今年 1 月, 国外安全研究人员发现了一项利用 Linux 服务器发布后门特洛伊木马的新活动, 称为 SpeakUp.SpeakUp 能够提供任何有效负载并在受感染的计算机上执行, 并逃避所有安全供应商的防病毒软件的检测. 我们也在前几天用 "SpeakUp 特洛伊木马针对 Linux 服务器攻击" 这篇文章进行了介绍. SpeakUp 目前提供 XMRigMiner, 到目前为止, 它主要是针对东亚和拉丁美洲的服务器进行攻击, 同时包括一些 AWS 托管服务器.
像 SpeakUp 这样的威胁是对网络信息安全的严峻警告, 因为它们可以逃避检测, 然后向受感染的机器分发更多可能更危险的恶意软件. 由于 Linux 广泛用于企业服务器, 因此 SpeakUp 有可能会成为全年规模和严重程度同时增长的威胁. 同时 1 月份 Cryptominers 仍然很普遍, 再次占据前 4 个位置, Coinhive 依然保持其位列榜首. 破坏性的多用途恶意软件形式仍然普遍存在, 前十名中的恶意软件形式中有一半目前能够将更多恶意软件下载到受感染的计算机并分发各种恶意软件. 另外, 加密勒索病毒 Gandcrab 挤进第九名, 同时该病毒在我国各地都有出现, 还请大家对此做好防范. 有关该病毒防范, 可以参照我以前的文章 "一起简单聊一下新 GandCrab 勒索病毒防护" 以及参考此前两篇关于 RDP 攻击及 GandCrab 病毒攻击的文章.
2019 年 1 月 "十恶不赦":
* 箭头与上个月的排名变化有关.
1. ↔Coinhive - Cryptominer, 用于在用户访问网页时执行 Monero 加密货币的在线挖掘, 在用户不知情的情况下通过挖掘门罗币获得收入, 植入的 JavaScript 使用用户机器的大量算力来挖掘加密货币, 并可能致使系统崩溃.
2. ↔ XMRig -XMRig - 是一种开源利用 CPU 进行挖掘恶意软件, 用于挖掘 Monero 加密货币, 并于 2017 年 5 月首次被发现.
3. ↑Cryptoloot - Cryptominer, 使用受害者的 CPU 或 GPU 电源和现有的资源开采加密的区块链和发掘新的机密货币, 是 Coinhive 的有力竞争对手, 本月较上月上升一个名次, 获得的第三名地位.
4. ↓ Jsecoin - 可以嵌入网站的 JavaScript 矿工. 使用 JSEcoin, 可以直接在浏览器中运行矿工, 以换取无广告体验, 游戏内货币和其他奖励. 较上个月下降一个名次, 获得第四名的地位.
5. ↔ Emotet - 自我传播和高级模块化的木马. Emotet 曾经被用作银行木马, 最近被用作其他恶意软件或恶意广告的分销商. 它使用多种方法来维护持久性和规避技术以避免检测. 此外, 它还可以通过包含恶意附件或链接的网络钓鱼垃圾邮件进行传播.
6. ↔Nivdort - 多用途机器人, 也称为 Bayrob, 用于收集密码, 修改系统设置和下载其他恶意软件. 它通常通过垃圾邮件传播, 其中收件人地址以二进制文件编码, 从而使每个文件都具有唯一性.
7. ↔Dorkbot -IRC - 是一种基于 IRC 设计的蠕虫, 可以以操作员执行远程代码, 以及下载其他恶意软件到被感染的机器. 是一个银行木马, 其主要动机是窃取敏感信息并可以发起拒绝服务攻击, 本月影响程度较上月同为第七名.
8. ↑Lokibot - Lokibot 是一个主要由网络钓鱼电子邮件分发的窃取信息, 用于窃取各种数据, 如电子邮件凭证, 以及 CryptoCoin 钱包和 FTP 服务器的密码等.
9. ↑Gandcrab- GandCrab 是通过 RIG 和 GrandSoft Exploit Kits 分发的勒索软件, 以及垃圾邮件. 勒索软件是在一个附属计划中运作的, 加入该程序的人支付了 GandCrab 作者 30%-40% 的赎金收入. 作为回报, 联盟会员可以获得功能齐全的网络面板和技术支持. 该加密病毒, 春节前在我国多地被发现, 医疗行业许多单位中招, 还请大家重视该病毒的传播趋势.
10. ↓Ramnit - 是一款能够窃取银行凭据, FTP 密码, 会话 cookie 和个人数据的银行特洛伊木马.
Hiddad 是 Android 的模块化后门, 取得特权后为下载的恶意软件提供突破口, 已经取代 Triada 第一的位置, 成为顶级移动恶意软件列表中的第一名. Lotoor 紧随其后, 位居第二位, 而 Triada 排名第三位.
1 月份三大移动恶意软件:
Hiddad - Android 的模块化后门, 为下载的恶意软件授予超级用户权限, 有助于它嵌入到系统进程中.
Lotoor - Hack 工具利用 Android 操作系统上的漏洞获取受感染移动设备的 root 权限.
Triada - 适用于 Android 的 Modular Backdoor, 它为下载的恶意软件授予超级用户权限, 有助于它嵌入到系统进程中. Triada 也被视为欺骗浏览器中加载的 URL.
另据, 国外安全研究人员分析了最受利用的网络漏洞. CVE-2017-7269 保持在第一位, 全球影响力为 47%. 紧随其后的是 web Server Exposed Git Repository Information Disclosure 排在第二位, OpenSSL TLS DTLS 心跳信息披露排在第三位, 分别影响了全球 46% 和 45% 的组织.
1 月份三大漏洞:
↔MicrosoftIIS WebDAV ScStoragePathFromUrl 缓冲区溢出 (CVE-2017-7269) - 通过 Microsoft Internet Information Services 6.0 将精心设计的请求通过网络发送到 Microsoft Windows Server 2003 R2, 远程攻击者可以执行任意代码或导致拒绝服务条件在目标服务器上. 这主要是由于 HTTP 请求中对长报头的不正确验证导致的缓冲区溢出漏洞.
↑Web 服务器暴露的 Git 存储库信息泄露 - Git 存储库中报告了一个信息泄露漏洞. 成功利用此漏洞可能会无意中泄露帐户信息.
↓OpenSSL TLS DTLS 心跳信息泄露 (CVE-2014-0160; CVE-2014-0346) - OpenSSL 中存在信息泄露漏洞. 该漏洞是由于处理 TLS / DTLS 心跳包时出错. 攻击者可以利用此漏洞披露已连接客户端或服务器的内存内容.
最后温馨提示广大朋友们, 请核查自己的 IT 资产, 是否在影响之列, 充分采取必要的防护措施, 保障信息系统的安全稳定运行, 做到将风险降到力所能及的最小, 为信息系统安全持续性运行创造良好的安全氛围与安全文化, 使信息系统运行能够正常化, 持续化, 长久化.
来源: http://netsecurity.51cto.com/art/201902/592092.htm