2023年9月份恶意软件之“十恶不赦”排行榜

以色列与哈马斯战争正在如火如荼的进行，虽然我们对以色列的行径感到不耻，但是以色列之所以能够或者敢于如此残暴，很大程度上是以色列较周边阿拉伯国家在科技方面的优势，战争武器上的优势。从Checkpoint最新的 2023 年 9 月全球威胁指数中，研究人员报告了一项针对哥伦比亚企业的新型隐形网络钓鱼活动，旨在谨慎地传播Remcos 远程访问木马 (RAT)。与此同时，继 Qbot 崩溃后，Formbook 成为最流行的恶意软件，而教育行业仍然是最受攻击的行业。9 月，其发现了一次重大网络钓鱼活动，该活动针对哥伦比亚多个行业的 40 多家知名公司。其目的是在受害者的计算机上秘密安装Remcos RAT 。Remcos 是 9 月份第二大流行的恶意软件，是一种复杂的“瑞士军刀”RAT，可以完全控制受感染的计算机，并可用于各种攻击。Remcos 感染的常见后果包括数据盗窃、后续感染和账户接管。

上个月，FBI 在 8 月份控制了僵尸网络后，Qbot 也完全从恶意软件排行榜上跌落。标志着作为最流行恶意软件的长期统治的结束，该恶意软件在 2023 年的大部分时间里都位居榜首。

另外，Web 服务器恶意 URL 目录遍历是上个月最常被利用的漏洞，影响了全球 47% 的组织，其次是HTTP 命令注入（42%）和Zyxel ZyWALL 命令注入（39%）。

2023年9月“十恶不赦”

*箭头表示与上个月相比的排名变化。

Formbook是上个月最流行的恶意软件，对全球组织的影响达3%，其次是Remcos，对全球影响达2%，而Emotet对全球影响达2%。

↑ Formbook – Formbook 是一种针对 Windows 操作系统的信息窃取程序，于 2016 年首次被发现。它因其强大的规避技术和相对较低的价格而在地下黑客论坛中以恶意软件即服务 (MaaS) 的形式进行销售。Formbook 从各种 Web 浏览器获取凭据、收集屏幕截图、监视和记录击键，并可以根据其 C&C 的命令下载和执行文件。

^ Remcos – Remcos 是一种远程访问木马 (RAT)，于 2016 年首次出现。Remcos 通过附加到垃圾邮件的恶意 Microsoft Office 文档进行传播，旨在绕过 Microsoft Windows UAC 安全性并通过以下方式执行恶意软件：高级特权。

↑ Emotet – Emotet 是一种先进的、自我传播的模块化木马。Emotet 曾经被用作银行木马，最近被用作其他恶意软件或恶意活动的传播者。它使用多种方法来维持持久性和逃避技术来避免检测。此外，它还可以通过包含恶意附件或链接的网络钓鱼垃圾邮件进行传播。

↔ Nanocore – NanoCore 是一种针对 Windows 操作系统用户的远程访问木马，于 2013 年首次在野外观察到。所有版本的 RAT 都包含基本插件和功能，例如屏幕捕获、加密货币挖掘、远程控制桌面和网络摄像头会话盗窃。

↑ CloudEye – CloudEye（又名 Guloader）是一款针对 Windows 平台的下载器，用于在受害者计算机上下载并安装恶意程序。

↓ NJRat – NJRat 是一种远程访问木马，主要针对中东的政府机构和组织。该木马于 2012 年首次出现，具有多种功能：捕获击键、访问受害者的摄像头、窃取浏览器中存储的凭据、上传和下载文件、执行进程和文件操作以及查看受害者的桌面。NJRat 通过网络钓鱼攻击和偷渡式下载感染受害者，并在命令与控制服务器软件的支持下通过受感染的 USB 密钥或网络驱动器进行传播。

↑ AgentTesla – AgentTesla 是一种高级 RAT，充当键盘记录程序和信息窃取程序，能够监控和收集受害者的键盘输入、系统键盘、截取屏幕截图以及窃取受害者计算机上安装的各种软件的凭据（包括 Google Chrome、Mozilla Firefox 和 Microsoft Outlook 电子邮件客户端）。

^ Mirai – Mirai 是一种臭名昭著的物联网 (IoT) 恶意软件，它会跟踪易受攻击的物联网设备，例如网络摄像头、调制解调器和路由器，并将其转变为机器人。该僵尸网络被其运营商用来进行大规模分布式拒绝服务 (DDoS) 攻击。Mirai 僵尸网络于 2016 年 9 月首次出现，并因一些大规模攻击而迅速成为头条新闻，其中包括用于使利比里亚整个国家瘫痪的大规模 DDoS 攻击，以及针对互联网基础设施公司 Dyn 的 DDoS 攻击，该公司提供了很大一部分美国互联网基础设施。

