2022年2月份恶意软件之“十恶不赦”排行榜

俄乌战争引发了前所未有的网络大混战，2022 年 2 月CheckPoint给出的全球威胁指数显示，Emotet 仍然是最流行的恶意软件，影响了全球监测抽样 5% 的组织，而 Trickbot 则进一步下滑至第六位。

Trickbot是计算机恶意软件，是 Microsoft Windows 和其他操作系统的特洛伊木马，主要功能最初是窃取银行详细信息和其他凭证，但其运营商已扩展其功能以创建完整的模块化恶意软件生态系统。在 2021 年期间，七次出现在CheckPoint的恶意软件威胁排名列表的TOP 1。在过去的几周里，没有看到新的 Trickbot 活动，其在CheckPoint的排名第六。

二月末，俄乌战争爆发，包括匿名者、Conti等黑客组织各自选择自己效力的一方，开始站队引发互联网大混战。

根据CheckPoint的监测，本月教育/研究仍然是全球受攻击最多的行业，其次是政府/军事和互联网服务提供商 (ISP)/托管服务提供商 (MSP)。Web Server Exposed Git Repository Information Disclosure是最常被利用的漏洞，影响了全球监测抽样 46% 的组织，其次是Apache Log4j 远程代码执行，从第一位跌至第二位，影响了全球监测抽样44% 的组织。HTTP Headers Remote Code Execution是第三大漏洞，全球监测抽样影响率为 41%。

2022年2月“十恶不赦”

*箭头表示与上个月相比的排名变化。

本月，Emotet仍然是最流行的恶意软件，影响了全球监测抽样 5% 的组织，紧随其后的是Formbook，影响了监测抽样 3% 的组织，Glupteba影响了全球监测抽样 2%。

1.↔ Emotet – Emotet 是一种先进的、自我传播的模块化木马。

Emotet 曾经被用作银行木马，最近被用作其他恶意软件或恶意活动的分发者。

它使用多种方法来维护持久性和规避技术以避免检测。

此外，它还可以通过包含恶意附件或链接的网络钓鱼垃圾邮件进行传播。

2.↑ Formbook – Formbook 是一个信息窃取器，它从各种 Web 浏览器收集凭据、收集屏幕截图、监控和记录击键，并可以根据其 C&C 命令下载和执行文件。

3.↑ Glupteba – Glupteba 是一个后门，逐渐成熟为僵尸网络。

到 2019 年，它包括一个通过公共比特币列表的 C&C 地址更新机制、一个完整的浏览器窃取功能和一个路由器漏洞利用程序。

4.↔ Agent Tesla – Agent Tesla 是一种高级 RAT，可用作键盘记录器和信息窃取程序，能够监控和收集受害者的键盘输入、系统键盘、截屏以及将凭据泄露到安装在受害者机器上的各种软件(包括 Google Chrome、Mozilla Firefox 和 Microsoft Outlook 电子邮件客户端)。

