2021 年 11 月头号恶意软件：Emotet 重返十大恶意软件榜单

2021 年 12 月, 网络安全解决方案提供商 Check Point 软件技术有限公司（纳斯达克股票代码：CHKP）的威胁情报部门 Check Point Research 发布了其 2021 年 11 月最新版《全球威胁指数》报告。研究人员报告称，Trickbot 仍然位居最猖獗的恶意软件排行榜榜首，影响了全球 5% 的企业与机构，而最近卷土重来的 Emotet 则重返指数榜单第七位。CPR 还指出，教育/研究行业是首要攻击目标。

尽管欧洲刑警组织及诸多执法机构在今年早些时候重拳打击了 Emotet，但这一臭名昭著的僵尸网络已被证实于 11 月卷土重来，成为第七大最常被利用的恶意软件。本月，Trickbot 第六次位居指数榜单之首，甚至还与 Emotet 的新变种狼狈为奸，后者使用 Trickbot 的基础设施安装在受感染的机器上。 

Emotet 通过网络钓鱼电子邮件进行传播。邮件随附受感染的 Word、Excel 和 Zip 文件，可将 Emotet 部署至受害者的主机。这些电子邮件包含具有吸引力的主题行，例如时事新闻、发票及虚假公司备忘录，以诱骗受害者将其打开。最近，Emotet 还开始通过伪装成 Adobe 软件的恶意 Windows 应用安装程序包进行传播。

Check Point 软件技术公司研究副总裁 Maya Horowitz 表示：“Emotet 不仅是网络历史上最成功的僵尸网络之一，而且还是近年来针对性勒索软件攻击激增的罪魁祸首。该僵尸网络于 11 月卷土重来，令人深感担忧，因为它可能会导致此类攻击进一步增加。Emotet 使用 Trickbot 的基础设施，这意味着此方法正缩短 Emotet 在全球网络中建立重要立足点所需的时间。由于它通过随附恶意附件的网络钓鱼电子邮件进行传播，因此在网络安全方面，各组织的首要任务是实施用户意识培训和安全教育，这一点至关重要。任何想要下载 Adobe 软件的用户均应谨记，与任何应用一样，仅可通过官方途径下载。” 

CPR 还指出，本月教育与研究行业是全球首要攻击目标，其次是通信行业和政府部门。“Web 服务器恶意 URL 目录遍历漏洞”仍然是最常被利用的漏洞，全球 44% 的组织因此遭殃，其次是“Web Server Exposed Git 存储库信息泄露”，影响了全球 43.7% 的组织与机构。“HTTP 标头远程代码执行”在最常被利用的漏洞排行榜中仍位列第三，全球影响范围为 42%。

头号恶意软件家族

* 箭头表示与上月相比的排名变化。 

本月，Trickbot 是最猖獗的恶意软件，全球 5% 的企业与机构受到波及，其次是 Agent Tesla 和 Formbook，两者均影响了全球 4% 的组织机构。

1. ↔ Trickbot - Trickbot 是一种模块化僵尸网络和银行木马，不断添加新的功能、特性和传播向量。这让它成为一种灵活的可自定义的恶意软件，广泛用于多目的攻击活动。
2. ↑ Agent Tesla - Agent Tesla 是一种用作键盘记录器和信息窃取程序的高级 RAT，能够监控和收集受害者的键盘输入与系统剪贴板、截图并盗取受害者电脑上安装的各种软件（包括 Google Chrome、Mozilla Firefox 和 Microsoft Outlook）的证书。
3. ↑ Formbook - Formbook 是一种信息窃取程序，可从各种 Web 浏览器中获取凭证、收集截图、监控和记录击键次数，并按照其 C&C 命令下载和执行文件。

全球首当其冲的行业：

本月，教育与研究行业是全球首要攻击目标，其次是通信行业和政府、军事部门。

1. 教育/研究
2. 通信
3. 政府/军事

最常被利用的漏洞

本月，“Web 服务器恶意 URL 目录遍历漏洞”仍然是最常被利用的漏洞，全球 44% 的企业机构因此遭殃，其次是“Web Server Exposed Git 存储库信息泄露”，影响了全球 43.7% 的组织与机构。“HTTP 标头远程代码执行”在最常被利用的漏洞排行榜中仍位列第三，全球影响范围为 42%。

1. ↔ Web 服务器恶意 URL 目录遍历漏洞（CVE-2010-4598、CVE-2011-2474、CVE-2014-0130、CVE-2014-0780、CVE-2015-0666、CVE-2015-4068、CVE-2015-7254、CVE-2016-4523、CVE-2016-8530、CVE-2017-11512、CVE-2018-3948、CVE-2018-3949、CVE-2019-18952、CVE-2020-5410、CVE-2020-8260）- 不同 Web 服务器上都存在目录遍历漏洞。这一漏洞是由于 Web 服务器中的输入验证错误所致，没有为目录遍历模式正确清理 URL。未经身份验证的远程攻击者可利用漏洞泄露或访问易受攻击的服务器上的任意文件。
2. ↔ Web Server Exposed Git 存储库信息泄露 - Git 存储库报告的一个信息泄露漏洞。 攻击者一旦成功利用该漏洞，便会使用户在无意间造成帐户信息泄露。
3. ↔ HTTP 标头远程代码执行 （CVE-2020-10826、CVE-2020-10827、CVE-2020-10828、CVE-2020-13756） - HTTP 标头允许客户端和服务器传递带 HTTP 请求的其他信息。远程攻击者可能会使用存在漏洞的 HTTP 标头在受感染机器上运行任意代码。

主要移动恶意软件

本月，AlienBot 位列最猖獗的移动恶意软件榜首，其次是 xHelper 和 FluBot。

1. AlienBot - AlienBot 恶意软件家族是一种针对 Android 设备的恶意软件即服务 (MaaS)，它允许远程攻击者首先将恶意代码注入合法的金融应用中。攻击者能够获得对受害者帐户的访问权限，并最终完全控制其设备。
2. xHelper - 自 2019 年 3 月以来开始肆虐的恶意应用，用于下载其他恶意应用并显示恶意广告。该应用能够对用户隐身，甚至可以在卸载后进行自我重新安装。
3. FluBot - FluBot 是一种通过网络钓鱼短消息传播的 Android 僵尸网络，通常冒充物流配送品牌。一旦用户点击消息中的链接，FluBot 就会快速安装并访问手机上的所有敏感信息。

Check Point《全球威胁影响指数》及其《ThreatCloud 路线图》基于 Check Point ThreatCloud 情报数据撰写而成。ThreatCloud 提供的实时威胁情报来自于部署在全球网络、端点和移动设备上的数亿个传感器。AI 引擎和 Check Point 软件技术公司情报与研究部门 Check Point Research 的独家研究数据进一步丰富了情报内容。