最近，VirusTotal 發布基于 8000 萬個樣本分析的勒索軟件報告，報告稱2020 年和 2021 年上半年活躍的勒索軟件家族多達 130 個，其中以色列、韓國、越南、中國、新加坡、印度、哈薩克斯坦、菲律賓、伊朗和英國成為受影響最大的國家8000 萬個勒索軟件相關樣本的綜合分析顯示。

　　谷歌的網絡安全部門 VirusTotal 將大部分活動歸因于 GandCrab 勒索軟件即服務 （RaaS） 組 （78.5%），其次是 Babuk （7.61%）、Cerber （3.11%）、Matsnu （2.63%）、 Wannacry （2.41%）、Congur （1.52%）、Locky （1.29%）、Teslacrypt （1.12%）、Rkor （1.11%） 和 Reveon （0.70%）。

　　關鍵點如下：

　　GandCrab 占 2020 年前兩個季度的大部分勒索軟件活動，Babuk 勒索軟件家族在 2021 年 7 月推動了感染激增。

　　檢測到的勒索軟件文件中有 95% 是基于 Windows 的可執行文件或動態鏈接庫 （DLL），而 2% 是基于 Android 的。

　　大約 5% 的分析樣本與與 Windows 特權提升、SMB 信息泄露和遠程執行相關的漏洞利用有關。

　　Emotet、Zbot、Dridex、Gozi 和 Danabot 是用于分發勒索軟件的主要惡意軟件工件。

　　據CheckPoint的全球威脅指數顯示，Trickbot 在 8 月跌至第二位，在9月份重回惡意軟件榜首。遠程訪問木馬njRAT首次進入前十，取代Phorpiex。據報道，Trickbot 的一名團伙成員實際上因美國調查而被捕。CheckPoint的研究人員報告說，與 2020 年相比，2021 年全球每周針對組織的攻擊增加了40%，但其中大部分（如果不是全部）本可以預防。組織不能拖延采用預防優先的網絡安全方法。

　　Web Server Exposed Git Repository Information Disclosure是最常被利用的漏洞，影響全球組織抽樣的44% ，其次是“Command Injection Over HTTP，影響組織抽樣43% 。HTTP Headers Remote Code Execution在漏洞列表中排名第三，全球影響力也為 43%。

　　2021年09月”十惡不赦“

　　*箭頭表示與上個月相比的排名變化。

　　本月，Trickbot是最流行的惡意軟件，影響了全球抽樣 4% 的組織，其次是 Formbook和 XMRig，分別影響了全球抽樣3% 的組織。

　　↑ Trickbot – Trickbot 是一個模塊化僵尸網絡和銀行木馬程序，不斷更新新功能、特性和分發載體，使 Trickbot 成為一種靈活且可定制的惡意軟件，可以作為多用途活動的一部分進行分發。

　　↓ Formbook – Formbook 是一個信息竊取器，可以從各種 Web 瀏覽器中獲取憑據，收集屏幕截圖、監控和記錄擊鍵，并且可以根據其 C&C 命令下載和執行文件。

　　↑ XMRig – XMRig 是一種開源 CPU 挖掘軟件，用于門羅幣加密貨幣的挖掘過程，于 2017 年 5 月首次出現在野外。

　　↓ Agent Tesla – Agent Tesla 是一種高級 RAT，用作鍵盤記錄器和信息竊取器，能夠監視和收集受害者的鍵盤輸入、系統鍵盤、截屏，并將憑據泄露到安裝在受害者機器上的各種軟件中（包括 Google Chrome、Mozilla Firefox 和 Microsoft Outlook 電子郵件客戶端）。

　　? Glupteba – Glupteba 是一個逐漸成熟為僵尸網絡的后門。到 2019 年，包括通過公共比特幣列表的 C&C 地址更新機制、集成的瀏覽器竊取器功能和路由器開發器。

　　? Remcos – Remcos 是一種 RAT，于 2016 年首次出現在野外。Remcos 通過附加到垃圾郵件電子郵件的惡意 Microsoft Office 文檔進行自我分發，旨在繞過 Microsoft Windows UAC 安全性并以高級權限執行惡意軟件。

　　↑ Tofsee – Tofsee 是一種后門木馬，至少從 2013 年開始運行。Tofsee 是一種多用途工具，可以進行 DDoS 攻擊、發送垃圾郵件、挖掘加密貨幣等。

　　↓ Ramnit – Ramnit 是一種銀行木馬，可竊取銀行憑據、FTP 密碼、會話 cookie 和個人數據。

　　↑ Floxif – Floxif 是一個信息竊取器和后門，專為 Windows 操作系統設計。它在 2017 年被用作大規模攻擊活動的一部分，攻擊者將 Floxif（和 Nyetya）插入到 CCleaner（一種清理實用程序）的免費版本中，從而感染了超過 200 萬用戶，其中包括谷歌等大型科技公司，微軟、思科和英特爾。

