以色列安全机构checkpoint在今年1月份，发布了 2022 年 12 月全球威胁指数，由于过年加上其他杂七杂八的事情，一直拖着没有整理过来和大家分享。

Glupteba 恶意软件是支持区块链的木马僵尸网络，自 2022 年 7 月以来首次重返前十名，升至第八位。Qbot 是一种复杂的特洛伊木马程序，可以窃取银行凭证和击键，在去年十二月卷土重来后取代 Emotet 成为最流行的恶意软件，影响了全球抽样 7% 的组织。与此同时，Android 恶意软件 Hiddad 卷土重来，教育仍然是全球受影响最大的行业。

最新研究的压倒性主题是恶意软件如何经常伪装成合法软件，让黑客在不引起怀疑的情况下通过后门访问设备。这就是为什么在下载任何软件和应用程序或单击链接时进行尽职调查很重要，无论它们看起来多么真实。

研究还显示，“Web Server Exposed Git Repository Information Disclosure”是最常被利用的漏洞，影响了全球 46% 的组织，其次是“Web Servers Malicious URL Directory Traversal”，全球 44% 的组织受到影响。“HTTP 命令注入”是第三大最常使用的漏洞，全球影响为 43%。

2022年12月“十恶不赦”

*箭头表示与上个月相比排名的变化。

Qbot是上个月最流行的恶意软件，影响全球抽样7%的组织，其次是Emotet，全球抽样影响为4%，XMRig全球抽样影响为3%。

1. ↑ Qbot – Qbot AKA Qakbot 是一种银行木马，于 2008 年首次出现。它旨在窃取用户的银行凭证和击键。Qbot 通常通过垃圾邮件分发，它采用多种反虚拟机、反调试和反沙盒技术来阻碍分析和逃避检测。

2. ↔ Emotet – Emotet 是一种先进的、自我传播的模块化木马。Emotet 曾被用作银行木马，最近被用作其他恶意软件或恶意活动的分发者。它使用多种方法来保持持久性和规避技术以避免被发现。此外，它还可以通过包含恶意附件或链接的网络钓鱼垃圾邮件进行传播。

3. ↑ XMRig – XMRig 是用于挖掘 Monero 加密货币的开源 CPU 挖掘软件。威胁行为者经常通过将其集成到他们的恶意软件中来滥用这种开源软件，从而在受害者的设备上进行非法挖掘。

4. ↑ Formbook – Formbook 是一种针对 Windows 操作系统的信息窃取程序，于 2016 年首次被发现。由于其强大的规避技术和相对较低的价格，它在地下黑客论坛中作为恶意软件即服务 (MaaS) 进行销售。FormBook 从各种网络浏览器收集凭证、收集屏幕截图、监控和记录击键，并可以根据其 C&C 的命令下载和执行文件。

5. ↑ Nanocore ——NanoCore 是一种针对 Windows 操作系统用户的远程访问木马，于 2013 年首次在野外被发现。RAT 的所有版本都包含基本的插件和功能，例如屏幕捕获、加密货币挖掘、远程控制桌面和网络摄像头会话盗窃。

6. ↑ Ramnit – Ramnit 是一种模块化银行木马程序，于 2010 年首次被发现。Ramnit 窃取网络会话信息，使其运营商能够窃取受害者使用的所有服务的帐户凭据，包括银行帐户、公司和社交网络帐户。木马使用硬编码域以及 DGA（域生成算法）生成的域来联系 C&C 服务器并下载其他模块。

7. ↑Remcos – Remcos 是一种 RAT，于 2016 年首次在野外出现。Remcos 通过附加在垃圾邮件中的恶意 Microsoft Office 文档进行自我分发，旨在绕过 Microsoft Windows 的 UAC 安全并以高级别权限执行恶意软件。

8. ↑Glupteba – 自 2011 年以来，Glupteba 是一个逐渐成熟为僵尸网络的后门程序。到 2019 年，它包括通过公共比特币列表的 C&C 地址更新机制、集成的浏览器窃取器功能和路由器利用程序。

9. ↓AgentTesla – AgentTesla 是一种高级 RAT，充当键盘记录器和信息窃取器，能够监视和收集受害者的键盘输入、系统键盘、截屏，并将凭证泄露到安装在受害者机器上的各种软件（包括 Google Chrome、Mozilla Firefox 和 Microsoft Outlook 电子邮件客户端）。

10. ↓ Phorpiex – Phorpiex 是一个僵尸网络（又名 Trik），自 2010 年以来一直活跃，在其高峰期控制了超过一百万台受感染的主机。它以通过垃圾邮件活动分发其他恶意软件系列以及助长大规模垃圾邮件和性勒索活动而闻名。

