据国外安全媒体报道, 在日本, 德国, 加拿大和澳大利亚, 中国以及其他几个目标国家中发现 GandCrab 的广泛活动, 说明这只 "河蟹" 的出现是具备一定的国际性. 新版本 GandCrab V5.2 勒索软件加密手段与以往版本相比已经做了关键性变化, 这些变化令针对以前版本开发的解密工具无效. 由此我们看到, 黑客在不断基于现有恶意软件形式创建新的且更危险的版本继续在网络中分发. GandCrab 蛰伏一段时间后的再次爆发, 又一次证明, 恶意软件暂时性的消失, 都是一种假象, 恶意软件作者实际上仍在不断尝试寻找新的方法来逃避安全产品的检测. 为了有效地解决这些安全问题, 我们要根据恶意软件家族 DNA 不断追踪研究. 有关该病毒防范, 可以参照我此前的文章 "一起简单聊一下新 GandCrab 勒索病毒防护" 以及参考此前两篇关于 RDP 攻击及 GandCrab 病毒攻击的文章.
另外, 随着加密货币价格不断下降, 市值不断缩水, 全球影响逐渐减弱, 随着 MoneroCryptocurrency 价值的下降, 采矿成本上升, Coinhive 的价值从 2018 年 10 月的 18% 降至 2019 年 1 月的 12%, 本月已经降至 10%.
2019 年二月份 "十恶不赦":
* 箭头与上个月的排名变化有关.
1. ↔Coinhive - Cryptominer, 用于在用户访问网页时执行 Monero 加密货币的在线挖掘, 在用户不知情的情况下通过挖掘门罗币获得收入, 植入的 JavaScript 使用用户机器的大量算力来挖掘加密货币, 并可能致使系统崩溃.
2. ↑ Cryptoloot - Cryptominer, 使用受害者的 CPU 或 GPU 电源和现有的资源开采加密的区块链和发掘新的机密货币, 是 Coinhive 的有力竞争对手, 本月较上月上升一个名次, 获得的第二名地位.
3. ↑Emotet - 自我传播和高级模块化的木马. Emotet 曾经被用作银行木马, 最近被用作其他恶意软件或恶意广告的分销商. 它使用多种方法来维护持久性和规避技术以避免检测. 此外, 它还可以通过包含恶意附件或链接的网络钓鱼垃圾邮件进行传播, 由上月的第五名, 上升到本月的第三名.
4. ↓XMRig - XMRig - 是一种开源利用 CPU 进行挖掘恶意软件, 用于挖掘 Monero 加密货币, 并于 2017 年 5 月首次被发现.
5. ↓Jsecoin - 可以嵌入网站的 JavaScript 矿工. 使用 JSEcoin, 可以直接在浏览器中运行矿工, 以换取无广告体验, 游戏内货币和其他奖励. 较上个月再下降一个名次, 获得第五名的地位.
6. ↑Dorkbot -IRC - 是一种基于 IRC 设计的蠕虫, 可以以操作员执行远程代码, 以及下载其他恶意软件到被感染的机器. 是一个银行木马, 其主要动机是窃取敏感信息并可以发起拒绝服务攻击, 本月影响程度较上月同为第六名.
7. ↓Nivdort - 多用途机器人, 也称为 Bayrob, 用于收集密码, 修改系统设置和下载其他恶意软件. 它通常通过垃圾邮件传播, 其中收件人地址以二进制文件编码, 从而使每个文件都具有唯一性.
8. ↑Gandcrab -GandCrab 是通过 RIG 和 GrandSoft Exploit Kits 分发的勒索软件, 以及垃圾邮件. 勒索软件是在一个附属计划中运作的, 加入该程序的人支付了 GandCrab 作者 30%-40% 的赎金收入. 作为回报, 联盟会员可以获得功能齐全的网络面板和技术支持. 该加密勒索病毒, 医疗行业许多单位中招, 最近在国内也有发生, 特别是冒充我国政府单位结合邮件攻击, 请大家重视该病毒的传播趋势.
9. ↑Authedmine - 是一款臭名昭着的 JavaScript 矿工 CoinHive 的一个版本. 与 CoinHive 类似, Authedmine 是一个基于 web 的加密挖掘器, 用于在用户访问网页时执行 Monero 加密货币的在线挖掘, 而无需用户知情或批准用户的利润. 但是, 与 CoinHive 不同, Authedmine 旨在要求网站用户在运行挖掘脚本之前明确同意.
10. ↔Ramnit - 是一款能够窃取银行凭据, FTP 密码, 会话 cookie 和个人数据的银行特洛伊木马.
本月 Lotoor 是最流行的移动恶意软件, 取代了顶级移动恶意软件列表中的第一名 Hiddad.Triada 仍位居第三.
二月份三大移动恶意软件:
1. Lotoor -Hack 工具利用 Android 操作系统上的漏洞获取受感染移动设备的 root 权限.
2.Hiddad - 是一款 Android 恶意软件, 对合法应用程序重新打包, 然后将其发布到第三方应用商店. 主要是显示广告, 也能够访问操作系统内置的关键安全细节, 允许攻击者可获取敏感的用户数据.
3. Triada - 适用于 Android 的 ModularBackdoor, 它为下载的恶意软件授予超级用户权限, 有助于它嵌入到系统进程中. Triada 也被视为欺骗浏览器中加载的 URL.
CVE-2017-7269 仍然领先于其他漏洞, 占 45%.OpenSSL TLS DTLS 心跳信息泄露是第二大流行漏洞, 全球影响力为 40%, 其次是 Web 服务器 PHPMyAdmin 错误配置代码注入漏洞, 影响全球 34% 的组织.
二月份三大漏洞:
1.↔MicrosoftIIS WebDAV ScStoragePathFromUrl 缓冲区溢出 (CVE-2017-7269) - 通过 Microsoft Internet Information Services 6.0 将精心设计的请求通过网络发送到 Microsoft Windows Server 2003 R2, 远程攻击者可以执行任意代码或导致拒绝服务条件在目标服务器上. 这主要是由于 HTTP 请求中对长报头的不正确验证导致的缓冲区溢出漏洞.
2. ↑OpenSSL TLS DTLS 心跳信息泄露 (CVE-2014-0160;CVE-2014-0346) - OpenSSL 中存在信息泄露漏洞. 该漏洞是由于处理 TLS / DTLS 心跳包时出错. 攻击者可以利用此漏洞披露已连接客户端或服务器的内存内容.
3.↑Web 服务器 PHPMyAdmin 错误配置代码注入 -PHPMyAdmin 中报告了代码注入漏洞. 该漏洞是由于 PHPMyAdmin 配置错误造成的. 远程攻击者可以通过向目标发送特制的 HTTP 请求来利用此漏洞.
来源: http://netsecurity.51cto.com/art/201903/593466.htm