2019年一月份惡意軟件之“十惡不赦”排行榜

陸英

2019年1月，國外安全研究人員發現了一項利用Linux服務器發布后門特洛伊木馬的新活動，稱為SpeakUp。SpeakUp能夠提供任何有效負載并在受感染的計算機上執行，并逃避所有安全供應商的防病毒軟件的檢測。SpeakUp目前提供XMRigMiner，到目前為止，它主要是針對東亞和拉丁美洲的服務器進行攻擊，同時包括一些AWS托管服務器。

像SpeakUp這樣的威脅是對網絡信息安全的嚴峻警告，因為它們可以逃避檢測，然后向受感染的機器分發更多可能更危險的惡意軟件。由于Linux廣泛用于企業服務器，因此SpeakUp有可能會成為全年規模和嚴重程度同時增長的威脅。2019年1月份Cryptominers仍然很普遍，再次占據前4個位置，Coinhive依然保持其位列榜首。破壞性的多用途惡意軟件形式也仍然普遍存在，前十名中的惡意軟件形式中有一半能夠將更多惡意軟件下載到受感染的計算機并分發各種惡意軟件。另外，加密勒索病毒Gandcrab擠進第九名，同時該病毒在我國各地都有出現，還請大家對此做好防范。

2019年1月“十惡不赦”：

1. Coinhive - Cryptominer———用于在用戶訪問網頁時執行Monero加密貨幣的在線挖掘，在用戶不知情的情況下通過挖掘門羅幣獲得收入，植入的JavaScript使用用戶機器的大量算力來挖掘加密貨幣，并可能致使系統崩潰。

2. XMRig———是一種開源的、利用CPU進行挖掘的惡意軟件，用于挖掘Monero加密貨幣，于2017年5月首次被發現。

3. Cryptoloot - Cryptominer———使用受害者的CPU或GPU電源和現有的資源開采加密的區塊鏈和發掘新的加密貨幣，是Coinhive的有力競爭對手，本月較上月上升1個名次，獲得的第三名地位。

4. Jsecoin———可以嵌入網站的JavaScript礦工。JSEcoin，可以直接在瀏覽器中運行礦工，以換取無廣告體驗、游戲內貨幣和其他獎勵。較上個月下降一個名次，獲得第四名的地位。

5. Emotet———自我傳播和高級模塊化的木馬。Emotet曾經被用作銀行木馬，最近被用作其他惡意軟件或惡意廣告的分銷商。它使用多種方法來維護持久性和規避技術以避免檢測。此外，它還可以通過包含惡意附件或鏈接的網絡釣魚垃圾郵件進行傳播。

6. Nivdort———多用途機器人，也稱為Bayrob，用于收集密碼，修改系統設置和下載其他惡意軟件。它通常通過垃圾郵件傳播，其中收件人地址是二進制文件編碼，從而使每個文件都具有唯一性。

7. Dorkbot -IRC———是一種基于IRC設計的蠕蟲，可以用操作員執行遠程代碼以及下載其他惡意軟件到被感染的機器。這個銀行木馬，其主要動機是竊取敏感信息并可以發起拒絕服務攻擊，本月影響程度與上月同為第七名。

8. Lokibot———是一個主要由網絡釣魚電子郵件分發的竊取信息，用于竊取各種數據，如電子郵件憑證，CryptoCoin錢包和FTP服務器的密碼等。

9. Gandcrab———是通過RIG和GrandSoft Exploit Kits分發的勒索軟件以及垃圾郵件。勒索軟件是在一個附屬計劃中運作的，加入該程序的人支付了GandCrab作者30 % ～ 40 %的贖金收入。作為回報，聯盟會員可以獲得功能齊全的網絡面板和技術支持。該加密病毒，春節前在我國多地被發現，醫療行業許多單位中招，還請大家重視該病毒的傳播趨勢。

10. Ramnit———是一款能夠竊取銀行憑據、FTP密碼、會話cookie和個人數據的銀行特洛伊木馬。

Hiddad是Android的模塊化后門，取得特權后為下載的惡意軟件提供突破口，已經取代Triada第一的位置，成為頂級移動惡意軟件列表中的第一名。Lotoor緊隨其后，位居第二位，而Triada排名第三位。

1月份三大移動惡意軟件：

1. Hiddad———Android的模塊化后門，是下載的惡意軟件授予超級用戶權限，有助于它嵌入到系統進程中。

2. Lotoor———Hack工具利用Android操作系統上的漏洞獲取受感染移動設備的root權限。

3. Triada———適用于Android的Modular Backdoor，為下載的惡意軟件授予超級用戶權限，幫助嵌入到系統進程中。Triada也被視為欺騙瀏覽器中加載的URL。

另據，國外安全研究人員分析的最受利用的網絡漏洞，CVE-2017-7269保持在第一位，全球影響力為47 %。緊隨其后的是Web Server Exposed Git Repository Information Disclosure排在第二位，OpenSSL TLS DTLS心跳信息披露排在第三位，分別影響了全球46%和45%的組織。

1月份三大漏洞：

1. MicrosoftIIS WebDAV ScStoragePathFromUrl緩沖區溢出———通過Microsoft Internet Information Services 6.0將精心設計的請求通過網絡發送到Microsoft Windows Server 2003 R2，遠程攻擊者可以執行任意代碼或導致拒絕服務條件在目標服務器上。這主要是由于HTTP請求中對長報頭的不正確驗證導致的緩沖區溢出漏洞。

2. Web服務器暴露的Git存儲庫信息泄露———Git存儲庫中報告了一個信息泄露漏洞。成功利用此漏洞可能會無意中泄露帳戶信息。

3. OpenSSL TLS DTLS心跳信息泄露———OpenSSL中存在信息泄露漏洞。該漏洞是由于處理TLS / DTLS心跳包時出錯。攻擊者可以利用此漏洞披露已連接客戶端或服務器的內存內容。

請核查自己的IT資產，是否在影響之列，充分采取必要的防護措施，保障信息系統的安全穩定運行，將風險降到力所能及的最小，為信息系統安全持續性運行創造良好的安全氛圍與安全文化，使信息系統運行能夠正常化、持續化和長久化。