陸英

2019年1月，國(guó)外安全研究人員發(fā)現(xiàn)了一項(xiàng)利用Linux服務(wù)器發(fā)布后門(mén)特洛伊木馬的新活動(dòng)，稱為SpeakUp。SpeakUp能夠提供任何有效負(fù)載并在受感染的計(jì)算機(jī)上執(zhí)行，并逃避所有安全供應(yīng)商的防病毒軟件的檢測(cè)。SpeakUp目前提供XMRigMiner，到目前為止，它主要是針對(duì)東亞和拉丁美洲的服務(wù)器進(jìn)行攻擊，同時(shí)包括一些AWS托管服務(wù)器。

像SpeakUp這樣的威脅是對(duì)網(wǎng)絡(luò)信息安全的嚴(yán)峻警告，因?yàn)樗鼈兛梢蕴颖軝z測(cè)，然后向受感染的機(jī)器分發(fā)更多可能更危險(xiǎn)的惡意軟件。由于Linux廣泛用于企業(yè)服務(wù)器，因此SpeakUp有可能會(huì)成為全年規(guī)模和嚴(yán)重程度同時(shí)增長(zhǎng)的威脅。2019年1月份Cryptominers仍然很普遍，再次占據(jù)前4個(gè)位置，Coinhive依然保持其位列榜首。破壞性的多用途惡意軟件形式也仍然普遍存在，前十名中的惡意軟件形式中有一半能夠?qū)⒏鄲阂廛浖螺d到受感染的計(jì)算機(jī)并分發(fā)各種惡意軟件。另外，加密勒索病毒Gandcrab擠進(jìn)第九名，同時(shí)該病毒在我國(guó)各地都有出現(xiàn)，還請(qǐng)大家對(duì)此做好防范。

2019年1月“十惡不赦”：

1. Coinhive - Cryptominer———用于在用戶訪問(wèn)網(wǎng)頁(yè)時(shí)執(zhí)行Monero加密貨幣的在線挖掘，在用戶不知情的情況下通過(guò)挖掘門(mén)羅幣獲得收入，植入的JavaScript使用用戶機(jī)器的大量算力來(lái)挖掘加密貨幣，并可能致使系統(tǒng)崩潰。

2. XMRig———是一種開(kāi)源的、利用CPU進(jìn)行挖掘的惡意軟件，用于挖掘Monero加密貨幣，于2017年5月首次被發(fā)現(xiàn)。

3. Cryptoloot - Cryptominer———使用受害者的CPU或GPU電源和現(xiàn)有的資源開(kāi)采加密的區(qū)塊鏈和發(fā)掘新的加密貨幣，是Coinhive的有力競(jìng)爭(zhēng)對(duì)手，本月較上月上升1個(gè)名次，獲得的第三名地位。

4. Jsecoin———可以嵌入網(wǎng)站的JavaScript礦工。JSEcoin，可以直接在瀏覽器中運(yùn)行礦工，以換取無(wú)廣告體驗(yàn)、游戲內(nèi)貨幣和其他獎(jiǎng)勵(lì)。較上個(gè)月下降一個(gè)名次，獲得第四名的地位。

5. Emotet———自我傳播和高級(jí)模塊化的木馬。Emotet曾經(jīng)被用作銀行木馬，最近被用作其他惡意軟件或惡意廣告的分銷(xiāo)商。它使用多種方法來(lái)維護(hù)持久性和規(guī)避技術(shù)以避免檢測(cè)。此外，它還可以通過(guò)包含惡意附件或鏈接的網(wǎng)絡(luò)釣魚(yú)垃圾郵件進(jìn)行傳播。

6. Nivdort———多用途機(jī)器人，也稱為Bayrob，用于收集密碼，修改系統(tǒng)設(shè)置和下載其他惡意軟件。它通常通過(guò)垃圾郵件傳播，其中收件人地址是二進(jìn)制文件編碼，從而使每個(gè)文件都具有唯一性。

7. Dorkbot -IRC———是一種基于IRC設(shè)計(jì)的蠕蟲(chóng)，可以用操作員執(zhí)行遠(yuǎn)程代碼以及下載其他惡意軟件到被感染的機(jī)器。這個(gè)銀行木馬，其主要?jiǎng)訖C(jī)是竊取敏感信息并可以發(fā)起拒絕服務(wù)攻擊，本月影響程度與上月同為第七名。

