近日,网络安全解决方案提供商 Check Point® 软件技术有限公司(纳斯达克:CHKP)发布了其 2019 年 1 月最新版《全球威胁指数》报告。报告揭示了一种影响 Linux 服务器的新型后门木马,该木马可散播 XMRig 加密货币挖矿恶意软件。这一名为 SpeakUp 的新型恶意软件能够提供任何载荷,并在受攻击的设备上执行载荷。
如同“流浪地球”中无可躲避的太阳危机,该新型木马目前能够躲过所有安全厂商的杀毒软件。它根据控制中心发送的指令通过一系列漏洞进行传播,包括第八大最常利用的漏洞“HTTP 命令行注入(Command Injection over HTTP)一旦被感染恶意挖矿软件,不仅本机的运算能力将受到极大影响,其获取的加密货币也将在茫茫网络中“流浪”到不知所踪。由于 Speakup 可用来下载和传播任何恶意软件,Check Point 研究人员将其视为重大威胁。
1 月最常见的四大恶意软件变体均为加密货币挖矿软件。Coinhive 仍然位居恶意软件之首,全球有 12% 的组织受到了影响。XMRig 再次成为第二大常见的恶意软件,全球有 8% 的组织都因此而遭殃。更加需要注意的是,XMRig在我国1月份恶意软件排行中位居首位,超过23%的组织与机构均受到来自该软件的威胁。第三是 Cryptoloot 挖矿软件,全球有 6% 的组织受到波及。尽管 1 月指数中出现了四种加密货币挖矿软件,但有一半的十大恶意软件可用来向受感染的设备下载更多恶意软件。
Check Point 威胁情报小组经理 Maya Horowitz 表示:“尽管 1 月针对全球企业的恶意软件形式几乎没有什么变化,但我们发现了新的恶意软件散播方式,颇有山雨欲来风满楼之势。Speakup 等后门程序能够躲过检测,然后向受感染的设备散播更多可能更危险的恶意软件。由于企业普遍采用 Linux 服务器,我们预计今年将会有规模更大、更凶猛的 Speakup 威胁来袭。”
2019 年 1 月三大恶意软件:
*箭头表示与上月相比的排名变化。
↔ Coinhive - 当用户访问网页时,该加密货币挖矿软件可在用户不知情或未经用户批准的情况下执行门罗币加密货币在线挖掘。植入的 JavaScript 利用最终用户机器上的大量计算资源进行挖矿,同时可能会造成系统崩溃。
↔ XMRig - 一种开源 CPU 挖矿软件,用于门罗币加密货币的挖掘,首次出现时间为 2017 年 5 月。
↑ Cryptoloot - 该加密货币挖矿软件可利用受害者的 CPU 或 GPU 和现有资源进行加密货币挖矿,从而向区块链添加交易并发行新型货币。它是 Coinhive 的竞争对手,试图通过从网站上收取较小比例的利润来提高竞争力。
Android 模块化后门程序 Hiddad 能够为下载的恶意软件提供权限,现已取代 Triada,跃居移动恶意软件首位。Lotoor 仅随其后,其次是 Triada。
1 月三大移动恶意软件:
Hiddad - Android 模块化后门程序,能够为下载的恶意软件提供超级用户权限,帮助它嵌入到系统进程中。
Lotoor - 黑客工具,能够利用 Android 操作系统漏洞在入侵的移动设备上获得根权限。
Triada - Android 模块化后门程序,能够为下载的恶意软件提供超级用户权限,帮助它嵌入到系统进程中。Triada 还可欺诈浏览器中加载的 URL。
Check Point 研究人员还分析了最常利用的网络漏洞。CVE-2017-7269 仍然位于漏洞首位,影响全球 47% 的组织。Web Server Exposed Git 存储库信息泄露仅随其后,其次是 OpenSSL TLS DTLS 心跳信息泄露,分别影响全球 46% 和 45% 的组织。
1 月三大最常利用的漏洞:
↔ Microsoft IIS WebDAV ScStoragePathFromUrl 缓冲区溢出 (CVE-2017-7269) - 远程攻击者通过 Microsoft Internet Information Services 6.0 从网络上向 Microsoft Windows Server 2003 R2 发送一个狡诈的特制请求,能够在目标服务器上执行任意代码或发起拒绝服务攻击。其主要根源在于 HTTP 请求中对长报头的不正确验证导致的缓冲区溢出漏洞。
↑ Web Server Exposed Git 存储库信息泄露 - Git 存储库报告的一个信息泄露漏洞。攻击者一旦成功利用该漏洞,便会使用户在无意间造成帐户信息泄露。
↓ OpenSSL TLS DTLS 心跳信息泄露 (CVE-2014-0160; CVE-2014-0346) - 一个存在于 OpenSSL 中的信息泄露漏洞。该漏洞是由于处理 TLS/DTLS 心跳包时发生错误造成的。攻击者可利用该漏洞泄露联网客户端或服务器的内存内容。
Check Point《全球威胁影响指数》及其《ThreatCloud 路线图》基于 Check Point ThreatCloud 情报数据撰写而成,ThreatCloud 是打击网络犯罪的最大协作网络,可通过全球威胁传感器网络提供威胁数据和攻击趋势。ThreatCloud 数据库拥有 2.5 亿多条用于发现 Bot 的分析地址、1,100 多万个恶意软件签名以及 550 多万个受感染网站,每天可发现数百万种恶意软件类型。
关于 Check Point Research
Check Point Research 能够为 Check Point Software 客户以及整个情报界提供领先的网络威胁情报。Check Point 研究团队负责收集和分析 ThreatCloud 存储的全球网络攻击数据,以便在防范黑客的同时,确保所有 Check Point 产品都享有最新保护措施。此外,该团队由 100 多名分析师和研究人员组成,能够与其他安全厂商、执法机关及各个计算机安全应急响应组展开合作。