與我上月預期的基本上保持一致,微軟本月又公佈了120個漏洞,這半年多微軟屢破歷史記錄。有史以來幾個月內發佈的CVE數量最多的一年,今年發佈的Microsoft修補程序總數達到736,已超過2017年整年解決的CVE總數。上個月,各大廠商扎堆發佈了一批安全補丁,做爲網絡運營者對安全補丁的更新的意義,已經無需多言,還請你們及時排查自家資產,及時到官網下載補丁,進行評估更新。php
缺席五個月以後,惡意軟件Emotet再次歸隊,並躍升爲霸主地位,據國外安全機構CheckPoint統計分析,影響全球抽樣5%的組織。自2020年2月以來,Emotet的活動開始放緩,一度中止,直到7月從新歸來。該蟄伏模式曾經在2019年演繹過一次,當時Emotet僵屍網絡在夏季中止活動,在9月恢復活動。web
7月,Emotet用TrickBot和Qbot感染受害者,傳播垃圾郵件活動,竊取銀行憑證並在網絡內部傳播。部分反垃圾郵件活動包含名稱爲「form.doc」或「invoice.doc」的惡意文檔文件。惡意文檔啓動PowerShell,從遠程網站提取Emotet二進制文件並感染計算機,將被攻擊機器添加到僵屍網絡中。Emotet的活動恢復凸顯出僵屍網絡在全球的規模和力量。瀏覽器
因爲再次活躍起來,組織應提高員工安全意識,不要打開垃圾郵件附件或單擊來自外部來源的連接,同時考慮部署反惡意軟件解決方案,防止此類內容傳遞到終端用戶。安全
「MVPower DVR遠程執行代碼」是利用最廣泛的漏洞,影響全球抽樣44%的組織,其次是「OpenSSL TLS DTLS心跳信息泄露」,其影響全球抽樣42%的組織。排名第三的則是「HTTP有效負載上的命令注入」,對影響全球抽樣38%的組織。服務器
2020年7月「十惡不赦」微信
*箭頭表示與上個月相比的排名變化。cookie
本月,Emotet是最受歡迎的惡意軟件,影響全球抽樣的5%,緊隨其後的是Dridex和Agent Tesla,影響全球抽樣的4%。網絡
1.↑Emotet – Emotet是高級可自我傳播的模塊化銀行木馬,最近被用做其餘惡意軟件或惡意活動的分發工具。使用多種方法來保持持久性和逃避技術,從而避免檢測。還能夠經過包含惡意附件或連接的網絡釣魚垃圾郵件來助推其傳播。併發
2.↑Dridex – Dridex是針對Windows平臺的木馬程序,經過垃圾郵件附件下載。Dridex聯繫遠程服務器併發送有關受感染系統的信息,能夠下載並執行從遠程服務器接收的任意模塊。分佈式
3.↓Agent Tesla – Agent Tesla是一種高級RAT的鍵盤記錄程序和信息竊取程序,可以監視和收集受害者的鍵盤輸入、系統剪貼板、截屏並竊取受害者計算機上安裝的各類軟件的憑證(包括Google Chrome、Mozilla Firefox和Microsoft Outlook電子郵件客戶端)。
4.↑Trickbot – Trickbot是占主導地位的多功能bot,不斷經過更新功能和分佈向量,使Trickbot成爲靈活且可自定義的惡意軟件,能夠做爲多用途活動的一部分進行分發。
5.↑Formbook – Formbook是一個infoStealer,從各類Web瀏覽器中收集憑證、收集屏幕截圖、監視和記錄擊鍵,並能夠根據其C&C命令下載和執行文件。
6.↓XMRig – XMRig是用CPU挖掘加密貨幣Monero的惡意挖掘軟件,於2017年5月首次被出現。
7.↑Mirai – Mirai是一種物聯網(IoT)惡意軟件,能夠跟蹤易受攻擊的IoT設備(例如網絡攝像頭、調制解調器和路由器),並將其轉變爲僵屍網絡機器人,被用來進行大規模的分佈式拒絕服務(DDoS)攻擊。
8.↓Ramnit – Ramnit是一個竊取銀行憑證,FTP密碼,會話cookie和我的數據的銀行木馬。
