今年，微軟修補 CVE漏洞總數達到887 個，較 2020 年減少了 29%。就12 月份來說，微軟發布了針對Microsoft Windows 和 Windows 組件、ASP.NETCore 和 Visual Studio、Azure BotFramework SDK、Internet Storage Name Service、Defender for IoT、Edge(基于 Chromium)、Microsoft Office 和Office 組件、SharePoint Server、PowerShell、遠程桌面客戶端、Windows Hyper-V、Windows Mobile 設備管理、Windows 遠程訪問連接管理器、TCP/IP 和 Windows 更新堆棧的67個漏洞發布安全補丁。結合本月早些時候 Microsoft Edge(基于 Chromium)修補的 16 個漏洞補丁， 12 月的 CVE 漏洞總數達到 83 個。另外，網絡安全從業人員，都更加會關注CVE-2021-44228：Log4Shell(Log4j)這個漏洞，它甚至稱為史詩級漏洞。國外安全網站，這么去形容它的影響：除非你一直閉著眼睛躲在巖石下，用手捂住耳朵，否則你應該聽說過最近披露的 Java 日志庫中一個名為Apache Log4j 的漏洞。。

通過CheckPoint研究，最新的 2021 年 11 月全球威脅指數顯示，雖然 Trickbot 仍然位居最流行的惡意軟件列表的首位，影響了全球抽樣的5% 組織，但最近死灰復燃的 Emotet 重新回到指數中的第七位。同時，研究表明受攻擊最多的行業是教育/研究。這點和國內的情況，保持一致。

盡管今年早些時候歐洲刑警組織合力打擊 Emotet ，使其暫時偃旗息鼓而付出了巨大努力，但這個臭名昭著的僵尸網絡已被確認在 11 月之前復燃，并且排在了CheckPoint威脅排名第七大最常用的惡意軟件。而Trickbot 本月是第六次位居該指數榜首，甚至與 Emotet 的新變種有關，該變種使用 Trickbot 的基礎設施安裝在受感染的機器上。

Emotet 通過網絡釣魚電子郵件傳播的，其中包含受感染的 Word、Excel 和 Zip 文件，這些文件將 Emotet 部署在受害主機上。最近，Emotet 還開始通過偽裝成 Adobe 軟件的惡意 Windows 應用安裝程序包進行分發傳播。

Emotet 是網絡歷史上最成功的僵尸網絡之一，是近年來有針對性的勒索軟件攻擊爆炸式增長的罪魁禍首。僵尸網絡在 11 月的卷土重來非常令人擔憂，可能會導致此類攻擊的進一步增加。它利用 Trickbot 的基礎設施，縮短了 Emotet 在全球網絡中建立足夠重要的立足點所需的時間。

Web 服務器惡意 URL 目錄遍歷漏洞仍然是最常被利用的漏洞，影響了全球抽樣 44% 的組織，其次是Web 服務器暴露的 Git 存儲庫信息泄露，影響了全球 抽樣43.7% 的組織。HTTP Headers Remote Code Execution在最常被利用的漏洞列表中排名第三，全球抽樣影響為42%。

2021年11月“十惡不赦”

*箭頭表示與上個月相比的排名變化。

11月，Trickbot是最流行的惡意軟件，影響了全球抽樣 5% 的組織，其次是Agent Tesla和Formbook，兩者的全球抽樣影響均為 4%。

↔Trickbot – Trickbot 是一個模塊化的僵尸網絡和銀行木馬，不斷更新新的功能、特性和分發向量。這使 Trickbot 成為一種靈活且可定制的惡意軟件，可以作為多用途活動的一部分進行分發。

↑ Agent Tesla – Agent Tesla 是一種先進的 RAT，用作鍵盤記錄器和信息竊取器，能夠監視和收集受害者的鍵盤輸入、系統鍵盤、截屏，并將憑據泄露到安裝在受害者機器上的各種軟件中(包括 Google Chrome、Mozilla Firefox 和 Microsoft Outlook。)

↑ Formbook – Formbook 是一個 InfoStealer，可以從各種 Web 瀏覽器中收集憑據，收集屏幕截圖、監控和記錄擊鍵，并且可以根據其 C&C 命令下載和執行文件。

 Glupteba – Glupteba 是一個逐漸成熟為僵尸網絡的后門。到 2019 年，它包括通過公共比特幣列表的 C&C 地址更新機制、集成的瀏覽器竊取器功能和路由器開發器。

↓ Remcos – Remcos 是一種 RAT，于 2016 年首次出現在野外。Remcos 通過附加到垃圾郵件的惡意 Microsoft Office 文檔進行自我分發，旨在繞過 Microsoft Windows UAC 安全并以高級權限執行惡意軟件。

↓ XMRig – XMRig 是一種開源 CPU 挖掘軟件，用于門羅幣加密貨幣的挖掘過程，于 2017 年 5 月首次出現在野外。

↑ Emotet – Emotet 是一種先進的、自我傳播的、模塊化的木馬。Emotet 曾經被用作銀行木馬，最近被用作其他惡意軟件或惡意活動的分發者。它使用多種方法來保持持久性和規避技術來避免檢測。此外，它還可以通過包含惡意附件或鏈接的網絡釣魚垃圾郵件進行傳播。

