2022 年 2 月, Check Point Research發(fā)布了其 2022 年 1 月最新版《全球威脅指數》報告。研究人員報告稱(chēng),Emotet 現已將長(cháng)期占據榜首的 Trickbot 擠出首位,成為本月最猖獗的惡意軟件,影響了全球 6% 的企業(yè)與機構。事實(shí)證明,Log4j 依舊猖獗,全球 47.4% 的機構因此遭殃,教育/研究行業(yè)仍然是首要攻擊目標。
重返榜單僅兩個(gè)半月后,Emotet 就已躍居榜首。這一臭名昭著(zhù)的僵尸網(wǎng)絡(luò )主要通過(guò)包含惡意附件或鏈接的網(wǎng)絡(luò )釣魚(yú)電子郵件進(jìn)行傳播。Trickbot 的日益猖獗助推該惡意軟件的使用量不斷增長(cháng)。與此同時(shí),Dridex 已經(jīng)完全跌出十大惡意軟件榜單,取而代之的是 Lokibot,這一信息竊取程序用于獲取電子郵件憑證、加密貨幣錢(qián)包密碼及 FTP 服務(wù)器等數據。
Check Point 軟件技術(shù)公司研發(fā)副總裁 Maya Horowitz 表示:“Emotet 卷土重來(lái)是意料之中的事。它是一種逃逸型惡意軟件,因此難以檢測,而且它使用多種方法感染網(wǎng)絡(luò ),這只會(huì )進(jìn)一步加劇威脅態(tài)勢。本月,Dridex 從我們的十大惡意軟件榜單中消失,而 Lokibot 則再次現身。Lokibot 在受害者最繁忙的時(shí)刻趁虛而入,通過(guò)精心偽裝的網(wǎng)絡(luò )釣魚(yú)電子郵件進(jìn)行傳播。這些威脅以及與 Log4j 漏洞的持續斗爭凸顯了跨網(wǎng)絡(luò )、云端、移動(dòng)及用戶(hù)端點(diǎn)部署最佳安全防護的重要性。”
Check Point Research (CPR) 指出,本月,教育/研究行業(yè)依然是全球首要攻擊目標,其次是政府/軍事部門(mén)和 ISP/MSP。“Apache Log4j 遠程代碼執行”仍是最常被利用的漏洞,全球 47.4% 的機構因此遭殃,其次是“Web Server Exposed Git 存儲庫信息泄露”,影響了全球 45% 的機構。“HTTP 標頭遠程代碼執行”在最常被利用的漏洞排行榜中位列第三,全球影響范圍為 42%。
頭號惡意軟件家族
本月,Emotet是最猖獗的惡意軟件,全球 6% 的企業(yè)與機構受到波及,緊隨其后的是 Trickbot 和 Formbook,分別影響了全球 4% 和 3% 的機構。
- Emotet - Emotet 是一種能夠自我傳播的高級模塊化木馬。Emotet 曾經(jīng)被用作銀行木馬,最近又被用作其他惡意軟件或惡意攻擊的傳播程序。它使用多種方法和規避技術(shù)來(lái)確保持久性和逃避檢測。此外,它還可以通過(guò)包含惡意附件或鏈接的網(wǎng)絡(luò )釣魚(yú)垃圾郵件進(jìn)行傳播。
- Trickbot- Trickbot 是一種模塊化僵尸網(wǎng)絡(luò )和銀行木馬,不斷添加新的功能、特性和傳播向量。這讓它成為一種靈活的可自定義的惡意軟件,廣泛用于多目的攻擊活動(dòng)。
- Formbook - Formbook 是一種信息竊取程序,可從各種 Web 瀏覽器中獲取憑證、收集截圖、監控和記錄擊鍵次數,并按照其 C&C 命令下載和執行文件。
最常被利用的漏洞
本月,“Apache Log4j 遠程代碼執行”仍是最常被利用的漏洞,全球 47.4% 的機構因此遭殃,其次是“Web Server Exposed Git 存儲庫信息泄露”,影響了全球 45% 的機構與企業(yè)。“HTTP 標頭遠程代碼執行”在最常被利用的漏洞排行榜中位列第三,全球影響范圍為 42%。
- Apache Log4j 遠程代碼執行 (CVE-2021-44228) - 一種存在于 Apache Log4j 中的遠程代碼執行漏洞。遠程攻擊者可利用這一漏洞在受影響系統上執行任意代碼。
- Web Server Exposed Git 存儲庫信息泄露- Git 存儲庫報告的一個(gè)信息泄露漏洞。攻擊者一旦成功利用該漏洞,便會(huì )使用戶(hù)在無(wú)意間造成帳戶(hù)信息泄露。
- HTTP 標頭遠程代碼執行 (CVE-2020-10826、CVE-2020-10827、CVE-2020-10828、CVE-2020-13756) - HTTP 標頭允許客戶(hù)端和服務(wù)器傳遞帶 HTTP 請求的其他信息。遠程攻擊者可能會(huì )使用存在漏洞的 HTTP 標頭在受感染機器上運行任意代碼。
主要移動(dòng)惡意軟件
本月,xHelper位列最猖獗的移動(dòng)惡意軟件榜首,其次是 AlienBot和 FluBot。
- xHelper - 自 2019 年3 月以來(lái)銷(xiāo)聲匿跡的惡意應用,用于下載其他惡意應用并顯示惡意廣告。該應用能夠對用戶(hù)隱身,并在卸載后進(jìn)行自我重新安裝。
- AlienBot - AlienBot 惡意軟件家族是一種針對 Android 設備的惡意軟件即服務(wù) (MaaS),它允許遠程攻擊者首先將惡意代碼注入合法的金融應用中。攻擊者能夠獲得對受害者帳戶(hù)的訪(fǎng)問(wèn)權限,并最終完全控制其設備。
- FluBot - FluBot 是一種通過(guò)網(wǎng)絡(luò )釣魚(yú)短消息傳播的 Android 僵尸網(wǎng)絡(luò )惡意軟件,通常冒充物流配送品牌。一旦用戶(hù)點(diǎn)擊消息中的鏈接,FluBot 就會(huì )快速安裝并訪(fǎng)問(wèn)手機上的所有敏感信息。
Check Point《全球威脅影響指數》及其《ThreatCloud 路線(xiàn)圖》基于 Check Point ThreatCloud 情報數據撰寫(xiě)而成。ThreatCloud 提供的實(shí)時(shí)威脅情報來(lái)自于部署在全球網(wǎng)絡(luò )、端點(diǎn)和移動(dòng)設備上的數億個(gè)傳感器。AI 引擎和 Check Point 軟件技術(shù)公司情報與研究部門(mén) Check Point Research 的獨家研究數據進(jìn)一步豐富了情報內容。
關(guān)于 Check Point Research
Check Point Research 能夠為 Check Point客戶(hù)以及整個(gè)情報界提供領(lǐng)先的網(wǎng)絡(luò )威脅情報。Check Point 研究團隊負責收集和分析 ThreatCloud 存儲的全球網(wǎng)絡(luò )攻擊數據,以便在防范黑客的同時(shí),確保所有 Check Point 產(chǎn)品都享有最新保護措施。此外,該團隊由 100 多名分析師和研究人員組成,能夠與其他安全廠(chǎng)商、執法機關(guān)及各個(gè)計算機安全應急響應組展開(kāi)合作。
