本文转载自微信公众号「祺印说信安」,作者何威风。转载本文请联系祺印说信安公众号。
微软在上个月更新了44个漏洞安全补丁,在本月则针对66个漏洞进行发布安全补丁,3个被评为紧急,62个被评为重要,一个被评为中等严重性。
三个NETGEAR产品安全漏洞急需修复,其中分别被称为“第七地狱”(CVSS 评分:9.8)、“恶魔之声”(CVSS 评分:9.8)和“龙之恐惧(CVSS 评分:7.8)”,三个安全漏洞是由 Google 安全工程师 GynvaelColdwind 报告的,NETGEAR已在9月13日发布相关补丁,需要受影响用户及时进行安全升级修复。
最近发现的微软MSHTML引擎远程代码执行漏洞(CVE-2021-40444)就是通过微软Office文档运行的。如果攻击者伪造的微软Office文档文件被执行,攻击者将会安装并运行恶意的ActiveX控件进行攻击。自8月中旬以来,CVE-2021-40444已被多个黑客组织利用。微软认识到这一点后,于9月7日发布了安全咨询和风险缓解措施,并于9月14日开始发布漏洞补丁。换句话说,这个漏洞被一些攻击者作为零日漏洞利用了大约一个月。
最新的2021年8月全球威胁指数显示,Formbook成为最流行的恶意软件,取代了长达三个月排名第一的Trickbot,后者在已跌至第二位。TrickBot是一种木马间谍软件程序,主要用于针对美国、加拿大、英国、德国、澳大利亚、奥地利、爱尔兰、伦敦、瑞士和苏格兰的银行站点。TrickBot于2016年9月首次出现,似乎是Dyre的继任者。TrickBot是用C++编程语言开发的。
Formbook于2016年首次出现,是一种信息窃取程序,可从各种Web浏览器收集凭据、收集屏幕截图、监控和记录击键,并可以根据其命令和控制(C&C)命令下载和执行文件。
Formbook的代码是用C语言编写的,带有汇编插入,并包含许多技巧,使研究人员更难分析。由于通常通过网络钓鱼电子邮件和附件分发,因此防止Formbook感染的最佳方法是密切注意任何看起来很奇怪或来自未知发件人的电子邮件。
Web Server ExposedGit Repository Information Disclosure是最常被利用的漏洞,影响了全球45%的组织,其次是“HTTP Headers RemoteCode Execution”,影响了全球43%的组织。“Dasan GPON Router Authentication By pass”在被利用漏洞榜中排名第三,全球影响力达40%。
2021年08月“十恶不赦”
*箭头表示与上个月相比的排名变化。
本月,Formbook是最流行的恶意软件,影响了全球全球抽样组织的 4.5% ,其次是Trickbot和AgentTesla,分别影响了全球全球抽样组织的 4% 和3%。
1. ↑Formbook–Formbook是一个信息窃取工具,可以从各种Web浏览器中收集凭证,收集屏幕截图、监视器和日志,并可以根据其C&C订单下载和执行文件。
2. ↓Trickbot–Trickbot是模块化的僵尸网络和银行木马,不断更新以提供新功能,功能和分发媒介。Trickbot为灵活且可自定义的恶意软件,可以作为多用途活动分发。
3. ↑AgentTesla–Agent Tesla是一种高级RAT,用作键盘记录程序和信息窃取程序,能够监视和收集受害者的键盘输入、系统键盘、截取屏幕快照、以及将凭据泄露到受害者计算机上安装的各种软件(包括Google Chrome、Mozilla Firefox和Microsoft Outlook电子邮件客户端)。
4. ↓XMRig–XMRig是用于Monero加密货币挖掘过程的开源CPU挖掘软件,于2017年5月首次在野外出现。比特币的挖矿成本已经不是太经济了,然而Monero加密货币还有许多前景,或者这也是这类恶意软件不断扩张的原因吧。利益驱动一切!
