2020年四月份恶意软件之“十恶不赦”排行榜

四月份，微软共为Microsoft产品发布了113个的漏洞补丁，涉及产品涵盖Microsoft Windows、Microsoft Edge（基于EdgeHTML和Chromium）、ChakraCore、Internet Explorer、Office和Office Services和Web Apps、Windows Defender、Visual Studio、Microsoft Dynamics、Microsoft Apps for Android和Mac的Microsoft Apps。在CVE中这113个漏洞，17个超危，96高危。

甲骨文四月份解决了264个漏洞无需身份验证即可远程利用。有超过55个的CVSS评分为9.8。大约90个漏洞的CVSS得分为8.0或更高。

著名的银行木马Dridex于3月份首次进入威胁指数前十名，四月份进一步扩大其影响。Check Point研究团队对对漏洞影响也给出了看法， MVPower DVR远程执行代码仍然利用是最普遍的漏洞，影响全球组织抽样的46％，其次是OpenSSL TLS DTLS心跳信息披露，影响全球组织抽样的41％，再其次是HTTP负载上的命令注入，影响全球组织抽样的40％。

2020年4月“十恶不赦”

*箭头表示与上个月相比的排名变化。

本月，Dridex跃升至第一，影响全球组织抽样的4％，其次是XMRig和Agent Tesla分别影响全球组织抽样的4％和3％。

1. ↑ Dridex – Dridex是针对Windows平台的银行木马，由垃圾邮件活动和漏洞利用工具包提供，依靠 页注入并将银行凭据重定向到攻击者控制的服务器。Dridex与远程服务器联系，发送有关受感染系统的信息，还可以下载并执行其他模块以进行远程控制，有近十年的活动历史。

2. ↓XMRig – 是一种开源利用CPU进行挖掘恶意软件，用于挖掘Monero加密货币，并于2017年5月首次被发现，与上个月排名相比，下降一个名次。

3. ↑ Agent Tesla– AgentTesla是一种高级RAT，可用作键盘记录器和密码窃取器。攻击者利用AgentTesla能够监控和收集受害者的键盘输入、系统剪贴板、截取屏幕，以及泄露属于受害者机器上安装的各种软件（包括Google Chrome，Mozilla Firefox和Microsoft Outlook电子邮件客户端）的凭据。

4. ↓Jsecoin – 一种可以嵌入 站的JavaScript矿工。使用JSEcoin，可以直接在浏览器中运行矿工，以换取无广告体验，游戏内货币和其他奖励，因恶意软件利用计算机资源挖掘虚拟货币，从而导致系统性能受到极大影响。

5. ↓ Trickbot – 是一种占主导地位的银行木马，不断更新功能和分发向量。这使得Trickbot成为一种灵活且可定制的恶意软件，可以作为多用途广告系列的一部分进行分发。

6. ↑ Ramnit – 是一款能够窃取银行凭据， FTP密码，会话cookie和个人数据的银行特洛伊木马。

7. ?Formbook – FormBook是一个Info Stealer，可以从各种Web浏览器中获取凭据、收集屏幕截图、监视和记录键盘，并可以根据其C＆C订单下载和执行文件。

8. ↑XHelper –安全厂商 Malwarebytes 于 2019 年 5 月检测到了它的存在，一个隐蔽的恶意软件删除程序，即使在用户恢复出厂设置以后，该恶意软件还是会重新感染，从而给全世界的用户带来了持续困扰。

9. ↓ Emotet –Emotet是一种高级的自我传播和高级模块化的木马。Emotet曾经被用作银行木马，最近被用作其他恶意软件或恶意广告的分销商。它使用多种方法来维护持久性和规避技术以避免检测。此外，它还可以通过包含恶意附件或链接的 络钓鱼垃圾邮件进行传播。

10. ↓RigEK – RigEK提供了针对Flash、Java、Silverlight和InternetExplorer的攻击。感染链从重定向到登录页面开始，该页面包含JavaScript，该JavaScript检查易受攻击的插件并进行利用。

