杀手榜第五——CVE-2020-0601

影响系统：

• Windows 10

• Windows Server 2016

• Windows Server 2019

攻击方法：

               黑客可以通过发送钓鱼邮件，携带经过签名的恶意软件附件。员工在点击恶意软件时，由于很多杀软对恶意软件的判定依赖于是否签名，导致绕过防护，控制员工电脑

攻击工具是否公开：

              目前利用工具已经在github上公开，任意一个人都可以用该工具签名恶意软件进行攻击

修复方案：

            微软已经有补丁了，直接打。打补丁的过程中注意灰度

监控方案：

           方案一：端上的安全软件检测签名是否为ECC签名，如果是，则很有可能是尝试利用

杀手榜第四——CVE-2020-2546&CVE-2020-2551

影响系统：

• WebLogic 10.3.6.0.0

• WebLogic 12.1.3.0.0

• WebLogic 12.2.1.3.0

• WebLogic 12.2.1.4.0

攻击方法：

                一旦Weblogic以上版本开放了IIOP协议和T3协议，攻击者在没有用户名密码的情况下，都能攻击WebLogic的服务器，控制服务器

攻击工具是否公开：

                目前github上尚未公开具体攻击工具，但已经有很多人根据已有信息开发出了攻击工具

修复方案：

            Oracle官方已有补丁。如果没法打补丁，禁用IIOP协议。T3协议只允许内部访问。但这种缓解方案，通过SSRF攻击，或者钓鱼攻击之后，可以进一步控制Weblogic服务器

监控方案：

               T3协议并非是标准的HTTP协议，所以常规的Web防火墙并不能很好的检测和拦截攻击。这里必须要使用主机上的检测方案。在服务器上部署主机入侵检测系统，来识别异常的命令执行。

杀手榜第三——CVE-2019-19781

影响系统：  

• Citrix ADC 和 Citrix Gateway version 13.0 

• Citrix ADC 和 NetScaler Gateway version 12.1 

• Citrix ADC 和 NetScaler Gateway version 12.0 

• Citrix ADC 和 NetScaler Gateway version 11.1

• Citrix NetScaler ADC 和 NetScaler Gateway 10.5

这个Citrix ADC Citrix Gateway名字看起来很奇怪，其实就是Citrix用来做虚拟化的。如果公司里面有虚拟桌面等类似的平台，要注意下是否使用的是Citrix的平台做的。

攻击方法：一旦Citrix ADC对外或者存在SSRF漏洞，又或者黑客控制了一台内部机器，就可以直接控制Citrix ADC

攻击工具是否公开：

              目前攻击工具已经在github上公开，并被大规模利用

修复方案：

            目前Citrix已经提供了缓解方案

监控方案：

            在Web防火墙中增加对/vpns/ 路径访问的监控

杀手榜第二——CVE-2019-11510

影响系统：

Pulse Connect Secure 9.0RX
Pulse Connect Secure 8.3RX
Pulse Connect Secure 8.2RX
     Pulse Connect是一个VPN系统，
该VPN Server如果对外，就会存在该漏洞
攻击方法：
    表面上这个漏洞是个读文件的漏洞，但由于
Pulse Connect把登录的用户名密码直接明文
存在某个文件里，可以通过该漏洞读出明文的
用户名密码。然后通过该用户名密码登录后，
就能控制该VPN Server。
攻击工具是否公开：
    已经公开并已经被大规模利用
修复方案：
      Pulse Secure官方已提供修复补丁
监控方案：
       通过Web防火墙监控是否存在/dana-na/
关键词
杀手榜第一——CVE-2019-0708
影响系统：
Windows 7
Windows Server 2008 R2
Windows Server 2008
Windows 2003
Windows XP
攻击方法：
   只要以上版本的Windows系统开启了3389，
   就能被直接控制
攻击工具是否公开：
        已经公开
修复方案：
      微软官方已提供修复补丁
监控方案：
       通过EDR监控是否存在异常进程