Check Point:2018年10月十大惡意軟體

Check Point近期發布了最新的全球安全威脅指數，該指數顯示了近期的惡意軟體、移動端惡意軟體以及漏洞方面的變化趨勢，可作為一定的參考。

本次調查統計中，Check Point威脅情報研究人員發現，RAT（遠程木馬訪問）類的攻擊形式頭一次出現在了全球威脅指數的前十名。有一種被稱作「FlawedAmmyy」作為惡意軟體新秀出現在榜，攻擊者可通過這種類型的攻擊入侵受害者機器並完全獲得控制權——包括訪問攝像頭、麥克風，抓取屏幕，竊取文件以及監控用戶等行為。

過去的幾個月裡，Check Point研究人員發現了多次零零散散的FlawedAmmy活動蹤跡，但到了10月，卻發現了其活動頻率、規模大幅增加，本次激增也直接導致了這種攻擊進入了全球威脅指數前十名。

在所有的排行中，挖礦類的惡意軟體仍然是個中頭牌，Coinhive仍然是目前使用範圍最廣、數量最多的惡意軟體，在全球範圍佔據了約18%的比例，而Cryptoloot也已上升至第二名，佔比約8%。雖然密碼管理器的仍然是主要威脅，但目前的調查顯示，用戶的敏感數據、銀行和支付信息等各類數據仍舊對網絡犯罪有巨大的吸引力。

（排名顯示與上個月的區別）

↔ Coinhive：眾所周知的挖礦平臺Cryptominer的產物，該軟體用於在用戶訪問相應網頁時執行挖礦程序，對門羅幣進行在線挖掘，整個過程用戶可能完全不知道，只會感覺到在使用電腦的過程中變得莫名卡頓。並且，為了實現挖礦而植入的JS語句，也可能會因為佔用大量系統資源而導致用戶系統崩潰。

↑ Cryptoloot：較上月有所提升，已成為排行第二的惡意軟體。該軟體使用目標的CPU或GPU對其資源進行加密，將其添加至區塊鏈以用來發布新的加密貨幣。Cryptoloot使用者試圖通過網站獲得較小比例的貨幣和收益來提升其使用率，可以說是Coinhive的競爭對手。

↓ Dorkbot：基於蠕蟲病毒的惡意程序，作用是可以允許操作者實現遠程執行代碼、以及在受感染的系統中下載其他惡意程序。

↑ Roughted：大規模惡意廣告活動，可用於提供各類惡意網站和能夠帶來有效負載（如詐騙、廣告、漏洞利用工具和勒索程序）的軟體。該軟體可用於任何類型的平臺和作業系統，並且可繞過已知的所有廣告攔截工具。

↓ Andromeda：一種模塊化機器人軟體，主要用於後門使用，能夠在受感染的主機上設置額外的惡意軟體，從而創建不同類型的殭屍網絡。

↓ Jsecoin：可以嵌入網站的JS挖礦程序，可以直接通過瀏覽器進行挖礦操作。

↑ XMRig：一個開源的CPU挖掘軟體，同樣用於門羅幣的挖掘，2017年5月首次出現，到現在已成為主流工具之一。

↓ Ramnit：臭名昭著的銀行木馬程序，可用於竊取銀行憑據，FTP密碼，會話cookie以及個人數據等。

↔ Conficker：一種允許遠程操作，可自行下載惡意軟體的蠕蟲，受其感染的計算機會被殭屍網絡所控制。

↑ FlawedAmmyy：遠程訪問木馬（RAT），據稱是由「Ammyy Admin」遠程管理軟體所洩露的原始碼開發而來。目前被大量用於針對電子郵件以及大規模垃圾郵件的活動中，具備常見的後門功能，攻擊者可通過該軟體遠程控制受害者機器，捕捉屏幕，管理文件等。

Triada是一種Android系統的模塊化後門軟體，目前在移動端的惡意軟體列表中取代了Android銀行木馬、信息竊取軟體Lokibot暫排第一，前者已跌至第二位。而Hiddad本月也重返移動惡意軟體榜單，排行第三。

Triada：Android模塊化後門，可為系統中下載的惡意軟體授予root權限，幫助其嵌入到系統進程中。Lokibot：Android系統的銀行木馬和信息竊取程序。除此之外，該軟體還能用作勒索，並且能夠鎖定用戶手機，防止其管理員權限被刪除。Hiddad：一種能夠打包合法應用程式並將其發布到第三方應用商店的惡意軟體。其主要功能是顯示廣告，但是也能夠訪問作業系統中的關鍵位置，攻擊者可通過其獲得用戶的敏感數據。

除了這些，Check Point的研究人員還對當前利用率最高的幾個漏洞進行了統計。其中，CVE-2017-7296再次成為了最受「歡迎」的漏洞，在全球範圍內能夠對48%的組織機構造成影響。其次是OpenSSL造成的心臟出血漏洞，在全球範圍內佔比約46%，隨後則是Web伺服器中的PHPMyAdmin配置錯誤造成的代碼注入漏洞，影響範圍約42%。

↔ MicrosoftIIS WebDAV ScStoragePathFromUrl緩衝區溢出漏洞（CVE-2017-7296）：通過Microsoft Internet Information Services 6.0通過網絡向Microsoft Windows Server 2003發送設置好的用戶請求，可使遠程攻擊者執行任意代碼或造成系統的拒絕服務情況出現。該漏洞主要是利用了HTTP請求中對長報頭信息的不正確驗證導致的緩衝區溢出漏洞。

↑ OpenSSL TLS DTLS Hartbeat Information Disclosure（CVE-2014-0160，CVE-2014-0346）：由於在處理TLS/DTLS傳輸數據時出錯，可導致OpenSSL中存儲的信息洩露，攻擊者可通過該漏洞直接連接客戶端或伺服器中並獲取其中的數據。

↑ Web servers PHPMyAdmin Misconfiguration Code Injection：PHPMyAdmin中的代碼注入漏洞。該漏洞是因PHPMyAdmin配置錯誤所造成，遠程攻擊者可通過漏洞向目標發送特殊的HTTP請求以入侵用戶系統。

下圖顯示了當前的全球風險指數（綠色-低風險，紅色-高風險，灰色-數據不足）

| 來源：checkpoint

| 編譯：FreeBuf.COM