作者:Itay Bochner伊泰-博克纳
摘要
Emotet 的名字在长期不受关注之后,最近经常出现在新闻中,尤其是在广泛的勒索软件攻击和高阶网络钓鱼活动中。这是一种高阶木马,通常通过电子邮件附件和链接传播,一旦点击就会启动有效载荷。Emotet 可作为其他恶意软件的载体。
Emotet 为何如此特别,以至于成为威胁行为者使用的最大僵尸网络?
为了理解这一点,我们将从头开始......
Emotet 解释
Emotet 于 2014 年首次被发现,当时德国和奥地利银行的客户受到了该木马的影响。它最初是一个简单的木马,能够窃取敏感和私人信息。随着它的发展,它获得了更多的功能,如发送垃圾邮件和恶意软件交付服务(投放器),在感染电脑后安装其他恶意软件。通常会投放以下程序:
- TrickBot - 一种试图获取银行账户登录数据的银行木马。
- Ryuk:一种加密数据并阻止计算机用户访问这些数据或整个系统的勒索软件。
Emotet 通过钓鱼电子邮件附件或加载钓鱼附件的链接进行蠕虫式传播。打开后,Emotet 通过猜测管理员凭据并使用这些凭据使用 SMB 文件共享协议远程写入共享驱动器,从而在整个网络中传播,这使得攻击者能够在网络中横向移动。
根据 US-CISA :
Emotet 是一种高阶木马,主要通过钓鱼邮件附件和链接传播,一旦点击就会启动有效载荷(钓鱼:鱼叉式钓鱼附件[T1566.001],钓鱼:鱼叉式钓鱼链接[T1566.002])。然后,该恶意软件试图通过暴力破解用户凭证和写入共享驱动器在网络中扩散(暴力破解:密码猜测[T1110.001],有效账户:有效账户:本地账户[T1078.003],远程服务:SMB/Windows 管理共享[T1021.002])。
上述内容强调了 Emotet 为何难以防范,因为其特殊的规避技术和 "蠕虫式 "特征使其能够在网络内自主横向传播。
另一个主要特点是,Emotet 使用模块化 DLL(动态链接库)来不断发展和更新其功能。
近期活动
有大量报告显示,Emotet 的使用量大幅增加。
- 根据惠普公司的最新数据,从今年第二季度到第三季度,检测到的使用 Emotet 木马的攻击飙升了 1200% 以上,支持了勒索软件活动的激增。
(https://www.infosecurity-magazine.com/news/ransomware-alert-as-emotet/) - 自 2020 年 7 月以来,CISA 发现涉及 Emotet 相关指标的活动有所增加。在此期间,CISA 保护联邦、民用和行政部门网络的 EINSTEIN 入侵检测系统检测到大约 16,000 次与 Emotet 活动有关的警报。
(https://us-cert.cisa.gov/ncas/alerts/aa20-280a) - 微软、意大利和荷兰上个月警告说,Emotet 恶意垃圾邮件活动激增,而在此之前几周,法国、日本和新西兰也对 Emotet 发出了警告。
(https://www.zdnet.com/article/us-warns-big-surge-in-emotet-malware-campaigns-makes-it-one-of-todays-top-threats/) - 最近几周,我们发现 Emotet Malspam
(https://unit42.paloaltonetworks.com/emotet-thread-hijacking/) 的数量明显增多。
Emotet 在新一轮浪潮中行为的独特之处在于,Emotet 的垃圾邮件活动发生了变化,现在也不再利用 Office 文档,而是利用受密码保护的 ZIP 文件。
这样做的目的是,通过使用密码保护文件,电子邮件安全网关就无法打开存档扫描其内容,也就看不到里面的 Emotet 恶意软件痕迹。
Palo Alto Networks 还公布了 Emotet 使用的一种名为 "线程劫持 "的新技术。这是一种电子邮件攻击技术,利用从受感染计算机的电子邮件客户端窃取的合法邮件。这种恶意邮件会欺骗合法用户,并假冒其回复被盗邮件。线程劫持的恶意垃圾邮件会发送到原始邮件中的地址。
OPSWAT 提供的预防性解决方案可以保护您的组织免受 Emotet 的攻击。我们的解决方案可帮助企业防止 Emotet 进入网络。
Email Gateway Security阻止网络钓鱼攻击
Secure 访问有助于合规性验证
MetaDefender CoreDeep CDR (内容解除和重构) 提供 文件上传安全保护。
如需了解更多信息,请立即联系我们。