8. Lokibot———是一個(gè)主要由網(wǎng)絡(luò)釣魚(yú)電子郵件分發(fā)的竊取信息，用于竊取各種數(shù)據(jù)，如電子郵件憑證，CryptoCoin錢(qián)包和FTP服務(wù)器的密碼等。

9. Gandcrab———是通過(guò)RIG和GrandSoft Exploit Kits分發(fā)的勒索軟件以及垃圾郵件。勒索軟件是在一個(gè)附屬計(jì)劃中運(yùn)作的，加入該程序的人支付了GandCrab作者30 % ～ 40 %的贖金收入。作為回報(bào)，聯(lián)盟會(huì)員可以獲得功能齊全的網(wǎng)絡(luò)面板和技術(shù)支持。該加密病毒，春節(jié)前在我國(guó)多地被發(fā)現(xiàn)，醫(yī)療行業(yè)許多單位中招，還請(qǐng)大家重視該病毒的傳播趨勢(shì)。

10. Ramnit———是一款能夠竊取銀行憑據(jù)、FTP密碼、會(huì)話cookie和個(gè)人數(shù)據(jù)的銀行特洛伊木馬。

Hiddad是Android的模塊化后門(mén)，取得特權(quán)后為下載的惡意軟件提供突破口，已經(jīng)取代Triada第一的位置，成為頂級(jí)移動(dòng)惡意軟件列表中的第一名。Lotoor緊隨其后，位居第二位，而Triada排名第三位。

1月份三大移動(dòng)惡意軟件：

1. Hiddad———Android的模塊化后門(mén)，是下載的惡意軟件授予超級(jí)用戶權(quán)限，有助于它嵌入到系統(tǒng)進(jìn)程中。

2. Lotoor———Hack工具利用Android操作系統(tǒng)上的漏洞獲取受感染移動(dòng)設(shè)備的root權(quán)限。

3. Triada———適用于Android的Modular Backdoor，為下載的惡意軟件授予超級(jí)用戶權(quán)限，幫助嵌入到系統(tǒng)進(jìn)程中。Triada也被視為欺騙瀏覽器中加載的URL。

另?yè)?jù)，國(guó)外安全研究人員分析的最受利用的網(wǎng)絡(luò)漏洞，CVE-2017-7269保持在第一位，全球影響力為47 %。緊隨其后的是Web Server Exposed Git Repository Information Disclosure排在第二位，OpenSSL TLS DTLS心跳信息披露排在第三位，分別影響了全球46%和45%的組織。

1月份三大漏洞：

1. MicrosoftIIS WebDAV ScStoragePathFromUrl緩沖區(qū)溢出———通過(guò)Microsoft Internet Information Services 6.0將精心設(shè)計(jì)的請(qǐng)求通過(guò)網(wǎng)絡(luò)發(fā)送到Microsoft Windows Server 2003 R2，遠(yuǎn)程攻擊者可以執(zhí)行任意代碼或?qū)е戮芙^服務(wù)條件在目標(biāo)服務(wù)器上。這主要是由于HTTP請(qǐng)求中對(duì)長(zhǎng)報(bào)頭的不正確驗(yàn)證導(dǎo)致的緩沖區(qū)溢出漏洞。

2. Web服務(wù)器暴露的Git存儲(chǔ)庫(kù)信息泄露———Git存儲(chǔ)庫(kù)中報(bào)告了一個(gè)信息泄露漏洞。成功利用此漏洞可能會(huì)無(wú)意中泄露帳戶信息。

3. OpenSSL TLS DTLS心跳信息泄露———OpenSSL中存在信息泄露漏洞。該漏洞是由于處理TLS / DTLS心跳包時(shí)出錯(cuò)。攻擊者可以利用此漏洞披露已連接客戶端或服務(wù)器的內(nèi)存內(nèi)容。

請(qǐng)核查自己的IT資產(chǎn)，是否在影響之列，充分采取必要的防護(hù)措施，保障信息系統(tǒng)的安全穩(wěn)定運(yùn)行，將風(fēng)險(xiǎn)降到力所能及的最小，為信息系統(tǒng)安全持續(xù)性運(yùn)行創(chuàng)造良好的安全氛圍與安全文化，使信息系統(tǒng)運(yùn)行能夠正常化、持續(xù)化和長(zhǎng)久化。