9.↓Glupteba – Glupteba是一個後門,逐漸成熟爲一個僵屍網絡。到2019年,經過公開的BitCoin列表提供的C&C地址更新機制,集成瀏覽器竊取功能和路由器利用程序。
10. ↑RigEK –RigEK針對Flash、Java、Silverlight和Internet Explorer的攻擊。感染包含JavaScript頁面,進行重定向攻擊。
7月份漏洞Top10
本月,「MVPowerDVR遠程執行代碼」是最廣泛利用的漏洞,影響全球抽樣44%的組織,其次是「OpenSSL TLS DTLS心跳信息泄露」,其影響全球抽樣42%的組織。排名第三的是「HTTP有效負載命令注入」,對影響全球抽樣的38%。
1.↑MVPower DVR遠程執行代碼 – MVPower DVR設備中存在一個遠程執行代碼漏洞。經過精心設計的請求,遠程攻擊者能夠利用此漏洞在受影響的路由器中執行任意代碼。
2.↓ OpenSSL TLS DTLS心跳信息泄露(CVE-2014-0160;CVE-2014-0346) – OpenSSL中存在一個信息泄露漏洞。是因爲處理TLS / DTLS心跳數據包時出錯。攻擊者能夠利用此漏洞獲取鏈接的客戶端或服務器的內存內容。
3.↑經過HTTP有效負載進行命令注入–經過HTTP有效負載進行命令注入漏洞。遠程攻擊者能夠經過向受害者發送特製請求來利用此漏洞,容許攻擊者在目標計算機上執行任意代碼。
4. ↔DasanGPON路由器身份驗證旁路(CVE-2018-10561) –Dasan GPON路由器中存在身份驗證旁路漏洞。成功利用此漏洞,遠程攻擊者能夠得到敏感信息並得到對受影響系統的未受權訪問。
5.↑HTTP標頭遠程執行代碼(CVE-2020-13756)– HTTP標頭使客戶端和服務器能夠經過HTTP請求傳遞其餘信息。遠程攻擊者可以使用易受攻擊的HTTP標頭,在受害計算機上運行任意代碼。
6.↑ Apache Struts2內容類型遠程代碼執行–Apache Struts2中存在一個遠程執行代碼漏洞。攻擊者能夠經過發送無效的內容類型做爲文件上載請求的一部分來利用此漏洞。成功利用該漏洞可能致使在受影響的系統上執行任意代碼。
7.↓ Web服務器暴露的Git存儲庫信息泄露– Git存儲庫中一個信息泄露漏洞。成功利用此漏洞可能致使無心中泄露帳戶信息。
8.↑SQL注入(幾種技術)–在客戶端到應用程序的輸入中插入SQL查詢的注入,同時利用應用程序軟件中的安全漏洞。
9.↑ PHP php-cgi查詢字符串參數代碼執行 – PHP中一個遠程執行代碼漏洞。是因爲PHP對查詢字符串的解析和過濾不當所致。遠程攻擊者能夠經過發送精心製做的HTTP請求,在目標上執行任意代碼。
10. ↓WordPress Portable-phpMyAdmin插件身份驗證繞過– WordPressPortable-phpMyAdmin插件中存在身份驗證繞過漏洞。成功利用此漏洞將使遠程攻擊者能夠得到敏感信息並得到對受影響系統的未受權訪問。
7月份移動惡意軟件Top3
1.xHelper-自2019年3月被發現以來,屬於常見的惡意應用程序,用於下載其餘惡意應用程序和顯示廣告。具備隱藏及卸載後從新安裝功能。
2.Necro – Necro是一個Android Trojan Dropper。用如下載其餘惡意軟件,顯示侵入性廣告,並經過向付費訂閱收費來竊取金錢。
3.PreAMo – PreAmo是一個Android惡意軟件,經過模仿用戶單擊這三個廣告代理商-Presage,Admob和Mopub的廣告,進行獲利。
本文分享自微信公衆號 - 祺印說信安(qiyinshuoxinan)。
若有侵權,請聯繫 support@oschina.cn 刪除。
本文參與「OSC源創計劃」,歡迎正在閱讀的你也加入,一塊兒分享。