2022年3月份恶意软件之“十恶不赦”排行榜

今年4月份，对于微软来说漏洞修复完成量还是蛮高的，又一次破百了。微软4月份的Patch Tuesday更新解决了其软件产品组合中的总共 128 个安全漏洞，包括 Windows、Defender、Office、ExchangeServer、Visual Studio 和 PrintSpooler 等。

4 月份，Adobe 发布了四次更新，解决了Acrobat 和 Reader、Photoshop、After Effects 和 Adobe Commerce 中的 70 个 CVE。Acrobat 和 Reader的更新是迄今为止最大的一次，解决了 62 个 CVE。

根据CheckPoint相关信息，Emotet继续作为恶意软件占据统治地位，影响了全球10%的组织，是2月份的两倍，Emotet一直在巩固其作为霸主地位，这种情况进一步巩固加深，因为许多激进的电子邮件活动一直在传播僵尸网络。这些电子邮件被发送给世界各地的受害者，其中一个使用主题“buonapasqua，复活节快乐”的示例，但电子邮件中附加的是用于传递Emotet 的恶意 XLS 文件。

本月，作为键盘记录器和信息窃取程序的高级远程访问木马(RAT) Agent Tesla是第二大恶意软件，在上个月排名第四，其崛起是由于几个新的恶意垃圾邮件活动通过全球恶意 xlsx/pdf 文件传递 RAT。其中不乏一些活动利用俄罗斯/乌克兰战争来引诱受害者。

近年来，技术已经发展到这样一个地步，网络犯罪分子越来越不得不依靠人类的信任才能进入公司网络。本月，各安全机构监测到 Apache Log4j 再次成为最常被利用的漏洞。即使在去年年底谈论过这个漏洞之后，在最初发现数月后，仍然会造成伤害。组织需要立即采取行动以防止攻击发生。

4月份还透露，教育/研究仍然是全球受攻击最多的行业，其次是政府/军事和互联网服务提供商/托管服务提供商(ISP/MSP)。Web Server Exposed Git Repository InformationDisclosure现在是第二大最常利用的漏洞，影响全球抽样 26% 的组织，而Apache Log4j 远程代码执行位居榜首，影响了全球监测抽样33% 的组织。HTTP Headers RemoteCode Execution (CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-13756)以 26% 的全球监测抽样，位居第三。

2022年3月“十恶不赦”

*箭头表示与上个月相比排名的变化。

本月，Emotet仍然是榜首的恶意软件，对全球监测抽样 10% 的组织产生影响，其次是 Agent Tesla 和 XMRig，各有 2% 的全球监测抽样组织受到影响。

1.↔ Emotet – Emotet是一种先进的、自我传播的模块化木马。Emotet 曾经被用作银行木马，最近被用作其他恶意软件或恶意活动的分发者，使用多种方法来维护持久性和规避技术以避免检测。此外，还可以通过包含恶意附件或链接的网络钓鱼垃圾邮件进行传播。

2.↑ Agent Tesla – Agent Tesla 是一种高级RAT，可用作键盘记录器和信息窃取器，能够监控和收集受害者的键盘输入、系统键盘、截屏以及将凭据泄露到安装在受害者机器上的各种软件(包括 Google Chrome、Mozilla Firefox 和 Microsoft Outlook 电子邮件客户端)。

3.↑ XMRig– XMRig 是一款开源CPU 挖掘软件，用于门罗币加密货币的挖掘过程，于 2017 年 5 月首次出现。

4.↓ Glupteba –Glupteba 是一个后门，逐渐成熟为僵尸网络。到 2019 年，包括一个通过公共比特币列表的 C&C 地址更新机制、一个完整的浏览器窃取功能和一个路由器漏洞利用程序。

5.↑ Ramnit – Ramnit 是一种银行木马，可窃取银行凭证、FTP 密码、会话 cookie 和个人数据。

6.↑ Mirai – Mirai 僵尸网络于2016 年 9 月首次浮出水面，是一种臭名昭著的物联网(IoT) 恶意软件，跟踪易受攻击的物联网设备，例如网络摄像头、调制解调器和路由器，并将它们变成机器人。僵尸网络被其运营商用来进行大规模的分布式拒绝服务(DDoS) 攻击。

7.↑ Phorpiex – Phorpiex 是一个僵尸网络(又名 Trik)，自 2010 年以来一直存在，并在其鼎盛时期控制了超过一百万个受感染的主机，以通过垃圾邮件活动分发其他恶意软件系列以及助长大规模垃圾邮件和性勒索活动而闻名。

8.↑ Remcos – Remcos 是 2016 年首次出现在野外的 RAT。Remcos 通过附加到垃圾邮件的恶意 Microsoft Office 文档进行传播，旨在绕过 MicrosoftWindows UAC 安全并以高级权限执行恶意软件。

