2021 年 10 月头号恶意软件：Trickbot 第五次位居榜首

2021 年 11 月16日，网络安全解决方案提供商 Check Point 软件技术有限公司（纳斯达克股票代码：CHKP）的威胁情报部门 Check Point Research 发布了其 2021 年 10 月最新版《全球威胁指数》报告。报告表明，模块化僵尸网络和银行木马 Trickbot 仍然位居恶意软件排行榜榜首，影响了全球 4% 的企业与机构，而“Apache HTTP 服务器目录遍历漏洞”则跻身十大最常被利用漏洞榜单。CPR 还指出，教育/研究行业是首要攻击目标。

Trickbot 可窃取财务信息、帐户登录凭证及个人身份信息，并在网络中横向传播、投放勒索软件。自 1 月份 Emotet 遭到打击以来，Trickbot 已经第五次位居恶意软件排行榜榜首。Trickbot 不断添加新的功能、特性和传播向量，这让它成为一种灵活的可自定义的恶意软件，广泛用于多目的攻击活动。 

新漏洞“Apache HTTP 服务器目录遍历漏洞”跻身 10 月份十大最常被利用漏洞榜单，排名第十。当它首次被发现时，Apache 的开发人员在 Apache HTTP 服务器 2.4.50 中发布了针对 CVE-2021-41773 的修复程序。然而，事实表明此次修复不够全面，Apache HTTP 服务器中仍然存在目录遍历漏洞。攻击者可利用这一漏洞访问受影响系统上的任意文件。

Check Point 软件技术公司研究副总裁 Maya Horowitz 表示：“Apache 漏洞在 10 月初才被公之于众，但却已是全球十大最常被利用的漏洞之一，这表明了攻击者行动速度之快。该漏洞将引发攻击者发起路径遍历攻击，进而将 URL 映射到预期文档根目录外部文件。Apache 用户必须采取相应的保护措施。本月，经常用于投放勒索软件的 Trickbot 再次成为最猖獗的恶意软件。在全球范围内，每周每 61 家机构中就有一家受到勒索软件的影响。这一数字令人震惊，各公司需要采取更多措施。许多攻击都是从一封简单的电子邮件开始，因此确保用户了解如何识别潜在威胁是企业可部署的最重要的防御措施之一。”

CPR 还指出，本月，教育/研究行业是全球首要攻击目标，其次是通信行业和政府/军事部门。“Web 服务器恶意 URL 目录遍历漏洞”是最常被利用的漏洞，全球 60% 的机构被波及，其次是“Web Server Exposed Git 存储库信息泄露”，影响了全球 55% 的机构。“HTTP 标头远程代码执行”在最常被利用的漏洞排行榜中仍位列第三，全球影响范围为 54%。

头号恶意软件家族

* 箭头表示与上月相比的排名变化。 

本月，Trickbot 是最猖獗的恶意软件，全球 4% 的机构受到波及，其次是 XMRig 和 Remcos，分别影响了全球 3% 和 2% 的企业与机构。

1. ↔ Trickbot - Trickbot 是一种模块化僵尸网络和银行木马，不断添加新的功能、特性和传播向量。这让它成为一种灵活的可自定义的恶意软件，广泛用于多目的攻击活动。
2. ↑ XMRig - XMRig 是一种开源 CPU 挖矿软件，用于门罗币加密货币的挖掘，2017 年 5 月首次现身。
3. ↑ Remcos - Remcos 是一种 RAT，2016 年首次现身。Remcos 通过垃圾电子邮件随附的恶意 Microsoft Office 文档自行传播，旨在绕过 Microsoft Windows UAC 安全保护并以高级权限执行恶意软件。

全球受攻击最多的行业：

本月，教育/研究行业是全球首要攻击目标，其次是通信行业和政府/军事部门。

1. 教育/研究
2. 通信
3. 政府/军事

 最常被利用的漏洞

本月，“Web 服务器恶意 URL 目录遍历漏洞”是最常被利用的漏洞，全球 60% 的机构因此遭殃，其次是“Web Server Exposed Git 存储库信息泄露”，影响了全球 55% 的机构。“HTTP 标头远程代码执行”在最常被利用的漏洞排行榜中仍位列第三，全球影响范围为 54%。

1. ↑ Web 服务器恶意 URL 目录遍历漏洞（CVE-2010-4598、CVE-2011-2474、CVE-2014-0130、CVE-2014-0780、CVE-2015-0666、CVE-2015-4068、CVE-2015-7254、CVE-2016-4523、CVE-2016-8530、CVE-2017-11512、CVE-2018-3948、CVE-2018-3949、CVE-2019-18952、CVE-2020-5410、CVE-2020-8260）- 不同 Web 服务器上都存在目录遍历漏洞。这一漏洞是由于 Web 服务器中的输入验证错误所致，没有为目录遍历模式正确清理 URL。未经身份验证的远程攻击者可利用漏洞泄露或访问易受攻击的服务器上的任意文件。
2. ↓ Web Server Exposed Git 存储库信息泄露 - Git 存储库报告的一个信息泄露漏洞。攻击者一旦成功利用该漏洞，便会使用户在无意间造成帐户信息泄露。
3. ↔ HTTP 标头远程代码执行 （CVE-2020-10826、CVE-2020-10827、CVE-2020-10828、CVE-2020-13756） - HTTP 标头允许客户端和服务器传递带 HTTP 请求的其他信息。远程攻击者可能会使用存在漏洞的 HTTP 标头在受感染机器上运行任意代码。

主要移动恶意软件

本月，xHelper 仍位列最猖獗的移动恶意软件榜首，其次是 AlienBot 和 XLoader。

1. xHelper - 自 2019 年 3 月以来开始肆虐的恶意应用，用于下载其他恶意应用并显示恶意广告。该应用能够对用户隐身，甚至可以在卸载后进行自我重新安装。
2. AlienBot - AlienBot 恶意软件家族是一种针对 Android 设备的恶意软件即服务 (MaaS)，它允许远程攻击者首先将恶意代码注入合法的金融应用中。攻击者能够获得对受害者帐户的访问权限，并最终完全控制其设备。
3. XLoader - XLoader 是由黑客组织 Yanbian Gang 开发的 Android 间谍软件和银行木马。该恶意软件使用 DNS 欺骗来传播受感染的 Android 应用，以收集个人和财务信息。

Check Point《全球威胁影响指数》及其《ThreatCloud 路线图》基于 Check Point ThreatCloud 情报数据撰写而成。ThreatCloud 提供的实时威胁情报来自于部署在全球的企业数据中心网络、用户端点和移动设备上的数亿个传感器。AI 引擎和 Check Point 软件技术公司情报与研究部门 Check Point Research 的独家研究数据进一步丰富了情报内容。