最近，VirusTotal 發(fā)布基于 8000 萬(wàn)個(gè)樣本分析的勒索軟件報(bào)告，報(bào)告稱2020 年和 2021 年上半年活躍的勒索軟件家族多達(dá) 130 個(gè)，其中以色列、韓國(guó)、越南、中國(guó)、新加坡、印度、哈薩克斯坦、菲律賓、伊朗和英國(guó)成為受影響最大的國(guó)家8000 萬(wàn)個(gè)勒索軟件相關(guān)樣本的綜合分析顯示。

　　谷歌的網(wǎng)絡(luò)安全部門(mén) VirusTotal 將大部分活動(dòng)歸因于 GandCrab 勒索軟件即服務(wù) （RaaS） 組 （78.5%），其次是 Babuk （7.61%）、Cerber （3.11%）、Matsnu （2.63%）、 Wannacry （2.41%）、Congur （1.52%）、Locky （1.29%）、Teslacrypt （1.12%）、Rkor （1.11%） 和 Reveon （0.70%）。

　　關(guān)鍵點(diǎn)如下：

　　GandCrab 占 2020 年前兩個(gè)季度的大部分勒索軟件活動(dòng)，Babuk 勒索軟件家族在 2021 年 7 月推動(dòng)了感染激增。

　　檢測(cè)到的勒索軟件文件中有 95% 是基于 Windows 的可執(zhí)行文件或動(dòng)態(tài)鏈接庫(kù) （DLL），而 2% 是基于 Android 的。

　　大約 5% 的分析樣本與與 Windows 特權(quán)提升、SMB 信息泄露和遠(yuǎn)程執(zhí)行相關(guān)的漏洞利用有關(guān)。

　　Emotet、Zbot、Dridex、Gozi 和 Danabot 是用于分發(fā)勒索軟件的主要惡意軟件工件。

　　據(jù)CheckPoint的全球威脅指數(shù)顯示，Trickbot 在 8 月跌至第二位，在9月份重回惡意軟件榜首。遠(yuǎn)程訪問(wèn)木馬njRAT首次進(jìn)入前十，取代Phorpiex。據(jù)報(bào)道，Trickbot 的一名團(tuán)伙成員實(shí)際上因美國(guó)調(diào)查而被捕。CheckPoint的研究人員報(bào)告說(shuō)，與 2020 年相比，2021 年全球每周針對(duì)組織的攻擊增加了40%，但其中大部分（如果不是全部）本可以預(yù)防。組織不能拖延采用預(yù)防優(yōu)先的網(wǎng)絡(luò)安全方法。

　　Web Server Exposed Git Repository Information Disclosure是最常被利用的漏洞，影響全球組織抽樣的44% ，其次是“Command Injection Over HTTP，影響組織抽樣43% 。HTTP Headers Remote Code Execution在漏洞列表中排名第三，全球影響力也為 43%。

　　2021年09月”十惡不赦“

　　*箭頭表示與上個(gè)月相比的排名變化。

　　本月，Trickbot是最流行的惡意軟件，影響了全球抽樣 4% 的組織，其次是 Formbook和 XMRig，分別影響了全球抽樣3% 的組織。

　　↑ Trickbot – Trickbot 是一個(gè)模塊化僵尸網(wǎng)絡(luò)和銀行木馬程序，不斷更新新功能、特性和分發(fā)載體，使 Trickbot 成為一種靈活且可定制的惡意軟件，可以作為多用途活動(dòng)的一部分進(jìn)行分發(fā)。

　　↓ Formbook – Formbook 是一個(gè)信息竊取器，可以從各種 Web 瀏覽器中獲取憑據(jù)，收集屏幕截圖、監(jiān)控和記錄擊鍵，并且可以根據(jù)其 C&C 命令下載和執(zhí)行文件。

　　↑ XMRig – XMRig 是一種開(kāi)源 CPU 挖掘軟件，用于門(mén)羅幣加密貨幣的挖掘過(guò)程，于 2017 年 5 月首次出現(xiàn)在野外。

　　↓ Agent Tesla – Agent Tesla 是一種高級(jí) RAT，用作鍵盤(pán)記錄器和信息竊取器，能夠監(jiān)視和收集受害者的鍵盤(pán)輸入、系統(tǒng)鍵盤(pán)、截屏，并將憑據(jù)泄露到安裝在受害者機(jī)器上的各種軟件中（包括 Google Chrome、Mozilla Firefox 和 Microsoft Outlook 電子郵件客戶端）。