5.↔ XMRig – XMRig 是一款开源 CPU 挖掘软件，用于门罗币加密货币的挖掘过程，于 2017 年 5 月首次出现。

6.↓ Trickbot – Trickbot 是一个模块化的僵尸网络和银行木马，不断更新新的功能、特性和分发向量。

这使 Trickbot 成为一种灵活且可定制的恶意软件，可以作为多用途活动的一部分进行分发。

7.↑ Ramnit -Ramnit 是一种银行木马，可窃取银行凭证、FTP 密码、会话 cookie 和个人数据。

8.↑ SnakeKeylogger – Snake 是一个模块化的 .NET 键盘记录器和凭据窃取程序，于 2020 年 11 月下旬首次被发现。

其主要功能是记录用户的击键并将收集到的数据传输给威胁参与者。

Snake 感染对用户的隐私和在线安全构成重大威胁，因为该恶意软件可以窃取几乎所有类型的敏感信息，而且它是一种特别隐蔽和持久的键盘记录器。

9.↑ Phorpiex – Phorpiex 是一个僵尸网络(又名 Trik)，自 2010 年以来一直存在，并在其鼎盛时期控制了超过一百万个受感染的主机。

它以通过垃圾邮件活动分发其他恶意软件系列以及助长大规模垃圾邮件和性勒索活动而闻名。

10.↑ Tofsee – Tofsee 是一个针对 Windows 平台的 Trickler。

此恶意软件尝试在目标系统上下载并执行其他恶意文件。

它可能会下载图像文件并将其显示给用户，以隐藏其真实目的。

全球受攻击最多的行业

本月教育/研究是全球受攻击最多的行业，其次是政府/军事和ISP/MSP。

• 教育/研究
• 政府/军队
• ISP/MSP

2月份漏洞Top10

本月 Web Server Exposed Git Repository Information Disclosure 是最常被利用的漏洞，影响了全球监测抽样 46% 的组织，其次是 Apache Log4j 远程代码执行，它从第一位跌至第二位，影响了全球监测抽样 44% 的组织。 HTTP Headers Remote Code Execution 是第三大漏洞，全球监测抽样影响率为 41%。

1.↑ Web Server Exposed Git Repository Information Disclosure – Git Repository 中报告了一个信息泄露漏洞。成功利用此漏洞可能会无意中泄露账户信息。

2.↓ Apache Log4j 远程代码执行 (CVE-2021-44228) – Apache Log4j 中存在远程代码执行漏洞。成功利用此漏洞可能允许远程攻击者在受影响的系统上执行任意代码。

3.↔ HTTP 标头远程代码执行(CVE-2020-10826、CVE-2020-10827、CVE-2020-10828、CVE-2020-13756) ——HTTP 标头允许客户端和服务器通过 HTTP 请求传递附加信息。远程攻击者可能使用易受攻击的 HTTP 标头在受害者机器上运行任意代码。

4.↑ MVPower DVR 远程代码执行– MVPower DVR 设备中存在远程代码执行漏洞。远程攻击者可以利用此弱点通过精心设计的请求在受影响的路由器中执行任意代码。

5.↓ Web 服务器恶意 URL 目录遍历 (CVE-2010-4598,CVE-2011-2474,CVE-2014-0130,CVE-2014-0780,CVE-2015-0666,CVE-2015-4068,CVE-2015-7254, CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-2020-8260) – 那里在不同的 Web 服务器上存在目录遍历漏洞。该漏洞是由于 Web 服务器中的输入验证错误未正确清理目录遍历模式的 URI。成功利用允许未经身份验证的远程攻击者泄露或访问易受攻击的服务器上的任意文件。

6.↑ PHP Easter Egg Information Disclosure – PHP 页面中报告了一个信息泄露漏洞。该漏洞是由于 Web 服务器配置不正确造成的。远程攻击者可以通过向受影响的 PHP 页面发送特制URL来利用此漏洞。

7.↓ D-LINK 多产品远程代码执行 (CVE-2015-2051) – 多个 D-Link 产品中报告了远程代码执行漏洞。成功利用可能导致在易受攻击的设备上执行任意代码。

8.↔ Dasan GPON 路由器身份验证绕过 (CVE-2018-10561) – Dasan GPON 路由器中存在身份验证绕过漏洞。成功利用此漏洞将允许远程攻击者获取敏感信息并未经授权访问受影响的系统。

9.↑ Dasan GPON 路由器远程命令注入 (CVE-2018-10562) – Dasan GPON 路由器中存在远程命令执行漏洞。远程攻击者可以通过向受害者发送恶意请求来利用此漏洞。成功利用此漏洞可能导致在目标用户的上下文中执行任意代码。

10.↑ PHPUnit 命令注入 (CVE-2017-9841) – PHPUnit 中存在命令注入漏洞。成功利用此漏洞将允许远程攻击者在受影响的系统中执行任意命令。

顶级移动恶意软件

本月XLoader是最流行的移动恶意软件，其次是xHelper和AlienBot。

1.XLoader – XLoader 是由中国黑客组织延边帮开发的安卓间谍软件和银行木马。该恶意软件使用 DNS 欺骗来分发受感染的 Android 应用程序以收集个人和财务信息。

2.xHelper – 自 2019 年 3 月以来在野外出现的恶意应用程序，用于下载其他恶意应用程序和显示广告。该应用程序可以对用户隐藏自己，并在被卸载时重新安装。

3.AlienBot – AlienBot 恶意软件系列是针对 Android 设备的恶意软件即服务 (MaaS)，它允许远程攻击者首先将恶意代码注入合法的金融应用程序，然后允许攻击者访问受害者的账户，并最终完全控制他们的设备。