最近，VirusTotal 發(fā)布基于 8000 萬個樣本分析的勒索軟件報告，報告稱2020 年和 2021 年上半年活躍的勒索軟件家族多達 130 個，其中以色列、韓國、越南、中國、新加坡、印度、哈薩克斯坦、菲律賓、伊朗和英國成為受影響最大的國家8000 萬個勒索軟件相關(guān)樣本的綜合分析顯示。

　　谷歌的網(wǎng)絡(luò)安全部門 VirusTotal 將大部分活動歸因于 GandCrab 勒索軟件即服務(wù) （RaaS） 組 （78.5%），其次是 Babuk （7.61%）、Cerber （3.11%）、Matsnu （2.63%）、 Wannacry （2.41%）、Congur （1.52%）、Locky （1.29%）、Teslacrypt （1.12%）、Rkor （1.11%） 和 Reveon （0.70%）。

　　關(guān)鍵點如下：

　　GandCrab 占 2020 年前兩個季度的大部分勒索軟件活動，Babuk 勒索軟件家族在 2021 年 7 月推動了感染激增。

　　檢測到的勒索軟件文件中有 95% 是基于 Windows 的可執(zhí)行文件或動態(tài)鏈接庫 （DLL），而 2% 是基于 Android 的。

　　大約 5% 的分析樣本與與 Windows 特權(quán)提升、SMB 信息泄露和遠程執(zhí)行相關(guān)的漏洞利用有關(guān)。

　　Emotet、Zbot、Dridex、Gozi 和 Danabot 是用于分發(fā)勒索軟件的主要惡意軟件工件。

　　據(jù)CheckPoint的全球威脅指數(shù)顯示，Trickbot 在 8 月跌至第二位，在9月份重回惡意軟件榜首。遠程訪問木馬njRAT首次進入前十，取代Phorpiex。據(jù)報道，Trickbot 的一名團伙成員實際上因美國調(diào)查而被捕。CheckPoint的研究人員報告說，與 2020 年相比，2021 年全球每周針對組織的攻擊增加了40%，但其中大部分（如果不是全部）本可以預防。組織不能拖延采用預防優(yōu)先的網(wǎng)絡(luò)安全方法。

　　Web Server Exposed Git Repository Information Disclosure是最常被利用的漏洞，影響全球組織抽樣的44% ，其次是“Command Injection Over HTTP，影響組織抽樣43% 。HTTP Headers Remote Code Execution在漏洞列表中排名第三，全球影響力也為 43%。

　　2021年09月”十惡不赦“

　　*箭頭表示與上個月相比的排名變化。

　　本月，Trickbot是最流行的惡意軟件，影響了全球抽樣 4% 的組織，其次是 Formbook和 XMRig，分別影響了全球抽樣3% 的組織。

　　↑ Trickbot – Trickbot 是一個模塊化僵尸網(wǎng)絡(luò)和銀行木馬程序，不斷更新新功能、特性和分發(fā)載體，使 Trickbot 成為一種靈活且可定制的惡意軟件，可以作為多用途活動的一部分進行分發(fā)。

　　↓ Formbook – Formbook 是一個信息竊取器，可以從各種 Web 瀏覽器中獲取憑據(jù)，收集屏幕截圖、監(jiān)控和記錄擊鍵，并且可以根據(jù)其 C&C 命令下載和執(zhí)行文件。

　　↑ XMRig – XMRig 是一種開源 CPU 挖掘軟件，用于門羅幣加密貨幣的挖掘過程，于 2017 年 5 月首次出現(xiàn)在野外。

　　↓ Agent Tesla – Agent Tesla 是一種高級 RAT，用作鍵盤記錄器和信息竊取器，能夠監(jiān)視和收集受害者的鍵盤輸入、系統(tǒng)鍵盤、截屏，并將憑據(jù)泄露到安裝在受害者機器上的各種軟件中（包括 Google Chrome、Mozilla Firefox 和 Microsoft Outlook 電子郵件客戶端）。

　　? Glupteba – Glupteba 是一個逐漸成熟為僵尸網(wǎng)絡(luò)的后門。到 2019 年，包括通過公共比特幣列表的 C&C 地址更新機制、集成的瀏覽器竊取器功能和路由器開發(fā)器。

　　? Remcos – Remcos 是一種 RAT，于 2016 年首次出現(xiàn)在野外。Remcos 通過附加到垃圾郵件電子郵件的惡意 Microsoft Office 文檔進行自我分發(fā)，旨在繞過 Microsoft Windows UAC 安全性并以高級權(quán)限執(zhí)行惡意軟件。

　　↑ Tofsee – Tofsee 是一種后門木馬，至少從 2013 年開始運行。Tofsee 是一種多用途工具，可以進行 DDoS 攻擊、發(fā)送垃圾郵件、挖掘加密貨幣等。

　　↓ Ramnit – Ramnit 是一種銀行木馬，可竊取銀行憑據(jù)、FTP 密碼、會話 cookie 和個人數(shù)據(jù)。

　　↑ Floxif – Floxif 是一個信息竊取器和后門，專為 Windows 操作系統(tǒng)設(shè)計。它在 2017 年被用作大規(guī)模攻擊活動的一部分，攻擊者將 Floxif（和 Nyetya）插入到 CCleaner（一種清理實用程序）的免費版本中，從而感染了超過 200 萬用戶，其中包括谷歌等大型科技公司，微軟、思科和英特爾。