　　? Glupteba – Glupteba 是一個(gè)逐漸成熟為僵尸網(wǎng)絡(luò)的后門(mén)。到 2019 年，包括通過(guò)公共比特幣列表的 C&C 地址更新機(jī)制、集成的瀏覽器竊取器功能和路由器開(kāi)發(fā)器。

　　? Remcos – Remcos 是一種 RAT，于 2016 年首次出現(xiàn)在野外。Remcos 通過(guò)附加到垃圾郵件電子郵件的惡意 Microsoft Office 文檔進(jìn)行自我分發(fā)，旨在繞過(guò) Microsoft Windows UAC 安全性并以高級(jí)權(quán)限執(zhí)行惡意軟件。

　　↑ Tofsee – Tofsee 是一種后門(mén)木馬，至少?gòu)?2013 年開(kāi)始運(yùn)行。Tofsee 是一種多用途工具，可以進(jìn)行 DDoS 攻擊、發(fā)送垃圾郵件、挖掘加密貨幣等。

　　↓ Ramnit – Ramnit 是一種銀行木馬，可竊取銀行憑據(jù)、FTP 密碼、會(huì)話 cookie 和個(gè)人數(shù)據(jù)。

　　↑ Floxif – Floxif 是一個(gè)信息竊取器和后門(mén)，專為 Windows 操作系統(tǒng)設(shè)計(jì)。它在 2017 年被用作大規(guī)模攻擊活動(dòng)的一部分，攻擊者將 Floxif（和 Nyetya）插入到 CCleaner（一種清理實(shí)用程序）的免費(fèi)版本中，從而感染了超過(guò) 200 萬(wàn)用戶，其中包括谷歌等大型科技公司，微軟、思科和英特爾。

　　↑ njRAT – njRAT 是一種遠(yuǎn)程訪問(wèn)木馬，主要針對(duì)中東的政府機(jī)構(gòu)和組織。于 2012 年首次出現(xiàn)，具有多種功能：捕獲按鍵、訪問(wèn)受害者的相機(jī)、竊取瀏覽器中存儲(chǔ)的憑據(jù)、上傳和下載文件、執(zhí)行進(jìn)程和文件操作以及查看受害者的桌面。njRAT 通過(guò)網(wǎng)絡(luò)釣魚(yú)攻擊和偷渡式下載感染受害者，并在命令和控制服務(wù)器軟件的支持下通過(guò)受感染的 USB 密鑰或網(wǎng)絡(luò)驅(qū)動(dòng)器傳播。

　　09月份漏洞Top10

　　本月Web Server Exposed Git Repository Information Disclosure是最常被利用的漏洞，影響了全球抽樣 44% 的組織，其次是Command Injection Over HTTP，影響了全球抽樣 43% 的組織。HTTP Headers Remote Code Execution在最常被利用的漏洞列表中排名第三，全球抽樣影響力也為 43%。

　　? Web 服務(wù)器暴露的 Git 存儲(chǔ)庫(kù)信息泄露 – Git 存儲(chǔ)庫(kù)中報(bào)告了一個(gè)信息泄露漏洞，成功利用此漏洞可能會(huì)無(wú)意中泄露賬戶信息。

　　↑基于 HTTP的命令注入-已報(bào)告了基于 HTTP 漏洞的命令注入。遠(yuǎn)程攻擊者可以通過(guò)向受害者發(fā)送特制的請(qǐng)求來(lái)利用此問(wèn)題，成功的利用將允許攻擊者在目標(biāo)機(jī)器上執(zhí)行任意代碼。

　　↓ HTTP 標(biāo)頭遠(yuǎn)程代碼執(zhí)行（CVE-2020-10826、CVE-2020-10827、CVE-2020-10828、CVE-2020-13756）—— HTTP 標(biāo)頭讓客戶端和服務(wù)器通過(guò) HTTP 請(qǐng)求傳遞附加信息，遠(yuǎn)程攻擊者可能會(huì)使用易受攻擊的 HTTP 標(biāo)頭在受害機(jī)器上運(yùn)行任意代碼。

