微软2021年5月份于周二补丁日发布了针对Microsoft Windows、.NET Core和Visual Studio、Internet Explorer(IE)、Microsoft Office、SharePoint Server、Hyper-V、Skype for Business和Microsoft Lync以及Exchange的55个CVE的漏洞补丁。在这55个漏洞中,有4个被评为“危急”,有50个被评为“重要”,其中1个被列为“严重”。根据Microsoft的说法,其中有3个漏洞是众所周知的,但在发布时并未被列为活动漏洞。另外,CheckPoint指出,2021年5月亚太地区的网络攻击同比增长168%,网络攻击增幅最大的前5个国家是日本(40%)、新加坡(30%)、印度尼西亚(25%)、马来西亚(22%)和中国台湾地区(17%)。
本月,针对Windows平台的木马Dridex通过QuickBooks Malspam活动传播。网络钓鱼电子邮件使用 QuickBooks 的品牌,并试图用虚假的付款通知来引诱用户。电子邮件内容要求下载可能导致系统感染 Dridex 的恶意 Microsoft Excel 附件。该恶意软件通过恶意电子邮件垃圾邮件附件进行分发,通常用作勒索软件操作的初始感染阶段,黑客将在该阶段对组织的数据进行加密并要求赎金。这些黑客越来越多地使用双重勒索方法,加密勒索加窃取敏感数据,以泄露数据作为要挟,索要赎金。
最近,美国Colonial Pipeline成为勒索软件攻击对象,引发了全球对关键信息基础设施保护的讨论。据估计,2020 年,勒索软件使全球企业损失约200亿美元,比2019年高出近 75%。
2021年04月“十恶不赦”
*箭头表示与上个月相比的排名变化。
本月,Dridex维持在恶意软件的榜首,全球抽样组织的影响为15%,其次是Agent Tesla和Trickbot,分别影响全球抽样的12%和8%。
1. ↔ Dridex – Dridex是针对Windows平台的木马程序,通过垃圾邮件附件下载传播。Dridex连接远程服务器并发送有关受感染系统的信息,可以下载并执行从远程服务器接收的任意功能模块。Dridex感染通常是作为攻击公司范围内的勒索软件攻击的初始立足点。
2. ↑ Agent Tesla –Agent Tesla是一种高级RAT,用作键盘记录程序和信息窃取程序,能够监视和收集受害者的键盘输入、系统键盘、截取屏幕快照、以及将凭据泄露到受害者计算机上安装的各种软件(包括Google Chrome、Mozilla Firefox和Microsoft Outlook电子邮件客户端)。
3. ↑ Trickbot – Trickbot是模块化的僵尸网络和银行木马,不断更新以提供新功能,功能和分发媒介。Trickbot为灵活且可自定义的恶意软件,可以作为多用途活动分发。
4. ↑ XMRig – XMRig是用于Monero加密货币挖掘过程的开源CPU挖掘软件,于2017年5月首次在野外出现。
5. ↔ Qbot –Qbot是一银行木马,于2008年首次出现,窃取用户的银行凭证和键盘信息。Qbot通常通过垃圾邮件分发,采用了多种反虚拟机,反调试和反沙盒技术来阻止分析和逃避检测。
6. ↑ Formbook –Formbook是一个信息窃取工具,可以从各种Web浏览器中收集凭证,收集屏幕截图、监视器和日志,并可以根据其C&C订单下载和执行文件。
7. ↑ Nanocore – NanoCore 是一种远程访问木马,具有基本木马插件和功能,例如屏幕捕获、加密货币挖掘、桌面远程控制和网络摄像头会话盗窃。
8. ↑ Glupteba –Glupteba是一个后门程序,逐渐成熟发展成为僵尸网络。到2019年,包括通过公共BitCoin列表提供的C&C地址更新机制,集成的浏览器窃取功能和路由器利用程序。
9. ↑ Ramnit –Ramnit是一种银行木马,可窃取银行凭据、FTP 密码、会话 cookie 和个人数据。
10. ↑ Phorpiex –Phorpiex 是一个僵尸网络,通过垃圾邮件活动分发其他恶意软件系列以及推动大规模性勒索活动。
04月份漏洞Top10
本月Web Server Exposed Git Repository Information Disclosure是最常见的被利用漏洞,影响了全球抽样组织的46% ,其次是HTTP Headers Remote CodeExecution (CVE-2020-13756),影响了全球抽样组织 45.5% ,MVPower DVR 远程代码执行排名第三,影响了全球抽样组织44%。
1. ↑ Web Server ExposedGit Repository Information Disclosure –成功利用此漏洞可能会无意中泄露账户信息。
2. ↓ HTTP 标头远程代码执行(CVE-2020-10826、CVE-2020-10827、CVE-2020-10828、CVE-2020-13756)—— HTTP 头让客户端和服务器通过 HTTP 请求传递附加信息。远程攻击者可使用易受攻击的 HTTP 头在受害机器上运行任意代码。
3. ↓ MVPower DVR 远程代码执行——MVPower DVR 设备中存在远程代码执行漏洞。远程攻击者可以利用此弱点通过精心设计的请求在受影响的路由器中执行任意代码。
4. ↓Dasan GPON路由器身份验证绕过(CVE-2018-10561) –Dasan GPON路由器中存在身份验证绕过漏洞。成功利用此漏洞将允许远程攻击者获取敏感信息并未经授权访问受影响的系统。
5. ↑ ApacheStruts2 Content-Type Remote Code Execution(CVE-2017-5638,CVE-2017-5638,CVE-2019-0230) – 使用 Jakarta 多部分解析器的 Apache Struts2 中存在远程代码执行漏洞。攻击者可以通过发送无效的内容类型作为文件上传请求的一部分来利用此漏洞,可导致在受影响的系统上执行任意代码。
6. ↓ HTTP 负载上的命令注入(CVE-2013-6719,CVE-2013-6720) – HTTP 负载上的命令注入漏洞。远程攻击者可向受害者发送特制的请求来利用此问题,成功地利用将允许攻击者在目标机器上执行任意代码。
7. ↔ SQL 注入(不同的技术)——在从客户端到应用程序的输入中插入 SQL查询注入,同时利用应用程序软件中的安全漏洞。
8. ↑Linux系统文件信息披露(CVE-2015-2746,CVE-2018-10093,CVE-2018-3948,CVE-2018-3948)–Linux操作系统包含具有敏感信息的系统文件。如果配置不当,远程攻击者可以查看此类文件的信息。
9. ↑ NoneCMS ThinkPHP 远程代码执行 –NoneCMS ThinkPHP 框架中存在远程代码执行漏洞。成功利用此漏洞可能允许远程攻击者在受影响的系统上执行任意代码。
10. ↑WordPress Portable-phpMyAdmin插件身份验证绕过(CVE-2012-5469) – WordPress Portable -phpMyAdmin插件中存在身份验证绕过漏洞。成功利用此漏洞将允许远程攻击者获取敏感信息并未经授权访问受影响的系统。
04月份移动恶意软件Top3
本月,Hiddad在最流行的移动恶意软件中排名第一,其次是xHelper和FurBall。
1. xHelper – 自2019年3月以来在野外发现的恶意应用程序,用于下载其他恶意应用程序并进行广告推广。该应用程序能够对用户隐藏,可在卸载时重新安装。
2. Triada – Android的模块化后门,可授予已下载恶意软件的超级用户权限。
3. Hiddad –一种 Android 恶意软件,用于重新打包合法应用程序,然后发布到第三方商店。主要功能是展示广告,也可以访问操作系统内置的关键安全细节。