　　↑ njRAT – njRAT 是一種遠程訪問木馬，主要針對中東的政府機構(gòu)和組織。于 2012 年首次出現(xiàn)，具有多種功能：捕獲按鍵、訪問受害者的相機、竊取瀏覽器中存儲的憑據(jù)、上傳和下載文件、執(zhí)行進程和文件操作以及查看受害者的桌面。njRAT 通過網(wǎng)絡(luò)釣魚攻擊和偷渡式下載感染受害者，并在命令和控制服務(wù)器軟件的支持下通過受感染的 USB 密鑰或網(wǎng)絡(luò)驅(qū)動器傳播。

　　09月份漏洞Top10

　　本月Web Server Exposed Git Repository Information Disclosure是最常被利用的漏洞，影響了全球抽樣 44% 的組織，其次是Command Injection Over HTTP，影響了全球抽樣 43% 的組織。HTTP Headers Remote Code Execution在最常被利用的漏洞列表中排名第三，全球抽樣影響力也為 43%。

　　? Web 服務(wù)器暴露的 Git 存儲庫信息泄露 – Git 存儲庫中報告了一個信息泄露漏洞，成功利用此漏洞可能會無意中泄露賬戶信息。

　　↑基于 HTTP的命令注入-已報告了基于 HTTP 漏洞的命令注入。遠程攻擊者可以通過向受害者發(fā)送特制的請求來利用此問題，成功的利用將允許攻擊者在目標機器上執(zhí)行任意代碼。

　　↓ HTTP 標頭遠程代碼執(zhí)行（CVE-2020-10826、CVE-2020-10827、CVE-2020-10828、CVE-2020-13756）—— HTTP 標頭讓客戶端和服務(wù)器通過 HTTP 請求傳遞附加信息，遠程攻擊者可能會使用易受攻擊的 HTTP 標頭在受害機器上運行任意代碼。

　　↑ Web 服務(wù)器惡意 URL 目錄遍歷（CVE-2010-4598、CVE-2011-2474、CVE-2014-0130、CVE-2014-0780、CVE-2015-0666、CVE-2015-4068、CVE-2545 CVE-2016-4523、CVE-2016-8530、CVE-2017-11512、CVE-2018-3948、CVE-2018-3949、CVE-2019-18952、CVE-2020-5410、CVE-820）那里-820在不同的 Web 服務(wù)器上存在目錄遍歷漏洞。該漏洞是由于 Web 服務(wù)器中的輸入驗證錯誤導致的，該錯誤未正確清理目錄遍歷模式的 URL，成功利用允許未經(jīng)身份驗證的遠程攻擊者披露或訪問易受攻擊的服務(wù)器上的任意文件。

　　↓ MVPower DVR 遠程代碼執(zhí)行– MVPower DVR 設(shè)備中存在遠程代碼執(zhí)行漏洞，遠程攻擊者可以利用此弱點通過精心設(shè)計的請求在受影響的路由器中執(zhí)行任意代碼。

　　↓ Dasan GPON Router Authentication Bypass （CVE-2018-10561） – Dasan GPON 路由器中存在身份驗證繞過漏洞，成功利用此漏洞將允許遠程攻擊者獲取敏感信息并未經(jīng)授權(quán)訪問受影響的系統(tǒng)。

　　7 . ↑ Apache Struts2 Content-Type Remote Code Execution （CVE-2017-5638,CVE-2017-5638,CVE-2019-0230） – 使用 Jakarta 多部分解析器的 Apache Struts2 中存在一個遠程代碼執(zhí)行漏洞。攻擊者可以通過發(fā)送無效的內(nèi)容類型作為文件上傳請求的一部分來利用此漏洞，成功利用可能會導致在受影響的系統(tǒng)上執(zhí)行任意代碼。

　　8 . ↓ OpenSSL TLS DTLS Heartbeat Information Disclosure （CVE-2014-0160,CVE-2014-0346） – OpenSSL 中存在信息泄露漏洞。該漏洞，又名 Heartbleed，是由于處理 TLS/DTLS 心跳包時出現(xiàn)錯誤造成的，攻擊者可以利用此漏洞來泄露連接的客戶端或服務(wù)器的內(nèi)存內(nèi)容。

　　↑ NoneCMS ThinkPHP 遠程代碼執(zhí)行（CVE-2018-20062） ——NoneCMS ThinkPHP 框架中存在遠程代碼執(zhí)行漏洞，成功利用此漏洞可能允許遠程攻擊者在受影響的系統(tǒng)上執(zhí)行任意代碼。

　　?Netgear DGN 未經(jīng)身份驗證的命令執(zhí)行– Netgear DGN 設(shè)備中存在未經(jīng)身份驗證的命令執(zhí)行漏洞，由于 Netgear DGN 處理身份驗證檢查的方式造成的，成功的攻擊可能導致未經(jīng)身份驗證的命令執(zhí)行。

　　9月份移動惡意軟件TOP3

　　本月 xHelper 仍然是最流行的移動惡意軟件中的第一名，其次是 AlienBot 和 FluBot。

　　xHelper – 自 2019 年 3 月以來在野外發(fā)現(xiàn)的惡意應(yīng)用程序，用于下載其他惡意應(yīng)用程序并顯示廣告，能夠?qū)τ脩綦[藏自己，甚至可以在卸載時重新安裝。

　　AlienBot – AlienBot 惡意軟件系列是一種用于 Android 設(shè)備的惡意軟件即服務(wù) （MaaS），允許遠程攻擊者作為第一步，將惡意代碼注入合法的金融應(yīng)用程序中。攻擊者可以訪問受害者的賬戶，并最終完全控制他們的設(shè)備。

　　FluBot – FluBot 是一種 Android 僵尸網(wǎng)絡(luò)惡意軟件，通過網(wǎng)絡(luò)釣魚 SMS 消息分發(fā)，通常冒充物流配送品牌。一旦用戶單擊消息中的鏈接，F(xiàn)luBot 就會安裝并訪問手機上的所有敏感信息。