^ Phorpiex – Phorpiex 是一个僵尸网络（又名 Trik），自 2010 年以来一直活跃，在高峰时期控制了超过一百万台受感染的主机。它以通过垃圾邮件活动分发其他恶意软件系列以及助长大规模垃圾邮件和性勒索活动而闻名。

↑ AsyncRat – Asyncrat 是一种针对 Windows 平台的木马。该恶意软件将有关目标系统的系统信息发送到远程服务器。它从服务器接收命令来下载并执行插件、终止进程、卸载/更新自身以及捕获受感染系统的屏幕截图。

全球受攻击最多的行业

上个月，教育/研究在全球受攻击最严重的行业中仍然位居榜首，其次是通信和政府/军事。

教育/研究
通讯
政府/军队

最常被利用的漏洞

上个月，“Web 服务器恶意 URL 目录遍历”是最容易被利用的漏洞，影响了全球47%的组织，其次是“HTTP 命令注入”（ 42 %）和“Zyxel ZyWALL 命令注入”（ 39 %）。

↑ Web 服务器恶意 URL 目录遍历（CVE-2010-4598、CVE-2011-2474、CVE-2014-0130、CVE-2014-0780、CVE-2015-0666、CVE-2015-4068、CVE-2015-7254、 CVE-2016-4523、CVE-2016-8530、CVE-2017-11512、CVE-2018-3948、CVE-2018-3949、CVE-2019-18952、CVE-2020-5410、CVE-2020-8260) –有是不同Web服务器上的目录遍历漏洞。该漏洞是由于 Web 服务器中的输入验证错误导致的，该错误未正确清理目录遍历模式的 URI。成功利用此漏洞允许未经身份验证的远程攻击者披露或访问易受攻击的服务器上的任意文件。
↔ HTTP 命令注入（CVE-2021-43936、CVE-2022-24086） – 已报告 HTTP 命令注入漏洞。远程攻击者可以通过向受害者发送特制请求来利用此问题。成功利用该漏洞将允许攻击者在目标计算机上执行任意代码。
↑ Zyxel ZyWALL 命令注入 (CVE-2023-28771) – Zyxel ZyWALL 中存在命令注入漏洞。成功利用此漏洞将允许远程攻击者在受影响的系统中执行任意操作系统命令。
↑ WordPress portable-phpMyAdmin 插件身份验证绕过 (CVE-2012-5469) – WordPress portable-phpMyAdmin 插件中存在身份验证绕过漏洞。成功利用此漏洞将允许远程攻击者获取敏感信息并对受影响的系统进行未经授权的访问。
↓ MVPower CCTV DVR 远程执行代码 (CVE-2016-20016) – MVPower CCTV DVR 中存在远程执行代码漏洞。成功利用此漏洞可能允许远程攻击者在受影响的系统上执行任意代码。
↓ PHP 彩蛋信息泄露 (CVE-2015-2051) – PHP 页面中报告了一个信息泄露漏洞。该漏洞是由于不正确的 Web 服务器配置造成的。远程攻击者可以通过向受影响的 PHP 页面发送特制 URL 来利用此漏洞。
↓ Dasan GPON 路由器身份验证绕过 (CVE-2018-10561) – Dasan GPON 路由器中存在身份验证绕过漏洞。成功利用此漏洞将允许远程攻击者获取敏感信息并对受影响的系统进行未经授权的访问。
↓ PHPUnit 命令注入 (CVE-2017-9841) – PHPUnit 中存在命令注入漏洞。成功利用此漏洞将允许远程攻击者在受影响的系统中执行任意命令。
^ OpenSSL TLS DTLS Heartbeat 信息泄露（CVE-2014-0160、CVE-2014-0346） – OpenSSL TLS DTLS Heartbeat 信息泄露 OpenSSL 中存在一个信息泄露漏洞。该漏洞又名 Heartbleed，是由于处理 TLS/DTLS 心跳数据包时出现错误造成的。攻击者可以利用此漏洞泄露所连接的客户端或服务器的内存内容。
↑ Muieblackcat PHP Scanner – Muieblackcat 是一款漏洞扫描产品。远程攻击者可以使用 Muieblackcat 来检测目标服务器上的漏洞。