全球十大禁播廣告(全球十大禁播廣告公司)

根據網絡安全和基礎設施安全局(CISA)和澳大利亞網絡安全中心(ACSC)發布的新列表。

網絡安全機構表示，2021年，主要惡意軟件類型包括遠程訪問木馬(RAT)、銀行木馬、信息竊取程序和勒索軟件。

2021年排名靠前的惡意軟件類型是：Agent Tesla、AZORult、Formbook、Ursnif、LokiBot、MOUSEISLAND、NanoCore、Qakbot、Remcos、TrickBot和GootLoader。

惡意軟件Agent Tesla、AZORult、Formbook、LokiBot、NanoCore、Remcos 和TrickBot，這些被使用了至少五年。

Qakbot和Ursnif，已被部署了十多年。

惡意軟件通常會不斷更新，并且一個惡意軟件的代碼可能會被其他人重復使用。

Qakbot和TrickBot用于構成僵尸網絡，由網絡犯罪分子開發和運營，這些犯罪分子通過控制僵尸網絡來促進利潤豐厚的勒索軟件攻擊。

根據美國政府的報告，TrickBot惡意軟件通常會啟用Conti勒索軟件的初始訪問權限，該勒索軟件在2021年上半年被用于近450次全球勒索軟件攻擊。

2021年，網絡犯罪分子利用Formbook、Agent Tesla和Remcos惡意軟件開展了大規模網絡釣魚活動，這些惡意軟件結合了COVID-19大流行主題，以竊取企業和個人的個人數據和憑證。

在包括惡意軟件即服務(MaaS)在內的犯罪惡意軟件行業中，開發人員會創建惡意軟件，惡意軟件分發者會將這些惡意軟件出售給下一級惡意軟件運營商。

這些2021年頂級惡意軟件的開發人員在幾年內持續支持、改進和分發他們的惡意軟件。惡意軟件開發人員受益于利潤豐厚的網絡黑產運營。許多惡意軟件開發人員通常在幾乎沒有法律禁止惡意軟件開發和部署的地方開展業務。一些開發人員甚至將他們的惡意軟件產品作為合法的網絡安全工具進行營銷。

例如，Remcos和Agent Tesla的開發人員將該軟件作為遠程管理和滲透測試的合法工具進行營銷。惡意軟件運營者以低成本在線購買Remcos和Agent Tesla。

大多數惡意軟件都利用網絡釣魚郵件和惡意附件傳播，因為傳統的安全檢測很容易被攻擊者繞過。

頂級惡意軟件清單：

Agent Tesla

概述：Agent Tesla能夠從郵件客戶端、Web瀏覽器和文件傳輸協議(FTP)服務器竊取數據。該惡意軟件還可以捕獲屏幕截圖、視頻和Windows剪貼板數據。Agent Tesla以管理個人電腦的合法工具為幌子，可以在線購買。它的開發人員繼續添加新功能，包括混淆功能和針對憑據竊取的其他應用程序。

活躍時間:2014

惡意軟件類型：RAT（遠程訪問木馬）

傳遞方法：通常作為網絡釣魚電子郵件中的惡意附件傳遞。

AZORult

概述：AZORult用于從受感染的系統中竊取信息。它已在地下黑客論壇上出售，用于竊取瀏覽器數據、用戶憑據和加密貨幣信息。AZORult的開發人員不斷更新其功能。

活躍時間：2016

惡意軟件類型：木馬

交付方式：網絡釣魚、受感染的網站、漏洞利用工具包（利用已知軟件漏洞的自動化工具包），或通過下載和安裝AZORult的惡意軟件投放器。

FormBook

概述：FormBook是在黑客論壇上宣傳的信息竊取程序。ForrmBook能夠記錄和捕獲瀏覽器或電子郵件客戶端密碼，但其開發人員繼續更新惡意軟件以利用最新的常見漏洞，例如Microsoft MSHTML 遠程代碼執行漏洞（CVE-2021-40444）。

活動時間：至少2016年

惡意軟件類型：木馬

投遞方式：通常作為釣魚郵件的附件投遞。

Ursnif

概述：Ursnif是一種竊取金融信息的銀行木馬。Ursnif也被稱為Gozi，多年來已經發展到包括持久性機制、避免沙箱和虛擬機的方法，以及磁盤加密軟件的搜索功能，以嘗試提取未加密文件的密鑰。基于根據來自受信任的第三方的信息，截至2022年7月，Ursnif基礎設施仍處于活躍狀態。

活躍時間：2007

惡意軟件類型：木馬

投遞方式：通常作為釣魚郵件的惡意附件投遞。

LokiBot

概述：LokiBot是一種木馬惡意軟件，用于竊取敏感信息，包括用戶憑據、加密貨幣錢包和其他憑據。2020年LokiBot變體被偽裝成Fortnite多人視頻游戲的啟動器。

