2021年12月是一年的最后一个月,我们在讨论这个话题时,常常以微软本月的漏洞情况做个引子,本次也不例外。先以微软周二补丁日情况做开头,然后再探讨CheckPoint每个月总结的恶意软件Top 10。
微软在2022年第一期漏洞修复中对其生态系统中 98 个安全漏洞发布了安全补丁,涵盖了微软一系列产品组合,包括 Microsoft Windows 和 Windows 组件、Exchange Server、Microsoft Office 和 Office 组件、SharePoint Server、.NET Framework、Microsoft Dynamics、开源软件、Windows Hyper-V、Windows Defender、和 Windows 远程桌面协议 (RDP)。
而恶意软件方面,Trickbot 仍然是最流行的恶意软件,尽管影响全球抽样 4% 的组织的比率略低(11 月为 5%),最近死灰复燃的 Emotet 从第七位迅速上升到第二位。
而漏洞方面,史诗级漏洞Apache Log4j 远程代码执行是被利用最多的漏洞,影响了全球抽样 48.3% 的组织。该漏洞于 12 月 9日首次在 Apache 日志包 Log4j 中被报告,该包是许多 Internet 服务和应用程序中使用的最流行的 Java 日志库,其 GitHub 项目的下载量超过 400,000。该漏洞引发了一场网络安全行业地震,在很短的时间内影响了全球近一半的组织。攻击者能够利用易受攻击的应用程序在受感染的服务器上执行加密劫持者和其他恶意软件。到目前为止,大多数攻击都集中在以牺牲受害者为代价使用加密货币挖矿上,然而,高级攻击者已经开始采取积极行动,并利用对高质量目标的破坏。
Log4j 在 12 月是网络安全行业的绝对头条新闻,是历史上最严重的漏洞之一,由于修补复杂性和利用简易性,很可能会在未来很多年与我们同在。
教育/研究是全球受攻击最多的行业,其次是政府/军事和 ISP/MSP。Apache Log4j 远程执行代码是最常被利用的漏洞,影响了全球抽样的 48.3% 的组织,其次是Web 服务器暴露的 Git 存储库信息泄露,影响了全球抽样 43.8% 的组织。HTTP Headers Remote Code Execution在被利用最多的漏洞列表中仍然位居第三,全球抽样影响率为 41.5%。
2021年12月“十恶不赦”
*箭头表示与上个月相比的排名变化。
本月,Trickbot是最流行的恶意软件,影响全球抽样 4% 的组织,其次是Emotet和Formbook,全球抽样影响均为 3%。
- ↔ Trickbot – Trickbot 是一个模块化的僵尸网络和银行木马,不断更新新的功能、特性和分发向量,使 Trickbot 成为一种灵活且可定制的恶意软件,可以作为多用途活动的一部分进行分发。
- ↑ Emotet – Emotet 是一种先进的、自我传播的模块化木马。Emotet 曾经被用作银行木马,但最近被用作其他恶意软件或恶意活动的分发者。使用多种方法来维护持久性和规避技术以避免检测。此外,还可以通过包含恶意附件或链接的网络钓鱼垃圾邮件进行传播。
- ↑ Formbook – Formbook 是一个 InfoStealer,从各种 Web 浏览器中获取凭据,收集屏幕截图、监控和记录击键,并可以根据其 C&C 命令下载和执行文件。
- ↔ Agent Tesla – Agent Tesla 是一种高级 RAT,可用作键盘记录器和信息窃取程序,能够监控和收集受害者的键盘输入、系统键盘、截屏以及将凭据泄露到安装在受害者机器上的各种软件(包括 Google Chrome、Mozilla Firefox 和 Microsoft Outlook 电子邮件客户端)。
- ↓ Glupteba – Glupteba 是一个后门,逐渐成熟为僵尸网络。到 2019 年,它包括一个通过公共比特币列表的 C&C 地址更新机制、一个完整的浏览器窃取功能和一个路由器漏洞利用程序。
- ↓ Remcos – Remcos 是 2016 年首次出现的 RAT。Remcos 通过附加到垃圾邮件的恶意 Microsoft Office 文档进行传播,旨在绕过 Microsoft Windows UAC 安全并以高级权限执行恶意软件。
- ↓ XMRig – XMRig 是一款开源 CPU 挖矿软件,用于 Monero 加密货币的挖矿过程,于 2017 年 5 月首次出现在野外。
- ↔ Ramnit -Ramnit 是一种银行木马,可窃取银行凭证、FTP 密码、会话 cookie 和个人数据。
