摘要
Emotet 被认为是目前最常见、破坏性最强、修复成本最高的恶意软件 (1)。它主要通过含有恶意链接或受感染文件的钓鱼邮件传播。一旦受害者下载文件或点击链接,额外的恶意软件就会自动下载到他们的设备上,然后在企业网络内繁殖。
尽管在国际执法和司法机构的努力下,Emotet 于 2021 年 1 月被大规模清除(1),但它仍在继续猖獗,并以更复杂的手段传播恶意软件。其中一种伎俩是利用包含 PowerShell 命令的 Windows 快捷方式文件(.LNK)在受害者设备上下载 Emotet 有效载荷,我们在上一篇博客中分析过该文件。针对微软推出的 VBA 保护措施,威胁作者进行了这一改编。
2022 年 4 月,在野外发现了滥用压缩 .LNK 文件的新 Emotet 活动。在本博客中,我们将对这一载体进行分析,并演示如何通过OPSWAT MetaDefender 阻止此类恶意软件。
Emotet 感染链
Emotet 僵尸网络操作员通过垃圾邮件发起攻击,邮件中包含一个受密码保护的恶意压缩文件,内嵌快捷链接文件(.LNK)。他们滥用快捷方式文件,因为它很难分辨。该文件伪装成带有图标的文档文件,而扩展名在 Windows 中默认不显示。
受害者解压压缩文件并执行 .LNK 文件后,它就会在受害者设备的临时文件夹中植入一个有害的 Microsoft VBScript(Visual Basic 脚本)。
被删除的 VBScript 会执行并从远程服务器下载 Emotet 有效载荷。下载二进制文件后,它会将文件保存到 Windows 的临时目录,并使用 regsvr32.exe 执行该文件。一旦感染,Emotet 就会复制自身,向网络中的其他计算机传播。
如何防范 Emotet 和类似的高阶攻击
全球各地的政府机构和网络安全专家提出了许多建议和指导,以帮助用户识别和抵御复杂的 Emotet 活动 (2),例如:
- 不要打开可疑的电子邮件附件或点击电子邮件正文中的可疑链接。
- 确保您的员工接受过识别可疑电子邮件链接和附件的充分培训
- 及时更新操作系统、应用程序和安全软件。
借助OPSWAT,您可轻松为组织提供全面防护,抵御Emotet及其他高级规避型威胁。 OPSWAT Email Gateway Security 和 OPSWAT MetaDefender Core。我们领先市场的深度内容解除与重建™技术(Deep CDR™)能清除文件中隐藏的已知与未知威胁。遵循零信任理念,我们视所有进入网络的文件为潜在恶意载体,在文件送达用户前进行全面扫描、净化与重建。所有文件中隐藏的活动内容均被中和或清除,为您的组织构建零威胁环境。
目前 Emotet 威胁的预防措施如下:
1.OPSWAT Email Gateway Security 隔离受密码保护的附件。
要下载附件,收件人需要向隔离系统提供文件密码。
3.MetaDefender Core 使用我们名为 Metascan 的多重扫描解决方案扫描文件,查找已知恶意软件。如下图所示,11/16 个引擎成功检测到了威胁。
4. MetaDefender Core 附件,并通过 Deep CDR™ 技术引擎递归清理每个嵌套文件。下图结果显示已发现并移除一个对象。
在清理过程中,Deep CDR™ 技术将 .LNK 文件中的恶意命令替换为 dummy.txt,从而消除了该威胁。
5.Email Gateway Security 向用户发布带有无威胁附件的电子邮件。以下是该文件经过消毒后的扫描结果。未检测到威胁。
用户现在可以在自己的机器上解压缩附件并生成 LNK 文件,而不必担心任何安全问题。即使用户打开 LNK 文件,也不会下载到恶意软件,因为 LNK 文件中的恶意命令已被替换。
深入了解Deep CDR™技术,或联系我们,探索最佳安全解决方案,保护您的企业网络和用户免受危险且复杂的网络攻击。
参考资料
(1) CyberNews. 2022. 'World’s most dangerous malware' Emotet disrupted. [online] Available at: <https://cybernews.com/news/worlds-most-dangerous-malware-emotet-disrupted>; [Accessed 9 June 2022].
(2) Ipa.go.jp. 2022. 「Emotet(エモテット)」と呼ばれるウイルスへの感染を狙うメールについて:IPA 独立行政法人 情報処理推進機構. [online] Available at: <https://www.ipa.go.jp/security/announce/20191202.html#L20%3E>; [Accessed 8 June 2022].