活躍時間：2015

惡意軟件類型：木馬

投遞方式：通常作為惡意電子郵件附件投遞。

MOUSEISLAND

概述：MOUSEISLAND通常位于Microsoft Word文檔的嵌入式宏中，并且可以下載其他有效負載。MOUSEISLAND可能是勒索軟件攻擊的初始階段。

活躍時間：至少2019年

惡意軟件類型：宏下載器

交付方式：通常作為電子郵件附件分發。

NanoCore

概述：NanoCore用于竊取受害者的信息，包括密碼和電子郵件。NanoCore還可能允許惡意用戶激活計算機的網絡攝像頭來監視受害者。惡意軟件開發人員繼續開發附加功能，作為可供購買的插件或作為惡意軟件工具包或在惡意網絡參與者之間共享。

活躍時間：2013

惡意軟件類型：RAT（遠程訪問木馬）

交付方式：已在電子郵件中作為惡意ZIP文件中的ISO磁盤映像交付；也在云存儲服務上托管的惡意PDF文檔中發現。

Qakbot

概述：最初被視為銀行木馬，Qakbot的功能已經發展到包括執行偵察、橫向移動、收集和泄露數據以及交付有效負載。Qakbot也稱為QBot或Pinksllot，本質上是模塊化的，使惡意網絡攻擊者能夠根據自己的需要對其進行配置。Qakbot也可用于形成僵尸網絡。

活躍時間：2007

惡意軟件類型：木馬

傳遞方式：可以通過電子郵件以惡意附件、超鏈接或嵌入圖像的形式傳遞。

Remcos

概述：Remcos作為用于遠程管理和滲透測試的合法軟件工具進行銷售。Remcos是Remote Control and Surveillance的縮寫，在COVID-19（新冠病毒）大流行期間被攻擊者利用進行大規模網絡釣魚活動來竊取個人數據和憑據。

Remcos在目標系統上安裝了一個后門。然后，惡意網絡攻擊者使用Remcos后門發出命令并獲得管理員權限，同時繞過防病毒產品、保持持久性并通過將自身注入Windows進程作為合法進程運行。

活躍時間：2016

惡意軟件類型：RAT

投遞方式：通常在釣魚郵件中作為惡意附件投遞。

TrickBot

概述：TrickBot惡意軟件通常用于形成僵尸網絡或啟用Conti勒索軟件或Ryuk銀行木馬的初始訪問權限。TrickBot由一群復雜的惡意網絡參與者開發和運營，并已演變成高度模塊化、多階段的惡意軟件。

2020年，網絡犯罪分子使用TrickBot攻擊醫療保健和公共衛生(HPH)部門，然后發起勒索軟件攻擊、泄露數據或破壞醫療保健服務。根據來自受信任第三方的信息，TrickBot的基礎設施在2022年7月仍處于活躍狀態。

活躍時間：2016

惡意軟件類型：木馬

交付方式：通常通過電子郵件作為超鏈接交付。

GootLoader

概述：GootLoader是歷史上與GootKit惡意軟件相關的惡意軟件加載程序。隨著其開發人員更新其功能，GootLoader已從下載惡意負載的加載程序演變為多負載惡意軟件平臺。

作為加載程序惡意軟件，GootLoader通常是系統入侵的第一階段。通過利用搜索引擎投毒傳播，攻擊者通過搜索引擎優化或購買搜索引擎廣告，使惡意網站的排名靠前。

活動時間：至少2020年

惡意軟件類型：加載程序

傳遞方式：可在搜索引擎結果排名靠前的受感染網站上下載惡意文件

安全建議：

修補操作系統、應用軟件、設備固件的安全漏洞；盡可能強制執行MFA（多因素身份驗證），并要求使用密碼登錄的帳戶（包括服務帳戶）具有強密碼。不允許跨多個帳戶使用密碼或將密碼存儲在攻擊者可能有權訪問的系統上；嚴密監視RDP（遠程桌面服務）或其他潛在風險的服務，禁用不必要的服務；確保數據有離線備份，定期測試備份程序；確保離線備份是加密的，密鑰也保持離線狀態；對最終用戶進行安全意識培訓，以防止社會工程和魚叉式網絡釣魚活動；作為長期努力的一部分，實施網絡分段以根據角色和功能隔離網絡段。網絡分段可以通過控制各種子網絡之間的流量和訪問來幫助防止勒索軟件的傳播和威脅參與者的橫向移動。

參考鏈接：https://www.cisa.gov/uscert/ncas/alerts/aa22-216a