全球受攻击最多的行业

上个月，教育/研究仍然是全球受攻击最严重的行业，其次是政府/军队，然后是医疗保健。

1. 教育/研究

2. 政府/军队

3. 卫生保健

最常被利用的漏洞

12 月，“ Web Server Exposed Git Repository Information Disclosure ”是最常被利用的漏洞，影响了全球46%的组织，其次是“ Web Servers Malicious URL Directory Traversal ”，全球44%的组织受到影响。“ HTTP 命令注入”是第三大最常使用的漏洞，全球影响为43%。

1. ↑ Web 服务器暴露的 Git 存储库信息泄露– Git 存储库中报告了一个信息泄露漏洞。成功利用此漏洞可能会导致无意中泄露帐户信息。

2. ↓ Web 服务器恶意 URL 目录遍历 (CVE-2010-4598,CVE-2011-2474,CVE-2014-0130,CVE-2014-0780,CVE-2015-0666,CVE-2015-4068,CVE-2015-7254, CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-2020-8260) – 有在不同的网络服务器上存在目录遍历漏洞。该漏洞是由于 Web 服务器中的输入验证错误导致的，该错误未正确清理目录遍历模式的 URI。成功的利用允许未经身份验证的远程攻击者泄露或访问易受攻击的服务器上的任意文件。

3. ↑ HTTP 上的命令注入（CVE-2021-43936、CVE-2022-24086） ——已报告 HTTP 上的命令注入漏洞。远程攻击者可以通过向受害者发送特制请求来利用此问题。成功的利用将允许攻击者在目标机器上执行任意代码。

4. ↓ HTTP 标头远程代码执行（CVE-2020-10826、CVE-2020-10827、CVE-2020-10828、CVE-2020-13756） ——HTTP 标头让客户端和服务器通过 HTTP 请求传递附加信息。远程攻击者可能会使用易受攻击的 HTTP 标头在受害计算机上运行任意代码。

5. ↑MVPower DVR 远程代码执行——MVPower DVR 设备中存在远程代码执行漏洞。远程攻击者可以利用此弱点通过精心设计的请求在受影响的路由器中执行任意代码。

6. ↓ Dasan GPON 路由器身份验证绕过 (CVE-2018-10561) – Dasan GPON 路由器中存在身份验证绕过漏洞。成功利用此漏洞将允许远程攻击者获取敏感信息并获得对受影响系统的未授权访问。

7. ↔ PHP 复活节彩蛋信息泄露 – PHP 页面中报告了一个信息泄露漏洞。该漏洞是由于不正确的 Web 服务器配置造成的。远程攻击者可以通过向受影响的 PHP 页面发送特制 URL 来利用此漏洞。

8. ↑Microsoft Windows HTTP.sys 远程代码执行（MS15-034：CVE-2015-1635）——某些版本的 Microsoft Windows OP 中的 HTTP.sys 漏洞被追踪为 CVE-2015-1635。成功的利用将允许威胁参与者执行任意 HTTP 请求，导致缓冲区溢出，并可能获得 SYSTEM 权限。

9. ↓ WordPress portable-phpMyAdmin 插件身份验证绕过 (CVE-2012-5469) – WordPress portable-phpMyAdmin 插件中存在身份验证绕过漏洞。成功利用此漏洞将允许远程攻击者获取敏感信息并获得对受影响系统的未授权访问。

10. ↓ PHPUnit 命令注入 (CVE-2017-9841) – PHPUnit 中存在一个命令注入漏洞。成功利用此漏洞将允许远程攻击者在受影响的系统中执行任意命令。

顶级移动恶意软件

上个月， Anubis仍然是最流行的移动恶意软件，其次是Hiddad和AlienBot。

1. Anubis – Anubis 是一种专为 Android 手机设计的银行木马恶意软件。自从最初被发现以来，它已经获得了额外的功能，包括远程访问木马 (RAT) 功能、键盘记录器和录音功能以及各种勒索软件功能。已在 Google 商店中提供的数百种不同应用程序中检测到它。

2. Hiddad – Hiddad 是一种 Android 恶意软件，它会重新打包合法应用程序，然后将它们发布到第三方商店。它的主要功能是显示广告，但它也可以访问操作系统内置的关键安全细节。

3. AlienBot – AlienBot 是一种适用于 Android 的银行木马，作为恶意软件即服务 (MaaS) 在地下出售。它支持键盘记录、用于凭据盗窃的动态覆盖以及用于绕过 2FA 的 SMS 收集。使用 TeamViewer 模块提供额外的远程控制功能。