- ↑ Dridex – Dridex 是一种针对 Windows 平台的银行木马,由垃圾邮件活动和漏洞利用工具包观察到,它依赖 WebInjects 拦截银行凭据并将其重定向到攻击者控制的服务器。Dridex 联系远程服务器,发送有关受感染系统的信息,还可以下载和执行附加模块以进行远程控制。
- ↑ Phorpiex – Phorpiex 是一个僵尸网络(又名 Trik),自 2010 年以来一直在控制超过一百万受感染的主机。以通过垃圾邮件活动分发其他恶意软件系列以及助长大规模垃圾邮件和性勒索活动而闻名。
全球受攻击最多的行业:
本月,教育/研究是全球受攻击最多的行业,其次是政府/军事和 ISP/MSP。
- 教育/研究
- 政府/军队
- ISP/MSP
12月份漏洞Top10
本月,Apache Log4j 远程代码执行”是最常被利用的漏洞,影响了全球抽样 48.3% 的组织,其次是Web 服务器暴露的 Git 存储库信息泄露,影响了全球 抽样43.8% 的组织。HTTP Headers Remote Code Execution在被利用最多的漏洞列表中仍然位居第三,全球抽样影响率为 41.5%。
- ↑ Apache Log4j 远程代码执行 (CVE-2021-44228) – Apache Log4j 中存在远程代码执行漏洞。成功利用此漏洞可能允许远程攻击者在受影响的系统上执行任意代码。
- ↔ Web 服务器暴露的 Git 存储库信息泄露- Git 存储库中报告了一个信息泄露漏洞。成功利用此漏洞可能会无意中泄露帐户信息。
- ↔ HTTP 标头远程代码执行(CVE-2020-10826、CVE-2020-10827、CVE-2020-10828、CVE-2020-13756) ——HTTP 标头允许客户端和服务器通过 HTTP 请求传递附加信息。远程攻击者可能使用易受攻击的 HTTP 标头在受害机器上运行任意代码。
- ↓ Web 服务器恶意 URL 目录遍历 (CVE-2010-4598,CVE-2011-2474,CVE-2014-0130,CVE-2014-0780,CVE-2015-0666,CVE-2015-4068,CVE-2015-7254, CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-2020-8260) – 那里在不同的 Web 服务器上存在目录遍历漏洞。该漏洞是由于 Web 服务器中的输入验证错误未正确清理目录遍历模式的 URL。成功利用允许未经身份验证的远程攻击者泄露或访问易受攻击的服务器上的任意文件。
- ↓ MVPower DVR 远程代码执行– MVPower DVR 设备中存在远程代码执行漏洞。远程攻击者可以利用此弱点通过精心制作的请求在受影响的路由器中执行任意代码。
- ↓ Dasan GPON 路由器身份验证绕过 (CVE-2018-10561) – Dasan GPON 路由器中存在身份验证绕过漏洞。成功利用此漏洞将允许远程攻击者获取敏感信息并未经授权访问受影响的系统。
- ↑ D-LINK 多产品远程代码执行 (CVE-2015-2051) - 多个 D-Link 产品中报告了远程代码执行漏洞。成功利用可能导致在易受攻击的设备上执行任意代码。
- ↓ Apache HTTP Server 目录遍历 (CVE-2021-41773,CVE-2021-42013) – Apache HTTP Server 中存在目录遍历漏洞。成功利用此漏洞可能允许攻击者访问受影响系统上的任意文件。
- ↓通过 HTTP 进行命令注入 (CVE-2013-6719,CVE-2013-6720) – 报告了通过 HTTP 的命令注入漏洞。远程攻击者可以通过向受害者发送特制请求来利用此问题。成功的利用将允许攻击者在目标机器上执行任意代码。
- ↑ PHP 复活节彩蛋信息披露- PHP 页面中报告了一个信息披露漏洞。该漏洞是由于 Web 服务器配置不正确造成的。远程攻击者可以通过向受影响的 PHP 页面发送特制 URL 来利用此漏洞。
顶级移动恶意软件
本月,AlienBot 在最流行的移动恶意软件中排名第一,其次是 xHelper 和 FluBot。
- AlienBot – AlienBot 恶意软件系列是用于 Android 设备的恶意软件即服务 (MaaS),它允许远程攻击者首先将恶意代码注入合法的金融应用程序。攻击者获得对受害者帐户的访问权限,并最终完全控制他们的设备。
- xHelper – 自 2019 年 3 月以来在野外出现的恶意应用程序,用于下载其他恶意应用程序和显示广告。该应用程序能够对用户隐藏自己,甚至可以在卸载时重新安装。
- FluBot – FluBot 是一个通过网络钓鱼短信分发的 Android 僵尸网络,通常冒充物流配送品牌。一旦用户单击消息中的链接,FluBot 就会安装并访问手机上的所有敏感信息。
