修复。可能会被滥用以控制受影响的系统。从历史上看,今年微软11 月份的 55 个补丁是一个相对较低的数字。

CheckPoint给出的最新的 2021 年 10 月全球威胁指数显示,模块化僵尸网络和银行木马 Trickbot 仍位居最流行的恶意软件列表之首,影响全球抽样 4% 的组织,而Apache HTTP 服务器目录遍历已进入被利用的漏洞列表前十名。其透露本月全球受攻击最多的行业是教育/研究。这点,与我们国内某些统计数据显示的结果是一致的。究其原因,一则被黑客们关注,二则自身防护措施不佳(能力、管理、技术各方面共同决定)。

Trickbot 已经是五次跻身CheckPoint统计的恶意软件排行榜第一名,其可以窃取财务详细信息、账户凭据和个人身份信息,以及在网络中横向传播并投放勒索软件。曾经的Emotet在今年1月份被铲除,Trickbot上位跻身恶意软件列表之首。其还在不断更新新功能、特性和分发载体,使其成为一种灵活且可定制的恶意软件,实现其多用途活动分发。

新漏洞Apache HTTP Server Directory Traversal进入10月份进入漏洞排行榜前十名,位列第十。首次被发现时,Apache 的开发人员在 Apache HTTP Server 2.4.50 中发布了针对 CVE-2021-41773 的修复程序,但是使用Apache的单位修复补丁不够积极,故修复不够完善,Apache HTTP Server 仍然存在目录遍历漏洞。成功利用此漏洞可能允许攻击者访问受影响系统上的任意文件。

据CheckPoint观点,在全球范围内,每周每 61 个组织中就有一个受到勒索软件的影响。许多攻击都是从一封简单的电子邮件开始的,因此教育培训用户如何识别潜在威胁是组织可以部署的最重要的防御措施之一。记住,教育培训是时时新,需要持之以恒的进行,在等级保护中也对此有要求,毕竟我们的等级保护是吸纳了国际先进的经验和成果的再创新,岂能没有对教育培训作出要求。

CheckPoint统计的是教育/研究是全球受攻击最多的行业,其次是通信和政府/军事。Web 服务器恶意 URL 目录遍历是被利用最多的漏洞,影响了全球抽样 60% 的组织,其次是Web 服务器暴露的 Git 存储库信息泄露,影响了全球抽样 55% 的组织。HTTP Headers Remote Code Execution排名第三,全球抽样影响为54%。

2021年10月“十恶不赦”

*箭头表示与上个月相比的排名变化。

本月,Trickbot是最流行的恶意软件,影响了全球 抽样4% 的组织,其次是XMRig和Remcos,分别影响了全球抽样的3%、2%的组织。

↑ Trickbot – Trickbot 是一个模块化僵尸网络和银行木马程序,不断更新新功能、特性和分发载体,使 Trickbot 成为一种灵活且可定制的恶意软件,可以作为多用途活动的一部分进行分发。

↑ XMRig – XMRig 是一种开源 CPU 挖矿软件,用于门罗币加密货币的挖掘,于 2017 年 5 月首次出现在野外。

↑ Remcos – Remcos 是一种 RAT,于 2016 年首次出现在野外。Remcos 通过附加到垃圾邮件电子邮件的恶意 Microsoft Office 文档分发自身,旨在绕过 Microsoft Windows UAC 安全并以高级权限执行恶意软件。

↑ Glupteba – Glupteba 是一个逐渐成熟为僵尸网络的后门。截至到 2019 年,功能涵盖了公共比特币列表的 C&C 地址更新机制、集成的浏览器窃取器功能和路由器开发器。

↑ Tofsee – Tofsee 是一种后门木马,至少从 2013 年开始运行。Tofsee 是一种多用途工具,可以进行 DDoS 攻击、发送垃圾邮件、加密货币挖矿等。

↑ Ramnit -Ramnit 是一种银行木马,可窃取银行凭据、FTP 密码、会话 cookie 和个人数据。

↓ Agent Tesla – Agent Tesla 是一种先进的 RAT,用作键盘记录器和信息窃取器,能够监视和收集受害者的键盘输入、系统键盘、截屏,并将凭据泄露到安装在受害者机器上的各种软件中(包括 Google Chrome、Mozilla Firefox 和 Microsoft Outlook 电子邮件客户端)。

↑ Ursnif – Ursnif 是一种针对 Windows 平台的木马。通常通过漏洞利用工具包传播,包括当时 Angler 和 Rig。Ursnif 窃取与 Verifone 销售点 (POS) 支付软件相关的信息。联系远程服务器以上传收集的信息并接收指令。此外,还会下载并执行受感染系统上的文件。

