与我上月预期的基本上保持一致,微软本月又公布了120个漏洞,这半年多微软屡破历史记录。有史以来几个月内发布的CVE数量最多的一年,今年发布的Microsoft修补程序总数达到736,已超过2017年整年解决的CVE总数。上个月,各大厂商扎堆发布了一批安全补丁,做为网络运营者对安全补丁的更新的意义,已经无需多言,还请你们及时排查自家资产,及时到官网下载补丁,进行评估更新。php
缺席五个月以后,恶意软件Emotet再次归队,并跃升为霸主地位,据国外安全机构CheckPoint统计分析,影响全球抽样5%的组织。自2020年2月以来,Emotet的活动开始放缓,一度中止,直到7月从新归来。该蛰伏模式曾经在2019年演绎过一次,当时Emotet僵尸网络在夏季中止活动,在9月恢复活动。web
7月,Emotet用TrickBot和Qbot感染受害者,传播垃圾邮件活动,窃取银行凭证并在网络内部传播。部分反垃圾邮件活动包含名称为“form.doc”或“invoice.doc”的恶意文档文件。恶意文档启动PowerShell,从远程网站提取Emotet二进制文件并感染计算机,将被攻击机器添加到僵尸网络中。Emotet的活动恢复凸显出僵尸网络在全球的规模和力量。浏览器
因为再次活跃起来,组织应提高员工安全意识,不要打开垃圾邮件附件或单击来自外部来源的连接,同时考虑部署反恶意软件解决方案,防止此类内容传递到终端用户。安全
“MVPower DVR远程执行代码”是利用最广泛的漏洞,影响全球抽样44%的组织,其次是“OpenSSL TLS DTLS心跳信息泄露”,其影响全球抽样42%的组织。排名第三的则是“HTTP有效负载上的命令注入”,对影响全球抽样38%的组织。服务器
2020年7月“十恶不赦”微信
*箭头表示与上个月相比的排名变化。cookie
本月,Emotet是最受欢迎的恶意软件,影响全球抽样的5%,紧随其后的是Dridex和Agent Tesla,影响全球抽样的4%。网络
1.↑Emotet – Emotet是高级可自我传播的模块化银行木马,最近被用做其余恶意软件或恶意活动的分发工具。使用多种方法来保持持久性和逃避技术,从而避免检测。还能够经过包含恶意附件或连接的网络钓鱼垃圾邮件来助推其传播。并发
2.↑Dridex – Dridex是针对Windows平台的木马程序,经过垃圾邮件附件下载。Dridex联系远程服务器并发送有关受感染系统的信息,能够下载并执行从远程服务器接收的任意模块。分布式
3.↓Agent Tesla – Agent Tesla是一种高级RAT的键盘记录程序和信息窃取程序,可以监视和收集受害者的键盘输入、系统剪贴板、截屏并窃取受害者计算机上安装的各类软件的凭证(包括Google Chrome、Mozilla Firefox和Microsoft Outlook电子邮件客户端)。
4.↑Trickbot – Trickbot是占主导地位的多功能bot,不断经过更新功能和分布向量,使Trickbot成为灵活且可自定义的恶意软件,能够做为多用途活动的一部分进行分发。
5.↑Formbook – Formbook是一个infoStealer,从各类Web浏览器中收集凭证、收集屏幕截图、监视和记录击键,并能够根据其C&C命令下载和执行文件。
6.↓XMRig – XMRig是用CPU挖掘加密货币Monero的恶意挖掘软件,于2017年5月首次被出现。
7.↑Mirai – Mirai是一种物联网(IoT)恶意软件,能够跟踪易受攻击的IoT设备(例如网络摄像头、调制解调器和路由器),并将其转变为僵尸网络机器人,被用来进行大规模的分布式拒绝服务(DDoS)攻击。
8.↓Ramnit – Ramnit是一个窃取银行凭证,FTP密码,会话cookie和我的数据的银行木马。