　　↑ Web 服務(wù)器惡意 URL 目錄遍歷（CVE-2010-4598、CVE-2011-2474、CVE-2014-0130、CVE-2014-0780、CVE-2015-0666、CVE-2015-4068、CVE-2545 CVE-2016-4523、CVE-2016-8530、CVE-2017-11512、CVE-2018-3948、CVE-2018-3949、CVE-2019-18952、CVE-2020-5410、CVE-820）那里-820在不同的 Web 服務(wù)器上存在目錄遍歷漏洞。該漏洞是由于 Web 服務(wù)器中的輸入驗(yàn)證錯(cuò)誤導(dǎo)致的，該錯(cuò)誤未正確清理目錄遍歷模式的 URL，成功利用允許未經(jīng)身份驗(yàn)證的遠(yuǎn)程攻擊者披露或訪問(wèn)易受攻擊的服務(wù)器上的任意文件。

　　↓ MVPower DVR 遠(yuǎn)程代碼執(zhí)行– MVPower DVR 設(shè)備中存在遠(yuǎn)程代碼執(zhí)行漏洞，遠(yuǎn)程攻擊者可以利用此弱點(diǎn)通過(guò)精心設(shè)計(jì)的請(qǐng)求在受影響的路由器中執(zhí)行任意代碼。

　　↓ Dasan GPON Router Authentication Bypass （CVE-2018-10561） – Dasan GPON 路由器中存在身份驗(yàn)證繞過(guò)漏洞，成功利用此漏洞將允許遠(yuǎn)程攻擊者獲取敏感信息并未經(jīng)授權(quán)訪問(wèn)受影響的系統(tǒng)。

　　7 . ↑ Apache Struts2 Content-Type Remote Code Execution （CVE-2017-5638,CVE-2017-5638,CVE-2019-0230） – 使用 Jakarta 多部分解析器的 Apache Struts2 中存在一個(gè)遠(yuǎn)程代碼執(zhí)行漏洞。攻擊者可以通過(guò)發(fā)送無(wú)效的內(nèi)容類型作為文件上傳請(qǐng)求的一部分來(lái)利用此漏洞，成功利用可能會(huì)導(dǎo)致在受影響的系統(tǒng)上執(zhí)行任意代碼。

　　8 . ↓ OpenSSL TLS DTLS Heartbeat Information Disclosure （CVE-2014-0160,CVE-2014-0346） – OpenSSL 中存在信息泄露漏洞。該漏洞，又名 Heartbleed，是由于處理 TLS/DTLS 心跳包時(shí)出現(xiàn)錯(cuò)誤造成的，攻擊者可以利用此漏洞來(lái)泄露連接的客戶端或服務(wù)器的內(nèi)存內(nèi)容。

　　↑ NoneCMS ThinkPHP 遠(yuǎn)程代碼執(zhí)行（CVE-2018-20062） ——NoneCMS ThinkPHP 框架中存在遠(yuǎn)程代碼執(zhí)行漏洞，成功利用此漏洞可能允許遠(yuǎn)程攻擊者在受影響的系統(tǒng)上執(zhí)行任意代碼。

　　?Netgear DGN 未經(jīng)身份驗(yàn)證的命令執(zhí)行– Netgear DGN 設(shè)備中存在未經(jīng)身份驗(yàn)證的命令執(zhí)行漏洞，由于 Netgear DGN 處理身份驗(yàn)證檢查的方式造成的，成功的攻擊可能導(dǎo)致未經(jīng)身份驗(yàn)證的命令執(zhí)行。

　　9月份移動(dòng)惡意軟件TOP3

　　本月 xHelper 仍然是最流行的移動(dòng)惡意軟件中的第一名，其次是 AlienBot 和 FluBot。

　　xHelper – 自 2019 年 3 月以來(lái)在野外發(fā)現(xiàn)的惡意應(yīng)用程序，用于下載其他惡意應(yīng)用程序并顯示廣告，能夠?qū)τ脩綦[藏自己，甚至可以在卸載時(shí)重新安裝。

　　AlienBot – AlienBot 惡意軟件系列是一種用于 Android 設(shè)備的惡意軟件即服務(wù) （MaaS），允許遠(yuǎn)程攻擊者作為第一步，將惡意代碼注入合法的金融應(yīng)用程序中。攻擊者可以訪問(wèn)受害者的賬戶，并最終完全控制他們的設(shè)備。

　　FluBot – FluBot 是一種 Android 僵尸網(wǎng)絡(luò)惡意軟件，通過(guò)網(wǎng)絡(luò)釣魚(yú) SMS 消息分發(fā)，通常冒充物流配送品牌。一旦用戶單擊消息中的鏈接，F(xiàn)luBot 就會(huì)安裝并訪問(wèn)手機(jī)上的所有敏感信息。