↓ Formbook – Formbook 是一个信息窃取器,可以从各种网络浏览器中获取凭据,收集屏幕截图、监控和记录击键,并可以根据其 C&C 命令下载和执行文件。

↑ Nanocore – NanoCore 是一种远程访问木马,于 2013 年首次在野外观察到,目标是 Windows 操作系统用户。所有版本的 RAT 都具有基本插件和功能,例如屏幕捕获、加密货币挖掘、桌面远程控制和网络摄像头会话盗窃。

10月份漏洞Top10

本月,Web 服务器恶意 URL 目录遍历是最常被利用的漏洞,影响了全球 抽样60% 的组织,其次是Web 服务器暴露的 Git 存储库信息泄露,影响了全球抽样 55% 的组织。HTTP Headers Remote Code Execution排名第三,全球抽样影响为54%。

↑ Web 服务器恶意 URL 目录遍历(CVE-2010-4598、CVE-2011-2474、CVE-2014-0130、CVE-2014-0780、CVE-2015-0666、CVE-2015-4068、CVE-254、CVE-254、 CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-2020-8260-是不同网络服务器上的目录遍历漏洞,是由于 Web 服务器中的输入验证错误导致的,该错误未正确清理目录遍历模式的 URL,允许未经身份验证的远程攻击者披露或访问易受攻击的服务器上的任意文件。

↓ Web Server Exposed Git Repository Information Disclosure - Git Repository 中报告的一个信息泄露漏洞,可能会无意中泄露账户信息。

↔ HTTP 标头远程代码执行(CVE-2020-10826、CVE-2020-10827、CVE-2020-10828、CVE-2020-13756) ——HTTP 标头让客户端和服务器通过 HTTP 请求传递附加信息,可能会使用易受攻击的 HTTP 标头在受害机器上运行任意代码。

↑ Dasan GPON Router Authentication Bypass (CVE-2018-10561) – Dasan GPON 路由器中存在一个认证绕过漏洞,允许远程攻击者获取敏感信息并未经授权访问受影响的系统。

↔ MVPower DVR 远程代码执行– MVPower DVR 设备中存在远程代码执行漏洞,远程攻击者可以利用此弱点通过精心设计的请求在受影响的路由器中执行任意代码。

↑ Apache Struts2 Content-Type Remote Code Execution (CVE-2017-5638,CVE-2017-5638,CVE-2019-0230)-使用 Jakarta 多部分解析器的 Apache Struts2 中存在远程代码执行漏洞,攻击者可以通过发送无效的内容类型作为文件上传请求的一部分来利用此漏洞,可能会导致在受影响的系统上执行任意代码。

↓ HTTP 命令注入 (CVE-2013-6719,CVE-2013-6720) –报告了 HTTP 命令注入漏洞。远程攻击者可以通过向受害者发送特制的请求来利用此问题,允许攻击者在目标机器上执行任意代码。

↑ D-LINK 多产品远程代码执行 (CVE-2015-2051) –多个 D-Link 产品中报告了一个远程代码执行漏洞,可能会导致在易受攻击的设备上执行任意代码。

↓ OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160,CVE-2014-0346) – OpenSSL 中存在信息泄露漏洞。该漏洞,又名 Heartbleed,是由于处理 TLS/DTLS 心跳包时出现错误造成的,利用此漏洞来泄露连接的客户端或服务器的内存内容。

↑ Apache HTTP Server 目录遍历 (CVE-2021-41773,CVE-2021-42013) – Apache HTTP Server 中存在目录遍历漏洞,可能允许攻击者访问受影响系统上的任意文件。

顶级移动恶意软件

本月 xHelper 仍然是最流行的移动恶意软件中的第一名,其次是 AlienBot 和 XLoader。

xHelper – 自 2019 年 3 月以来在野外发现的恶意应用程序,用于下载其他恶意应用程序并显示广告,应用程序能够对用户隐藏自己,甚至可以在卸载时重新安装。

AlienBot – AlienBot 恶意软件系列是一种适用于 Android 设备的恶意软件即服务 (MaaS),允许远程攻击者作为第一步,将恶意代码注入合法的金融应用程序中。攻击者可以访问受害者的帐户,并最终完全控制他们的设备。

XLoader – XLoader 是 Android 间谍软件和银行木马。该恶意软件使用 DNS 欺骗来分发受感染的 Android 应用程序以收集个人和财务信息。CheckPoint方面认为是由名为“延边帮”的中国黑客组织开发,具体开发团队有待进一步确认。

本文转载自微信公众号「祺印说信安」,作者何威风。转载本文请联系祺印说信安公众号。