3月份漏洞Top 10

本月，MVPower DVR远程执行代码是利用最普遍的漏洞，影响全球组织抽样的46％，其次是OpenSSL TLS DTLS心跳信息泄露，影响全球组织抽样的41％。排在第三位的通过HTTP Payload进行命令注入漏洞，影响全球组织抽样的40％，主要出现在利用DrayTek路由器和交换设备中的零日漏洞的攻击中（CVE-2020-8515）。

1. ?MVPower DVR远程执行代码– MVPower DVR设备中存在一个远程执行代码漏洞。远程攻击者可以利用此漏洞通过精心设计的请求在受影响的路由器中执行任意代码。

2. ↑ OpenSSL TLS DTLS心跳信息泄露（CVE-2014-0160;CVE-2014-0346）– OpenSSL中存在一个信息泄露漏洞。该漏洞是由于处理TLS / DTLS心跳数据包时出错。攻击者可以利用此漏洞来泄露连接的客户端或服务器的内存内容。

3. ↑HTTP Payload命令注入–已 告通过HTTP有效负载进行命令注入漏洞。远程攻击者可以通过向受害者发送特制请求来利用此问题。攻击者成功的利用可在目标计算机上执行任意代码。

4. ↑Dasan GPON路由器身份验证旁路（CVE-2018-10561） –GPON路由器中存在身份验证绕过漏洞。成功利用此漏洞将使远程攻击者可以获得敏感信息并获得对受影响系统的未授权访问。

5. ↑SQL注入（综合技术）–在从客户端到应用程序的输入中插入SQL查询注入，同时利用应用程序软件中的安全漏洞。

6. ↑PHP DIESCAN信息泄露– PHP页面中已 告的信息泄露漏洞。成功利用该漏洞可能导致服务器泄露敏感信息。

7.↑WordPress Portable-phpMyAdmin插件身份验证绕过– WordPress Portable-phpMyAdmin插件中存在身份验证绕过漏洞。成功利用此漏洞将使远程攻击者可以获得敏感信息并获得对受影响系统的未经授权的访问。

8.↓D-Link DSL-2750B远程命令执行– D-Link DSL-2750B路由器中 告了一个远程执行代码漏洞，可实现设备上任意执行代码。

9. ↑↑ OpenSSL PaddingOracle信息公开–是由于在某些填充检查期间内存分配计算错误所致。远程攻击者可利用此漏洞通过针对AESCBC会话的padding-oracle攻击来获取敏感的明文信息。

10. ↑Joomla对象注入远程命令执行–由于缺乏对输入对象的验证而导致的远程代码执行。远程攻击者可以通过向受害者发送恶意请求来利用此漏洞，成功利用此漏洞可能导致在目标用户的上下文中执行任意代码。

3月份移动恶意软件Top 3

本月，xHelper仍然是移动恶意软件第一名，其次是Lotoor和AndroidBauts。

1. xHelper-自2019年3月以来在野外常见的恶意应用程序，用于下载其他恶意应用程序和显示广告。该应用程序可以向用户隐藏自身，并在卸载后重新安装。

2. Lotoor– Lotoor是一种黑客工具，可利用Android操作系统上的漏洞来获取受感染移动设备的root特权。

3. AndroidBauts– AndroidBauts是针对Android用户的广告软件，渗入IMEI，IMSI，GPS位置和其他设备信息，并允许在移动设备上安装第三方应用程序和快捷方式。

根据2020年4月28日国家市场监督管理总局、国家标准化管理委员会发布的中华人民共和国国家标准公告（2020年第8 ），全国信息安全标准化技术委员会归口的GB/T 22240-2020《信息安全技术 络安全等级保护定级指南》等26项国家标准正式发布，也标志着我国等级保护2.0的各项国家配套标准逐步完善中，为我们等保人开展工作提供更加有力的支撑。