↓ Ramnit – Ramnit 是一種銀行木馬，可竊取銀行憑據、FTP 密碼、會話 cookie 和個人數據。

↑ Floxif – Floxif 是一個信息竊取器和后門，專為 Windows 操作系統設計。它在 2017 年被用作大規模攻擊活動的一部分，攻擊者將 Floxif(和 Nyetya)插入到 CCleaner(一種清理實用程序)的免費版本中，從而感染了超過 200 萬用戶，其中包括谷歌等大型科技公司，微軟、思科和英特爾。

↑ Vidar – Vidar 是一種針對 Windows 操作系統的信息竊取程序。它于 2018 年底首次被發現，旨在從各種網絡瀏覽器和數字錢包竊取密碼、信用卡數據和其他敏感信息。Vidar 已在各種在線論壇上出售，并用作惡意軟件投放器，下載 GandCrab 勒索軟件作為其輔助負載。

全球受攻擊最多的行業：本月，教育/研究是全球受攻擊最多的行業，其次是通信和政府/軍事。

• 教育/研究
• 通訊
• 政府/軍隊

11月份漏洞Top10

11月，Web 服務器惡意 URL 目錄遍歷仍然是最常被利用的漏洞，影響了全球抽樣44% 的組織，其次是Web 服務器暴露的 Git 存儲庫信息泄露，影響了全球抽樣43.7% 的組織。HTTP Headers Remote Code Execution在最常被利用的漏洞列表中排名第三，全球抽樣影響為42%。

↔Web 服務器惡意 URL 目錄遍歷(CVE-2010-4598、CVE-2011-2474、CVE-2014-0130、CVE-2014-0780、CVE-2015-0666、CVE-2015-4061-2474、CVE-2014-0130、CVE-2015-4068、CVE-204 CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-200) - 820是不同網絡服務器上的目錄遍歷漏洞。該漏洞是由于 Web 服務器中的輸入驗證錯誤導致的，該錯誤未正確清理目錄遍歷模式的 URL。成功利用允許未經身份驗證的遠程攻擊者披露或訪問易受攻擊的服務器上的任意文件。

↔Web Server Exposed Git Repository Information Disclosure - Git Repository 中報告了一個信息泄露漏洞。成功利用此漏洞可能會無意中泄露賬戶信息。

↔ HTTP 標頭遠程代碼執行(CVE-2020-10826、CVE-2020-10827、CVE-2020-10828、CVE-2020-13756) ——HTTP 標頭讓客戶端和服務器通過 HTTP 請求傳遞附加信息。遠程攻擊者可能會使用易受攻擊的 HTTP 標頭在受害機器上運行任意代碼。

↑ MVPower DVR 遠程代碼執行– MVPower DVR 設備中存在遠程代碼執行漏洞。遠程攻擊者可以利用此弱點通過精心設計的請求在受影響的路由器中執行任意代碼。

↓ Dasan GPON Router Authentication Bypass (CVE-2018-10561) – Dasan GPON 路由器中存在一個認證繞過漏洞。成功利用此漏洞將允許遠程攻擊者獲取敏感信息并未經授權訪問受影響的系統。

↑ Apache HTTP Server 目錄遍歷 (CVE-2021-41773,CVE-2021-42013 ) – Apache HTTP Server 中存在目錄遍歷漏洞。成功利用此漏洞可能允許攻擊者訪問受影響系統上的任意文件。

↔ 基于 HTTP 的命令注入 (CVE-2013-6719,CVE-2013-6720) – 已經報告了基于 HTTP 的命令注入漏洞。遠程攻擊者可以通過向受害者發送特制的請求來利用此問題。成功的利用將允許攻擊者在目標機器上執行任意代碼。

↓ Apache Struts2 Content-Type Remote Code Execution (CVE-2017-5638,CVE-2017-5638,CVE-2019-0230) –使用 Jakarta 多部分解析器的 Apache Struts2 中存在遠程代碼執行漏洞。攻擊者可以通過發送無效的內容類型作為文件上傳請求的一部分來利用此漏洞。成功利用可能會導致在受影響的系統上執行任意代碼。

↔OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160,CVE-2014-0346) – OpenSSL 中存在信息泄露漏洞。該漏洞，又名 Heartbleed，是由于處理 TLS/DTLS 心跳包時出現錯誤造成的。攻擊者可以利用此漏洞來泄露連接的客戶端或服務器的內存內容。

↑ NoneCMS ThinkPHP 遠程代碼執行(CVE-2018-20062) ——NoneCMS ThinkPHP 框架中存在遠程代碼執行漏洞。成功利用此漏洞可能允許遠程攻擊者在受影響的系統上執行任意代碼。

頂級移動惡意軟件

11月，AlienBot 在最流行的移動惡意軟件中排名第一，其次是 xHelper 和 FluBot。

AlienBot – AlienBot 惡意軟件系列是一種適用于 Android 設備的惡意軟件即服務 (MaaS)，允許遠程攻擊者作為第一步，將惡意代碼注入合法的金融應用程序中。攻擊者可以訪問受害者的帳戶，并最終完全控制他們的設備。

xHelper – 自 2019 年 3 月以來在野外發現的惡意應用程序，用于下載其他惡意應用程序并顯示廣告。該應用程序能夠對用戶隱藏自己，甚至可以在卸載時重新安裝。

FluBot – FluBot 是一種 Android 僵尸網絡，通過網絡釣魚 SMS 消息分發，通常冒充物流配送品牌。一旦用戶單擊消息中的鏈接，FluBot 就會安裝并訪問手機上的所有敏感信息。