2019年二月份惡意軟件之“十惡不赦”排行榜
據(jù)國外安全媒體報道,在日本、德國、加拿大和澳大利亞、中國以及其他幾個目標國家中發(fā)現(xiàn)GandCrab的廣泛活動,說明這只“河蟹”的出現(xiàn)是具備一定的國際性。 新版本GandCrab V5.2勒索軟件加密手段與以往版本相比已經(jīng)做了關(guān)鍵性變化,這些變化令針對以前版本開發(fā)的解密工具無效。由此我們看到,黑客在不斷基于現(xiàn)有惡意軟件形式創(chuàng)建新的且更危險的版本繼續(xù)在網(wǎng)絡(luò)中分發(fā)。 GandCrab蟄伏一段時間后的再次爆發(fā),又一次證明,惡意軟件暫時性的消失,都是一種假象,惡意軟件作者實際上仍在不斷嘗試尋找新的方法來逃避安全產(chǎn)品的檢測。為了有效地解決這些安全問題,我們要根據(jù)惡意軟件家族DNA不斷追蹤研究。 有關(guān)該病毒防范,可以參照我此前的文章“一起簡單聊一下新GandCrab勒索病毒防護”以及參考此前兩篇關(guān)于RDP攻擊及GandCrab病毒攻擊的文章。
另外,隨著加密貨幣價格不斷下降,市值不斷縮水,全球影響逐漸減弱,隨著MoneroCryptocurrency價值的下降,采礦成本上升,Coinhive的價值從2018年10月的18%降至2019年1月的12%,本月已經(jīng)降至10%。
2019年二月份“十惡不赦”:
*箭頭與上個月的排名變化有關(guān)。
1. ↔Coinhive - Cryptominer,用于在用戶訪問網(wǎng)頁時執(zhí)行Monero加密貨幣的在線挖掘,在用戶不知情的情況下通過挖掘門羅幣獲得收入。
2. ↑ Cryptoloot - Cryptominer,使用受害者的CPU或GPU電源和現(xiàn)有的資源開采加密的區(qū)塊鏈和發(fā)掘新的機密貨幣,是Coinhive的有力競爭對手,本月較上月上升一個名次,獲得的第二名地位。
3. ↑Emotet - 自我傳播和高級模塊化的木馬。Emotet曾經(jīng)被用作銀行木馬,最近被用作其他惡意軟件或惡意廣告的分銷商。它使用多種方法來維護持久性和規(guī)避技術(shù)以避免檢測。此外,它還可以通過包含惡意附件或鏈接的網(wǎng)絡(luò)釣魚垃圾郵件進行傳播,由上月的第五名,上升到本月的第三名。
4. ↓XMRig - XMRig -是一種開源利用CPU進行挖掘惡意軟件,用于挖掘Monero加密貨幣,并于2017年5月被發(fā)現(xiàn)。
5. ↓Jsecoin - 使用JSEcoin,可以直接在瀏覽器中運行礦工,以換取無廣告體驗,游戲內(nèi)貨幣和其他獎勵。較上個月再下降一個名次,獲得第五名的地位。
6. ↑Dorkbot -IRC-是一種基于IRC設(shè)計的蠕蟲,可以以操作員執(zhí)行遠程代碼,以及下載其他惡意軟件到被感染的機器。是一個銀行木馬,其主要動機是竊取敏感信息并可以發(fā)起拒絕服務(wù)攻擊,本月影響程度較上月同為第六名。
7. ↓Nivdort -多用途機器人,也稱為Bayrob,用于收集密碼,修改系統(tǒng)設(shè)置和下載其他惡意軟件。它通常通過垃圾郵件傳播,其中收件人地址以二進制文件編碼。
8. ↑Gandcrab -GandCrab是通過RIG和GrandSoft Exploit Kits分發(fā)的勒索軟件,以及垃圾郵件。勒索軟件是在一個附屬計劃中運作的,加入該程序的人支付了GandCrab作者30%-40%的贖金收入。作為回報,聯(lián)盟會員可以獲得功能齊全的網(wǎng)絡(luò)面板和技術(shù)支持。該加密勒索病毒,醫(yī)療行業(yè)許多單位中招,最近在國內(nèi)也有發(fā)生,特別是冒充我國政府單位結(jié)合郵件攻擊,請大家重視該病毒的傳播趨勢。
9. ↑Authedmine – 與CoinHive類似,Authedmine是一個基于Web的加密挖掘器,用于在用戶訪問網(wǎng)頁時執(zhí)行Monero加密貨幣的在線挖掘,而無需用戶知情或批準用戶的利潤。但是,與CoinHive不同,Authedmine旨在要求網(wǎng)站用戶在運行挖掘腳本之前明確同意。
10. ↔Ramnit - 是一款能夠竊取銀行憑據(jù), FTP密碼,會話cookie和個人數(shù)據(jù)的銀行特洛伊木馬。
本月Lotoor是十分流行的移動惡意軟件,取代了移動惡意軟件列表中的Hiddad。Triada仍位居第三。
二月份三大移動惡意軟件:
1. Lotoor -Hack工具利用Android操作系統(tǒng)上的漏洞獲取受感染移動設(shè)備的root權(quán)限。
2.Hiddad – 是一款Android惡意軟件,對合法應(yīng)用程序重新打包,然后將其發(fā)布到第三方應(yīng)用商店。主要是顯示廣告,也能夠訪問操作系統(tǒng)內(nèi)置的關(guān)鍵安全細節(jié),允許攻擊者可獲取敏感的用戶數(shù)據(jù)。
3. Triada - 適用于Android的ModularBackdoor,它為下載的惡意軟件授予超級用戶權(quán)限,有助于它嵌入到系統(tǒng)進程中。Triada也被視為欺騙瀏覽器中加載的URL。
CVE-2017-7269仍然領(lǐng)先于其他漏洞,占45%。OpenSSL TLS DTLS心跳信息泄露是第二大流行漏洞,全球影響力為40%,其次是Web服務(wù)器PHPMyAdmin錯誤配置代碼注入漏洞,影響全球34%的組織。
二月份三大漏洞:
1.↔ScStoragePathFromUrl緩沖區(qū)溢出(CVE-2017-7269) - 通過Microsoft Internet Information Services 6.0將精心設(shè)計的請求通過網(wǎng)絡(luò)發(fā)送到Microsoft Windows Server 2003 R2,遠程攻擊者可以執(zhí)行任意代碼或?qū)е戮芙^服務(wù)條件在目標服務(wù)器上。這主要是由于HTTP請求中對長報頭的不正確驗證導致的緩沖區(qū)溢出漏洞。
2. ↑OpenSSL TLS DTLS心跳信息泄露(CVE-2014-0160;CVE-2014-0346) - OpenSSL中存在信息泄露漏洞。該漏洞是由于處理TLS / DTLS心跳包時出錯。攻擊者可以利用此漏洞披露已連接客戶端或服務(wù)器的內(nèi)存內(nèi)容。
3.↑Web服務(wù)器PHPMyAdmin錯誤配置代碼注入 -PHPMyAdmin中報告了代碼注入漏洞。該漏洞是由于PHPMyAdmin配置錯誤造成的。遠程攻擊者可以通過向目標發(fā)送特制的HTTP請求來利用此漏洞。