9.↑ Tofsee – Tofsee 是一个针对Windows 平台的 Trickler。此恶意软件尝试在目标系统上下载并执行其他恶意文件，可能会下载图像文件并将其显示给用户，以隐藏其真实目的。

10. ↑ Nanocore- Nanocore 是一种 RAT，于 2013 年首次在野外观察到，并针对 Windows 操作系统用户。所有版本的 RAT 都具有基本插件和功能，例如屏幕捕获、加密货币挖掘、桌面远程控制和网络摄像头会话盗窃。

全球受攻击最多的行业

本月，教育/研究是全球受攻击最多的行业，其次是政府/军事和ISP/MSP。

1.教育/研究

2.政府/军队

3.ISP/MSP

3月份漏洞Top10

本月ApacheLog4j 远程代码执行是最常被利用的漏洞，影响了全球监测抽样 33% 的组织，其次是Web 服务器暴露的 Git 存储库信息泄露，从第一位跌至第二位，影响了全球监测抽样 26% 的组织。HTTP Headers Remote Code Execution在被利用最多的漏洞列表中仍然位列第三，全球监测抽样影响率为 26%。

1.↑ Apache Log4j 远程代码执行(CVE-2021-44228) – Apache Log4j 中存在远程代码执行漏洞，成功利用此漏洞可能允许远程攻击者在受影响的系统上执行任意代码。

2.↓ Web Server Exposed Git RepositoryInformation Disclosure – Git Repository 中报告一个信息泄露漏洞，成功利用此漏洞可能会无意中泄露账户信息。

3.↔ HTTP 标头远程代码执行(CVE-2020-10826、CVE-2020-10827、CVE-2020-10828、CVE-2020-13756) ——HTTP 标头允许客户端和服务器通过 HTTP 请求传递附加信息，远程攻击者可能使用易受攻击的 HTTP 标头在受害机器上运行任意代码。

4.↑ Web 服务器恶意URL 目录遍历(CVE-2010-4598,CVE-2011-2474,CVE-2014-0130,CVE-2014-0780,CVE-2015-0666,CVE-2015-4068,CVE-2015-7254,CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-2020-8260) –那里在不同的 Web 服务器上存在目录遍历漏洞。该漏洞是由于 Web 服务器中的输入验证错误未正确清理目录遍历模式的 URI，成功利用允许未经身份验证的远程攻击者泄露或访问易受攻击的服务器上的任意文件。

5.↓ MVPower DVR 远程代码执行– MVPower DVR 设备中存在远程代码执行漏洞，远程攻击者可以利用此弱点通过精心制作的请求在受影响的路由器中执行任意代码。

6.↑ D-LINK 多产品远程代码执行 (CVE-2015-2051) – 多个D-Link 产品中报告了远程代码执行漏洞。成功利用可能导致在易受攻击的设备上执行任意代码。

7.↓ PHP Easter Egg Information Disclosure – PHP 页面中报告了一个信息泄露漏洞，是由于 Web 服务器配置不正确造成的，远程攻击者可以通过向受影响的 PHP 页面发送特制URL来利用此漏洞。

8.↔ Dasan GPON 路由器身份验证绕过 (CVE-2018-10561) – Dasan GPON 路由器中存在身份验证绕过漏洞。成功利用此漏洞将允许远程攻击者获取敏感信息并未经授权访问受影响的系统。

9.↑ Linux 系统文件信息泄露(CVE-2018-3948、CVE-2018-3948、CVE-2022-23119) ——Linux 操作系统包含带有敏感信息的系统文件。如果配置不正确，远程攻击者可以查看此类文件的信息。

10. ↔ PHPUnit 命令注入(CVE-2017-9841) – PHPUnit 中存在命令注入漏洞。成功利用此漏洞将允许远程攻击者在受影响的系统中执行任意命令。

顶级移动恶意软件

本月AlienBot是最流行的移动恶意软件，其次是xHelper和FluBot。

1.AlienBot – AlienBot 恶意软件系列是用于 Android 设备的恶意软件即服务 (MaaS)，允许远程攻击者首先将恶意代码注入合法的金融应用程序。攻击者获得对受害者账户的访问权限，并最终完全控制他们的设备。

2.xHelper – 自 2019 年3 月以来在野外出现的恶意应用程序，用于下载其他恶意应用程序和显示广告，能够对用户隐藏自身并在卸载时重新安装。

3.FluBot – FluBot 是一种通过网络钓鱼短信 ( Smishing ) 分发的 Android 恶意软件，最常冒充物流配送品牌。一旦用户单击消息中的链接，就会被重定向到下载包含 FluBot 的虚假应用程序。安装后，恶意软件具有多种功能来获取凭据并支持 Smishing 操作本身，包括上传联系人列表以及向其他电话号码发送 SMS 消息。