鲁达 微软已经四个月发布安全补丁超过一百个,我一直也说发布的安全补丁的数量,总有两面性。补丁多说明堵塞的漏洞就多,如果漏洞堵塞成功相对就安全,同样发布的补丁多,说明存在的漏洞多,那么也就存在安全隐患也多,如果漏洞得不到及时堵塞,那么风险隐患就大。加上最近日本本田在美工控系统,遭勒索病毒攻击使我们短期内对工控的安全又格外关注。随着等级保护2.0的不断实践,工控系统安全也摆在我们面前。我们时刻在提网络安全意识,也发现很多人网络安全意识很低。如在网上已经沸沸扬扬的郑州西亚斯学生信息泄露,发现信息保有者对学生的信息的保管,缺乏最基本的安全意识,致使大量学生个人信息外泄,作为网络安全从业者感觉到着实不应该。
另外据Imperva分析,编程语言Python(37%)和Go(28%)是黑客用来部署网络攻击的最主要编程语言。
Ursnif是目前活动最为频繁的银行木马,是Gozi-ISFB银行木马的一个变种版本,2014年其源代码泄露了之后,攻击者这些年来一直都在升级和更新Gozi的功能。而且在这个变种版本中,Ursnif经过混淆的PowerShell脚本来隐藏真正的Payload,还使用了隐写术来隐藏恶意代码并躲避AV检测。Ursnif银行木马针对WindowsPC,能够窃取用户的重要的财务信息、电子邮件凭据和其他敏感数据。通过恶意垃圾邮件活动进行分发Word或Excel恶意附件。
另外,据国外多个安全机构研究表明,相比3月和4月,5月的总体网络攻击增加了16%,我们看到厂家漏洞补丁在增加,网络攻击也在增加,而新冠肺炎也在增加,注定今年是一个不平静的年份,大家必须守望相助,共克时艰。
2020年5月“十恶不赦”
*箭头表示与上个月相比的排名变化。
本月,Dridex仍然霸占第一,影响全球组织抽样的4%,其次是Agent Tesla和XMRig分别影响全球组织抽样的3%。
1. ↔ Dridex – Dridex是针对Windows平台的银行木马,由垃圾邮件活动和漏洞利用工具包提供,依靠网页注入并将银行凭据重定向到攻击者控制的服务器。Dridex与远程服务器联系,发送有关受感染系统的信息,还可以下载并执行其他模块以进行远程控制,有近十年的活动历史。
2. ↑Agent Tesla – AgentTesla是一种高级RAT,可用作键盘记录器和密码窃取器。攻击者利用AgentTesla能够监控和收集受害者的键盘输入、系统剪贴板、截取屏幕,以及泄露属于受害者机器上安装的各种软件(包括Google Chrome,Mozilla Firefox和Microsoft Outlook电子邮件客户端)的凭据。
3. ↓XMRig– 是一种开源利用CPU进行挖掘恶意软件,用于挖掘Monero加密货币,并于2017年5月首次被发现,与上个月排名相比,下降一个名次。
4. ↑Formbook –FormBook是一个Info Stealer,可以从各种Web浏览器中获取凭据、收集屏幕截图、监视和记录键盘,并可以根据其C&C订单下载和执行文件。
5. ↑Ursnif – Ursnif是针对Windows平台的木马,窃取银行和电子邮件账户的信息和凭据。在受感染的系统上下载并执行文件。
6. ↑Emotet – Emotet是一种高级的自我传播和高级模块化的木马。Emotet曾经被用作银行木马,最近被用作其他恶意软件或恶意广告的分销商。它使用多种方法来维护持久性和规避技术以避免检测。此外,它还可以通过包含恶意附件或链接的网络钓鱼垃圾邮件进行传播。
7. ↓Trickbot – 是一种占主导地位的银行木马,不断更新功能和分发向量。这使得Trickbot成为一种灵活且可定制的恶意软件,可以作为多用途广告系列的一部分进行分发。
