2021 年 6 月头号恶意软件：Trickbot 仍然位居榜首

2021 年 7 月，网络安全解决方案提供商 Check Point  软件技术有限公司（纳斯达克股票代码：CHKP）的威胁情报部门 Check Point Research (CPR) 发布了其 2021 年 6 月最新版《全球威胁指数》报告。研究人员报告称，Trickbot 仍然是为活跃且最猖獗的恶意软件（于 5 月首次跃居榜首）。

Trickbot 结合了僵尸网络和银行木马，可窃取财务信息、帐户登录凭证及个人身份信息，并在网络中传播和投放勒索软件。上个月 CPR 报告称，在过去 12 个月中，平均每周勒索软件攻击次数增加了 93%。此外，该部门还警告称，勒索软件攻击通常并非始于勒索软件。例如，在 Ryuk 勒索软件攻击中，Emotet 恶意软件被用于侵入网络，然后网络感染了本月头号恶意软件 Trickbot，最后该勒索软件对数据进行了加密。

自 1 月份 Emotet 僵尸网络遭到打击以来，Trickbot 木马和僵尸网络迅速蔓延开来。最近，它还与一种名为“Diavol”的新型勒索病毒有关。Trickbot 不断添加新的功能、特性和传播向量，这让它成为一种灵活的可自定义的恶意软件，广泛用于多目的攻击活动。

Check Point 产品威胁情报与研究总监 Maya Horowitz 表示：“在感染初始阶段，Ryuk 和 REvil 等臭名昭著的勒索软件犯罪团伙首先依靠各种形式的恶意软件，其中一个关键工具就是本月头号恶意软件 Trickbot。各组织均需警惕风险，并确保全面部署可靠解决方案。除了僵尸网络和银行木马 Trickbot 以外，本月榜单还有一系列不同的恶意软件类型，包括僵尸网络、信息窃取程序、后门程序、RAT 及移动恶意软件。组织必须采用合适的技术来应对如此广泛的威胁。这样，组织便可在不中断正常业务流程的情况下阻止大多数攻击，甚至是 REvil 等最复杂的攻击。”

本月，CPR 还指出，“HTTP 标头远程代码执行”是最常被利用的漏洞，全球 47% 的组织因此遭殃，其次是“MVPower DVR 远程代码执行”，影响了全球 45% 的组织。“Dasan GPON 路由器身份验证绕过”在最常被利用的漏洞排行榜中位列第三，全球影响范围为 44%。

头号恶意软件家族

* 箭头表示与上月相比的排名变化。

Trickbot 是本月最活跃的恶意软件，全球 7% 的组织受到波及，其次是 XMRig 和 Formbook，两者均影响了全球 3% 的组织。

• ↔ Trickbot - Trickbot 是一种模块化僵尸网络和银行木马，不断添加新的功能、特性和传播向量。这让它成为一种灵活的可自定义的恶意软件，广泛用于多目的攻击活动。

• ↔ XMRig  - XMRig 是一种开源 CPU 挖矿软件，用于门罗币加密货币的挖掘，2017 年 5 月首次现身。
• ↔ Formbook - Formbook 是一种信息窃取程序，可从各种 Web 浏览器中获取凭证、收集截图、监控和记录击键次数，并按照其 C&C 命令下载和执行文件。

 最常被利用的漏洞

本月，“HTTP 标头远程代码执行”是最常被利用的漏洞，全球 47% 的组织因此遭殃，其次是“MVPower DVR 远程代码执行”，影响了全球 45% 的组织。“Dasan GPON 路由器身份验证绕过”在最常被利用的漏洞排行榜中位列第三，全球影响范围为 44%。

• ↑ HTTP 标头远程代码执行 （CVE-2020-10826、CVE-2020-10827、CVE-2020-10828、CVE-2020-13756） - HTTP 标头允许客户端和服务器传递带 HTTP 请求的其他信息。远程攻击者可能会使用存在漏洞的 HTTP 标头在受感染机器上运行任意代码。

• ↑MVPower DVR 远程执行代码 - 一种存在于 MVPower DVR 设备中的远程代码执行漏洞。远程攻击者可利用此漏洞，通过精心设计的请求在受感染的路由器中执行任意代码。 
• ↑ Dasan GPON 路由器身份验证绕过 (CVE-2018-10561) – 存在于 Dasan GPON 路由器中的身份验证绕过漏洞。远程攻击者可利用此漏洞获取敏感信息，并在不经授权的情况下访问受感染系统。

主要移动恶意软件

本月，xHelper 位列最猖獗的移动恶意软件榜首，其次是 Hiddad 和 XLoader。

• xHelper - 自 2019 年3 月以来开始肆虐的恶意应用，用于下载其他恶意应用并显示恶意广告。该应用能够对用户隐身，并可在卸载后进行自我重新安装。    
• Hiddad - Hiddad 是一种 Android 恶意软件，能够对合法应用进行重新打包，然后将其发布到第三方商店。其主要功能是显示广告，但它也可以访问操作系统内置的关键安全细节。

• XLoader - XLoader 是由中国黑客组织 Yanbian Gang 开发的 Android 间谍软件和银行木马。该恶意软件使用 DNS 欺骗来传播受感染的 Android 应用，以收集个人和财务信息。

Check Point《全球威胁影响指数》及其《ThreatCloud 路线图》基于 Check Point ThreatCloud 情报数据撰写而成，ThreatCloud 是打击网络犯罪的最大协作网络，可通过全球威胁传感器网络提供威胁数据和攻击趋势。ThreatCloud 数据库每天检查超过 30 亿个网站和 6 亿份文件，每天识别超过 2.5 亿起恶意软件攻击活动。