【原】2021年五月份恶意软件之“十恶不赦”排行榜

祺印说信安 2021-06-28

展开全文

六月份，《中华人民共和国数据安全法》发布，将于2021年9月1日正式实施，将把我国的网络安全带上一个新台阶。无论在信息安全，还是网络安全，抑或是数据安全，最终还是要落到人身上，在美国IATF中强调深度防御，与我们现在等级保护2.0的“三层防御”有异曲同工之妙，IATF在深度防御战略中强调三个主要层面：人员、技术和操作。

其实，后两者还是回归到人，所谓的技术、所谓的操作，最终都是人发明创造的，也是人去实施的。当然，IATF中这里的人员，则相对狭义一点，不是我说的这么广义。同时，在IATF中谈及保护轮廓，这部分内容若想理解，则还需要看看CC相关知识，所以从TCSEC一路走来到CC再到ISO 15408，以及TCSEC到GB 18759，其实都是一脉相承走下来的，所以都不能割裂的看，只能联系的看才能稍微读懂相关内容。

六月份，微软2021年6月份于周二补丁日针对50个漏洞发布安全补丁，在这 50个漏洞中，5个被评为严重，45个被评为重要，较5月份的55个漏洞有所下降。Adobe方面发布了10个补丁，解决了Adobe Connect、Acrobat和Reader、Photoshop中的39个CVE漏洞。

另外，根据CheckPoint信息，2021年6月份受勒索软件影响的组织数量已增至1210个，自2021年初以来，攻击次数增加了 41%，同比增加了 93%，自 2021 年初以来，拉丁美洲和欧洲的勒索软件攻击增幅最大，分别增长了 62% 和 59%。同时给出防止勒索软件的五种方法分别是数据备份、更新补丁、反勒索软件、教育培训、注意其他恶意软件防护等。

2021年05月“十恶不赦”

*箭头表示与上个月相比的排名变化。

本月，Trickbot上升到恶意软件的榜首，全球抽样组织的影响为8%，其次是XMRig和Formbook，分别影响全球抽样的3%。

1、↑Trickbot–Trickbot是模块化的僵尸网络和银行木马，不断更新以提供新功能，功能和分发媒介。Trickbot为灵活且可自定义的恶意软件，可以作为多用途活动分发。

2、↑ XMRig–XMRig是用于Monero加密货币挖掘过程的开源CPU挖掘软件，于2017年5月首次在野外出现。前几天，与朋友聊天谈论时，还在说比特币的挖矿成本已经不是太经济了，然而Monero加密货币还有许多前景，或者这也是这类恶意软件不断扩张的原因吧。利益驱动一切！

3、↑ Formbook– Formbook是一个信息窃取工具，可以从各种Web浏览器中收集凭证，收集屏幕截图、监视器和日志，并可以根据其C＆C订单下载和执行文件。

4、↓Agent Tesla–Agent Tesla是一种高级RAT，用作键盘记录程序和信息窃取程序，能够监视和收集受害者的键盘输入、系统键盘、截取屏幕快照、以及将凭据泄露到受害者计算机上安装的各种软件（包括Google Chrome、Mozilla Firefox和Microsoft Outlook电子邮件客户端）。

5、↑Lokibot–Lokibot一种通过网络钓鱼电子邮件分发窃取信息的恶意程序，用于窃取各种数据，例如电子邮件凭据、CryptoCoin钱包和 FTP 服务器的密码等。

6、↑ Glupteba–Glupteba是一个后门程序，逐渐成熟发展成为僵尸网络。到2019年，包括通过公共BitCoin列表提供的C＆C地址更新机制，集成的浏览器窃取功能和路由器利用程序。

7、↑Ramnit–Ramnit是一种银行木马，可窃取银行凭据、FTP 密码、会话 cookie 和个人数据。

8、↑Phorpiex– Phorpiex 是一个僵尸网络，通过垃圾邮件活动分发其他恶意软件系列以及推动大规模性勒索活动。。

9、↓Qbot–Qbot是一银行木马，于2008年首次出现，窃取用户的银行凭证和键盘信息。Qbot通常通过垃圾邮件分发，采用了多种反虚拟机，反调试和反沙盒技术来阻止分析和逃避检测。

10、↑IcedID–一种通过垃圾邮件活动传播的银行木马，使用进程注入和隐写术等规避技术来窃取用户财务数据。

05月份漏洞Top10

本月“Web Server Exposed Git Repository Information Disclosure”是最常见的被利用漏洞，影响了全球 48% 的组织，其次是“HTTP Headers Remote Code Execution (CVE-2020-13756)”，影响了全球 47.5% 的组织。“MVPower DVR 远程代码执行”在被利用漏洞榜中排名第三，全球影响力为 46%。

1、↔Web Server Exposed Git Repository Information Disclosure–信息泄露漏洞，成功利用此漏洞可泄露账户信息。

2、↔HTTP 标头远程代码执行（CVE-2020-10826、CVE-2020-10827、CVE-2020-10828、CVE-2020-13756）—— HTTP 标头让客户端和服务器通过 HTTP 请求传递附加信息。远程攻击者可能会使用易受攻击的 HTTP 标头在受害机器上运行任意代码。

3、↔MVPower DVR远程代码执行–远程攻击者可以利用漏洞通过精心设计的请求在受影响的路由器中执行任意代码。

4、↔Dasan GPON Router Authentication Bypass (CVE-2018-10561)–成功利用此漏洞将允许远程攻击者获取敏感信息并未经授权访问受影响的系统。

5、↔Apache Struts2 Content-Type Remote Code Execution (CVE-2017-5638,CVE-2017-5638,CVE-2019-0230) – 使用 Jakarta 多部分解析器的 Apache Struts2 中远程代码执行漏洞。攻击者可以通过发送无效的内容类型作为文件上传请求的一部分来利用此漏洞。成功利用可能会导致在受影响的系统上执行任意代码。

6、↑基于 HTTP的命令注入-远程攻击者可以通过向受害者发送特制的请求来利用此问题，将允许攻击者在目标机器上执行任意代码。

7、↔SQL 注入（不同的技术）——在从客户端到应用程序的输入中插入 SQL 查询注入，同时利用应用程序软件中的安全漏洞。

8、↑OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160,CVE-2014-0346) – OpenSSL 中存在信息泄露漏洞，又名 Heartbleed，是由于处理 TLS/DTLS 心跳包时出现错误造成的。攻击者可以利用此漏洞泄露连接的客户端或服务器的内存内容。

9、↑WordPress 便携式 phpMyAdmin 插件身份验证绕过 (CVE-2012-5469) – WordPress 便携式 phpMyAdmin 插件中存在身份验证绕过漏洞，允许远程攻击者获取敏感信息并未经授权访问受影响的系统。

10、↑PHP php-cgi 查询字符串参数代码执行（“CVE-2012-1823、CVE-2012-2311、CVE-2012-2335、CVE-2012-2336、CVE-2013-4878） ——一个远程代码执行漏洞。由于 PHP 对查询字符串的解析和过滤不当造成的。远程攻击者可能会通过发送精心设计的 HTTP 请求来利用此问题，允许攻击者在目标上执行任意代码。