8. ↓Ramnit – 是一款能够窃取银行凭据,FTP密码、会话cookie和个人数据的银行特洛伊木马。
9. ↑Glupteba – Glupteba是一个后门,逐渐发展成为一个僵尸网络。通过公共BitCoin列表提供的C&C地址更新机制,集成的浏览器窃取功能和路由器利用程序。
10. ↑Lokibot – Lokibot是主要通过网络钓鱼电子邮件分发的Info Stealer,窃取各种数据,例如电子邮件凭据以及CryptoCoin钱包和FTP服务器的密码等。
4月份漏洞Top 10
本月,MVPowerDVR远程执行代码是利用最普遍的漏洞,影响全球组织抽样的45%。其次是OpenSSL TLS DTLS心跳信息泄露,影响全球组织抽样的40%,排在第三位的Web服务器暴露的Git存储库信息泄露,影响全球组织抽样39%。
1. ↔ MVPower DVR远程执行代码 -MVPower DVR设备中存在一个远程执行代码漏洞。远程攻击者可以利用此漏洞通过精心设计的请求在受影响的路由器中执行任意代码。
2. ↑ OpenSSL TLS DTLS心跳信息泄露(CVE-2014-0160;CVE-2014-0346) -一个信息泄露漏洞。由于处理TLS / DTLS心跳数据包时出错。攻击者可以利用此漏洞来泄露连接的客户端或服务器的内存内容。
3.↑ Web服务器暴露的Git存储库信息泄露–一个信息泄露漏洞。成功利用此漏洞可能导致无意中泄露账户信息。
4.↔Dasan GPON路由器身份验证旁路(CVE-2018-10561) –Dasan GPON路由器中存在身份验证旁路漏洞。成功利用此漏洞将使远程攻击者可以获得敏感信息并获得对受影响系统的未经授权的访问。
5.↑Draytek Vigor命令注入(CVE-2020-8515)– 命令注入漏洞。成功利用此漏洞可能使远程攻击者可以在受影响的系统上执行任意代码。
6.↑ Apache Struts2内容类型远程代码执行 -一个信息泄露漏洞。成功利用此漏洞可能导致无意中泄露账户信息
7.↓ PHP DIESCAN信息泄露– 一个信息泄露漏洞。成功的利用可能导致服务器泄露敏感信息。
8.↑ OpenSSL填充Oracle信息泄露 –信息泄露漏洞。由于在某些填充检查期间内存分配计算错误所致。远程攻击者可以利用此漏洞通过针对AES CBC会话的padding-oracle攻击来获取敏感的明文信息。
9. ↑ PHP php-cgi查询字符串参数代码执行-远程执行代码漏洞。该漏洞是由于PHP对查询字符串的解析和过滤不当所致。远程攻击者可以通过发送精心制作的HTTP请求来利用此问题。成功的利用将使攻击者可以在目标上执行任意代码。
10. ↓ D-Link DSL-2750B远程命令执行 –一个远程执行代码漏洞。成功的利用可能导致易受攻击的设备上任意执行代码。
4月份移动恶意软件Top 3
本月,移动恶意软件排名前三完全改变,其中PreAmo成为移动恶意软件第一,其次是Necro和Hiddad。
1. PreAmo – PreAmo是一个Android恶意软件,通过单击从以下三个广告代理机构Presage、Admob和Mopub获得的横幅广告。
2.Necro – Necro是一个Android Trojan Dropper。可以下载其他恶意软件,显示侵入性广告,并通过付费功能来窃取金钱。
3.Hiddad – Hiddad是一种Android恶意软件,可以对合法应用进行重新打包,然后将其发布到第三方商店。主要功能是显示广告,也可以访问操作系统内置的关键安全详细信息。
维基解密曾经爆两轮CIA间谍软件大料:雅典娜、赫拉
本田勒索攻击验证工业蜜罐研究的成果
一起看等保重要政策文件27号文