　　↑ njRAT – njRAT 是一種遠程訪問木馬，主要針對中東的政府機構和組織。于 2012 年首次出現，具有多種功能：捕獲按鍵、訪問受害者的相機、竊取瀏覽器中存儲的憑據、上傳和下載文件、執行進程和文件操作以及查看受害者的桌面。njRAT 通過網絡釣魚攻擊和偷渡式下載感染受害者，并在命令和控制服務器軟件的支持下通過受感染的 USB 密鑰或網絡驅動器傳播。

　　09月份漏洞Top10

　　本月Web Server Exposed Git Repository Information Disclosure是最常被利用的漏洞，影響了全球抽樣 44% 的組織，其次是Command Injection Over HTTP，影響了全球抽樣 43% 的組織。HTTP Headers Remote Code Execution在最常被利用的漏洞列表中排名第三，全球抽樣影響力也為 43%。

　　? Web 服務器暴露的 Git 存儲庫信息泄露 – Git 存儲庫中報告了一個信息泄露漏洞，成功利用此漏洞可能會無意中泄露賬戶信息。

　　↑基于 HTTP的命令注入-已報告了基于 HTTP 漏洞的命令注入。遠程攻擊者可以通過向受害者發送特制的請求來利用此問題，成功的利用將允許攻擊者在目標機器上執行任意代碼。

　　↓ HTTP 標頭遠程代碼執行（CVE-2020-10826、CVE-2020-10827、CVE-2020-10828、CVE-2020-13756）—— HTTP 標頭讓客戶端和服務器通過 HTTP 請求傳遞附加信息，遠程攻擊者可能會使用易受攻擊的 HTTP 標頭在受害機器上運行任意代碼。

　　↑ Web 服務器惡意 URL 目錄遍歷（CVE-2010-4598、CVE-2011-2474、CVE-2014-0130、CVE-2014-0780、CVE-2015-0666、CVE-2015-4068、CVE-2545 CVE-2016-4523、CVE-2016-8530、CVE-2017-11512、CVE-2018-3948、CVE-2018-3949、CVE-2019-18952、CVE-2020-5410、CVE-820）那里-820在不同的 Web 服務器上存在目錄遍歷漏洞。該漏洞是由于 Web 服務器中的輸入驗證錯誤導致的，該錯誤未正確清理目錄遍歷模式的 URL，成功利用允許未經身份驗證的遠程攻擊者披露或訪問易受攻擊的服務器上的任意文件。

　　↓ MVPower DVR 遠程代碼執行– MVPower DVR 設備中存在遠程代碼執行漏洞，遠程攻擊者可以利用此弱點通過精心設計的請求在受影響的路由器中執行任意代碼。

　　↓ Dasan GPON Router Authentication Bypass （CVE-2018-10561） – Dasan GPON 路由器中存在身份驗證繞過漏洞，成功利用此漏洞將允許遠程攻擊者獲取敏感信息并未經授權訪問受影響的系統。

　　7 . ↑ Apache Struts2 Content-Type Remote Code Execution （CVE-2017-5638,CVE-2017-5638,CVE-2019-0230） – 使用 Jakarta 多部分解析器的 Apache Struts2 中存在一個遠程代碼執行漏洞。攻擊者可以通過發送無效的內容類型作為文件上傳請求的一部分來利用此漏洞，成功利用可能會導致在受影響的系統上執行任意代碼。

　　8 . ↓ OpenSSL TLS DTLS Heartbeat Information Disclosure （CVE-2014-0160,CVE-2014-0346） – OpenSSL 中存在信息泄露漏洞。該漏洞，又名 Heartbleed，是由于處理 TLS/DTLS 心跳包時出現錯誤造成的，攻擊者可以利用此漏洞來泄露連接的客戶端或服務器的內存內容。

　　↑ NoneCMS ThinkPHP 遠程代碼執行（CVE-2018-20062） ——NoneCMS ThinkPHP 框架中存在遠程代碼執行漏洞，成功利用此漏洞可能允許遠程攻擊者在受影響的系統上執行任意代碼。

　　?Netgear DGN 未經身份驗證的命令執行– Netgear DGN 設備中存在未經身份驗證的命令執行漏洞，由于 Netgear DGN 處理身份驗證檢查的方式造成的，成功的攻擊可能導致未經身份驗證的命令執行。

　　9月份移動惡意軟件TOP3

　　本月 xHelper 仍然是最流行的移動惡意軟件中的第一名，其次是 AlienBot 和 FluBot。

　　xHelper – 自 2019 年 3 月以來在野外發現的惡意應用程序，用于下載其他惡意應用程序并顯示廣告，能夠對用戶隱藏自己，甚至可以在卸載時重新安裝。

　　AlienBot – AlienBot 惡意軟件系列是一種用于 Android 設備的惡意軟件即服務 （MaaS），允許遠程攻擊者作為第一步，將惡意代碼注入合法的金融應用程序中。攻擊者可以訪問受害者的賬戶，并最終完全控制他們的設備。

　　FluBot – FluBot 是一種 Android 僵尸網絡惡意軟件，通過網絡釣魚 SMS 消息分發，通常冒充物流配送品牌。一旦用戶單擊消息中的鏈接，FluBot 就會安裝并訪問手機上的所有敏感信息。