2020 年 11 月头号恶意软件：臭名昭著的 Phorpiex 僵尸网络再度成为影响范围最大的感染病毒

2020 年 12 月 全球领先网络安全解决方案提供商 Check Point® 软件技术有限公司（纳斯达克股票代码：CHKP）的威胁情报部门 Check Point Research 发布了 2020 年 11 月最新版《全球威胁指数》报告。该报告显示，臭名昭著的 Phorpiex 僵尸网络的感染率激增，成为本月最猖獗的恶意软件，影响了全球 4% 的组织。Phorpiex 最近一次出现在威胁指数榜单前 10 名是在今年 6 月。 

Phorpiex 僵尸网络于 2010 年首次发现，并在其巅峰时期控制了超过一百万台受感染主机。Phorpiex 因通过垃圾邮件分发其他恶意软件家族并助长大规模“性勒索”垃圾邮件攻击活动和加密货币挖矿而广为人知，正如 Check Point 研究人员在今年早些时候的最初报告，该僵尸网络正再度分发 Avaddon 勒索软件。Avaddon 是一种相对较新的勒索软件即服务 (RaaS) 变体，其攻击者再次招募同伙来分发勒索软件并从中抽取利润。在恶意垃圾邮件攻击活动中，Avaddon 通过 JS 和 Excel 文件进行分发，并能够加密各种文件类型。

Check Point 产品威胁情报与研究总监 Maya Horowitz 表示：“Phorpiex 是最早、最顽固的僵尸网络之一，多年来一直被创建者用于分发 GandCrab 和 Avaddon 勒索软件等其他恶意软件有效载荷，或实施性勒索欺诈。此次新一波病毒感染正在传播另一场勒索软件攻击活动，这足以揭示 Phorpiex 工具的破坏性。组织应确保员工了解如何识别潜在的恶意垃圾邮件，并警惕打开电子邮件随附的未知附件，即使其似乎来自可靠来源。此外，组织还应确保部署安全防御措施，以主动防止上述威胁感染其网络。”

研究团队还警告称，“HTTP 标头远程代码执行 (CVE-2020-13756)”是最常被利用的漏洞，全球 54% 的组织因此遭殃，其次是“MVPower DVR 远程代码执行”和“Dasan GPON 路由器身份验证绕过 (CVE-2018-10561)”，两者分别影响了全球 48% 和 44% 的组织。

头号恶意软件家族

* 箭头表示与上月相比的排名变化。

Phorpiex 是本月最活跃的恶意软件，影响了全球 4% 的组织，紧随其后的是 Dridex 和 Hiddad，两者均影响了全球 3% 的组织。  

↑ Phorpiex - Phorpiex 是一种僵尸网络，因通过垃圾邮件攻击活动分发其他恶意软件家族并助长大规模性勒索攻击活动而广为人知。

↑ Dridex - Dridex 是一种针对 Windows 平台的木马，据称可通过垃圾邮件附件下载。Dridex 不仅能够联系远程服务器并发送有关受感染系统的信息，而且还可以下载并执行从远程服务器接收的任意模块。

↔ Hiddad - Hiddad 是一种 Android 恶意软件感染工具，能够对合法移动应用进行重新打包，然后将其发布到第三方商店。其主要功能是显示广告，但它也可以访问操作系统内置的关键安全细节。

最常被利用的漏洞

本月，“HTTP 标头远程代码执行 (CVE-2020-13756)”是最常被利用的漏洞，全球 54% 的组织因此遭殃，其次是“MVPower DVR 远程代码执行”和“Dasan GPON 路由器身份验证绕过 (CVE-2018-10561)”，两者分别影响了全球 48% 和 44% 的组织。

• ↑HTTP 标头远程代码执行 (CVE-2020-13756) - HTTP 标头允许客户端和服务器传递带 HTTP 请求的其他信息。远程攻击者可能会使用存在漏洞的 HTTP 标头在受感染机器上运行任意代码。
• ↓ MVPower DVR 远程代码执行 - 一种存在于 MVPower DVR 设备中的远程代码执行漏洞。远程攻击者可利用此漏洞，通过精心设计的请求在受感染的路由器中执行任意代码。
• ↓ Dasan GPON 路由器身份验证绕过 (CVE-2018-10561) – 一种存在于 Dasan GPON 路由器中的身份验证绕过漏洞。远程攻击者可利用此漏洞获取敏感信息，并在不经授权的情况下访问受感染系统。

主要移动恶意软件

Hiddad 仍然是本月最猖獗的移动恶意软件，其次是 xHelper 和 Lotoor。

1. Hiddad — Hiddad 是一种 Android 恶意软件感染工具，能够对合法应用进行重新打包，然后将其发布到第三方商店。其主要功能是显示广告，但它也可以访问操作系统内置的关键安全细节。

2. xHelper — xHelper 是自 2019 年 3 月以来开始活跃的恶意应用，用于下载其他恶意应用和显示恶意广告。该应用能够对用户隐身，并在卸载后进行自我重新安装。

3. Lotoor — Lotoor 是一种黑客工具，能够利用 Android 操作系统漏洞在入侵的移动设备上获得根权限。

Check Point《全球威胁影响指数》及其《ThreatCloud 路线图》基于 Check Point ThreatCloud 情报数据撰写而成，ThreatCloud 是打击网络犯罪的最大协作网络，可通过全球威胁传感器网络提供威胁数据和攻击趋势。ThreatCloud 数据库每天检查超过 25 亿个网站和 5 亿份文件，每天识别超过 2.5 亿起恶意软件攻击活动。