5. ?Glupteba–Glupteba是一个后门程序,逐渐成熟发展成为僵尸网络。到2019年,包括通过公共BitCoin列表提供的C&C地址更新机制,集成的浏览器窃取功能和路由器利用程序。
6.↑Remcos–Remcos是一种RAT,于2016年首次出现在野外。Remcos通过附加到垃圾邮件的恶意MicrosoftOffice文档分发自身,旨在绕过Microsoft Windows UAC安全性并以高级权限执行恶意软件。
7. ↓Ramnit–Ramnit是一种银行木马,可窃取银行凭据、FTP 密码、会话 cookie 和个人数据。
8.↓Tofsee–Tofsee是一种后门木马,至少从2013年开始运行。Tofsee是一种多用途工具,可以进行DDoS攻击、发送垃圾邮件、挖掘加密货币等。
9. ↑Phorpiex–Phorpiex是一个僵尸网络,以通过垃圾邮件活动分发其他恶意软件系列以及推动大规模性勒索活动而闻名。
10.↑Floxif–Floxif是一个信息窃取器和后门,专为Windows操作系统设计。在2017年被用作大规模攻击活动的一部分,攻击者将Floxif(和Nyetya)插入到CCleaner(一种清理实用程序)的免费版本中,从而感染了超过200万用户,其中包括谷歌等大型科技公司,微软、思科和英特尔。
08月份漏洞Top10
本月, Web Server Exposed Git Repository Information Disclosure是最常被利用的漏洞,影球45%的组织,其次是HTTP Headers Remote Code Execution,影响了全球抽样43%的组织。Dasan GPON Router Authentication Bypass在被利用漏洞榜中排名第三,全球抽样影响力达40%。
1. ?Web服务器暴露的Git存储库信息泄露–Git存储库中报告了一个信息泄露漏洞。成功利用此漏洞可能会无意中泄露账户信息。
2. ?HTTP标头远程代码执行(CVE-2020-10826、CVE-2020-10827、CVE-2020-10828、CVE-2020-13756)——HTTP标头让客户端和服务器通过HTTP请求传递附加信息。远程攻击者可能会使用易受攻击的HTTP标头在受害机器上运行任意代码。
3. ↑Dasan GPON Router Authentication Bypass(CVE-2018-10561)–DasanGPON路由器中存在一个身份验证绕过漏洞。成功利用此漏洞将允许远程攻击者获取敏感信息并未经授权访问受影响的系统。
4. ↓MVPower DVR远程代码执行–MVPowerDVR设备中存在远程代码执行漏洞。远程攻击者可以利用此弱点通过精心设计的请求在受影响的路由器中执行任意代码。
5. ↑Apache Struts 2 Content-Type Remote Code Execution(CVE-2017-5638,CVE-2017-5638,CVE-2019-0230)–使用Jakarta多部分解析器的ApacheStruts2中存在一个远程代码执行漏洞。攻击者可以通过发送无效的内容类型作为文件上传请求的一部分来利用此漏洞。成功利用可能会导致在受影响的系统上执行任意代码。
6. ↑HTTP的命令注入-已报告了基于HTTP负载的命令注入漏洞。远程攻击者可以通过向受害者发送特制的请求来利用此问题。成功的利用将允许攻击者在目标机器上执行任意代码。
7. ↓Open SSL TLSD TLS Heartbeat Information Disclosure(CVE-2014-0160,CVE-2014-0346)–OpenSSL中存在信息泄露漏洞。该漏洞,又名Heartbleed,是由于处理TLS/DTLS心跳包时出现错误造成的。攻击者可以利用此漏洞泄露连接的客户端或服务器的内存内容。
8. ↑None CMS Think PHP远程代码执行(CVE-2018-20062)——None CMS Think PHP框架中存在远程代码执行漏洞。成功利用此漏洞可能允许远程攻击者在受影响的系统上执行任意代码。
9. ↓PHPUnit命令注入(CVE-2017-9841)–PHPUnit中存在命令注入漏洞。成功利用此漏洞将允许远程攻击者在受影响的系统中执行任意命令。
10. ↑Netgear DGN未经身份验证的命令执行-Netgear DGN设备中存在未经身份验证的命令执行漏洞。此漏洞是由于NetgearDGN处理身份验证检查的方式造成的。成功的攻击可能导致未经身份验证的命令执行。
8月份移动恶意软件TOP3
本月移动恶意软件TOP3中,本月xHelper在最流行的移动恶意软件中排名第一,其次是AlienBot和FluBot。
1.xHelper–自2019年3月以来在野外发现的恶意应用程序,用于下载其他恶意应用程序并显示广告。该应用程序能够对用户隐藏自己,甚至可以在卸载时重新安装。
2.AlienBot–AlienBot恶意软件系列是一种用于Android设备的恶意软件即服务(MaaS),它允许远程攻击者作为第一步,将恶意代码注入合法的金融应用程序中。攻击者可以访问受害者的账户,并最终完全控制他们的设备。
3.FluBot–FluBot是一种Android僵尸网络恶意软件,通过网络钓鱼SMS消息分发,通常冒充物流配送品牌。一旦用户单击消息中的链接,FluBot就会安装并访问手机上的所有敏感信息。
参考来源:
CheckPoint官网、微软官网、NETGEAR官网、往期公众号文章等