9.↓Glupteba – Glupteba是一个后门,逐渐成熟为一个僵尸网络。到2019年,经过公开的BitCoin列表提供的C&C地址更新机制,集成浏览器窃取功能和路由器利用程序。
10. ↑RigEK –RigEK针对Flash、Java、Silverlight和Internet Explorer的攻击。感染包含JavaScript页面,进行重定向攻击。
7月份漏洞Top10
本月,“MVPowerDVR远程执行代码”是最广泛利用的漏洞,影响全球抽样44%的组织,其次是“OpenSSL TLS DTLS心跳信息泄露”,其影响全球抽样42%的组织。排名第三的是“HTTP有效负载命令注入”,对影响全球抽样的38%。
1.↑MVPower DVR远程执行代码 – MVPower DVR设备中存在一个远程执行代码漏洞。经过精心设计的请求,远程攻击者能够利用此漏洞在受影响的路由器中执行任意代码。
2.↓ OpenSSL TLS DTLS心跳信息泄露(CVE-2014-0160;CVE-2014-0346) – OpenSSL中存在一个信息泄露漏洞。是因为处理TLS / DTLS心跳数据包时出错。攻击者能够利用此漏洞获取链接的客户端或服务器的内存内容。
3.↑经过HTTP有效负载进行命令注入–经过HTTP有效负载进行命令注入漏洞。远程攻击者能够经过向受害者发送特制请求来利用此漏洞,容许攻击者在目标计算机上执行任意代码。
4. ↔DasanGPON路由器身份验证旁路(CVE-2018-10561) –Dasan GPON路由器中存在身份验证旁路漏洞。成功利用此漏洞,远程攻击者能够得到敏感信息并得到对受影响系统的未受权访问。
5.↑HTTP标头远程执行代码(CVE-2020-13756)– HTTP标头使客户端和服务器能够经过HTTP请求传递其余信息。远程攻击者可以使用易受攻击的HTTP标头,在受害计算机上运行任意代码。
6.↑ Apache Struts2内容类型远程代码执行–Apache Struts2中存在一个远程执行代码漏洞。攻击者能够经过发送无效的内容类型做为文件上载请求的一部分来利用此漏洞。成功利用该漏洞可能致使在受影响的系统上执行任意代码。
7.↓ Web服务器暴露的Git存储库信息泄露– Git存储库中一个信息泄露漏洞。成功利用此漏洞可能致使无心中泄露帐户信息。
8.↑SQL注入(几种技术)–在客户端到应用程序的输入中插入SQL查询的注入,同时利用应用程序软件中的安全漏洞。
9.↑ PHP php-cgi查询字符串参数代码执行 – PHP中一个远程执行代码漏洞。是因为PHP对查询字符串的解析和过滤不当所致。远程攻击者能够经过发送精心制做的HTTP请求,在目标上执行任意代码。
10. ↓WordPress Portable-phpMyAdmin插件身份验证绕过– WordPressPortable-phpMyAdmin插件中存在身份验证绕过漏洞。成功利用此漏洞将使远程攻击者能够得到敏感信息并得到对受影响系统的未受权访问。
7月份移动恶意软件Top3
1.xHelper-自2019年3月被发现以来,属于常见的恶意应用程序,用于下载其余恶意应用程序和显示广告。具备隐藏及卸载后从新安装功能。
2.Necro – Necro是一个Android Trojan Dropper。用如下载其余恶意软件,显示侵入性广告,并经过向付费订阅收费来窃取金钱。
3.PreAMo – PreAmo是一个Android恶意软件,经过模仿用户单击这三个广告代理商-Presage,Admob和Mopub的广告,进行获利。
本文分享自微信公众号 - 祺印说信安(qiyinshuoxinan)。
若有侵权,请联系 support@oschina.cn 删除。
本文参与“OSC源创计划”,欢迎正在阅读的你也加入,一块儿分享。