作者: Itay Bochner
總結
在長期低調之後,Emotet的名字最近經常出現在新聞中,尤其是在廣泛的勒索軟體攻擊和高階網路釣魚活動的背景下。它是一種高階特洛伊木馬,通常使用電子郵件附件和連結進行分發,一旦按兩下,就會啟動有效負載。Emotet 充當其他惡意軟體的滴管。
是什麼讓 Emotet 如此特別,以至於它已成為威脅行為者使用的最大殭屍網路?
要理解,我們將從頭開始......
Emotet解釋
Emotet於2014年首次被發現,當時德國和奧地利銀行的客戶受到該木馬的影響。它被開發為一個簡單的木馬,能夠竊取敏感和私人資訊。隨著它的發展,它獲得了更多的功能,例如垃圾郵件和惡意軟體傳遞服務(Dropper),在感染PC後,安裝其他惡意軟體。通常,以下程式將被丟棄:
- TrickBot - 一種銀行木馬,試圖存取銀行帳戶的登錄資料。
- Ryuk :一種勒索軟體,用於加密資料並阻止電腦使用者存取此資料或整個系統。
Emotet 透過網路釣魚電子郵件附件或載入網路釣魚附件的連結傳播類似蠕蟲的功能。打開後,Emotet 透過猜測管理員憑據並使用它們使用SMB檔共用協議遠端寫入共用驅動器來在整個網路中傳播,這使攻擊者能夠在網路中橫向移動。
根據US-CISA:
Emotet 是一種高階特洛伊木馬,主要透過網路釣魚電子郵件附件和連結傳播,一旦單擊這些附件和連結,就會啟動有效負載(網路釣魚:魚叉式網路釣魚附件 [T1566.001]、網路釣魚:魚體魚叉式網路釣魚連結 [T1566.002])。然後,惡意軟體會嘗試透過暴力破解使用者憑據並寫入共用驅動器(暴力破解:密碼猜測 [T1110.001]、有效帳戶:本地帳戶 [T1078.003]、遠端服務:SMB/Windows 管理員共用 [T1021.002])在網路中擴散。
上述強調了為什麼Emotet難以預防,因為它具有特殊的規避技術和“蠕蟲狀”功能,使其能夠在網路內自主橫向傳播。
另一個關鍵功能是 Emotet 使用模組化 DLL(動態連結庫)來不斷發展和更新其功能。
近期活動
有許多報告表明 Emotet 的使用大幅增加
- 根據惠普公司的最新資料,從今年第二季度到第三季度,檢測到的使用Emotet木馬的攻擊飆升了1200%以上,支援勒索軟體活動的激增。
(https://www.infosecurity-magazine.com/news/ransomware-alert-as-emotet/) - 自 2020 年 7 月以來,CISA 發現涉及 Emotet 相關指標的活動有所增加。在此期間,CISA 的 EINSTEIN 入侵檢測系統保護聯邦、民用和行政部門網路,已檢測到大約 16,000 個與 Emotet 活動相關的警報。
(https://us-cert.cisa.gov/ncas/alerts/aa20-280a) - Microsoft、義大利和荷蘭上個月警告說,在法國、日本和紐西蘭對Emotet發出警報幾周後,Emotet惡意垃圾郵件活動激增。
(https://www.zdnet.com/article/us-warns-big-surge-in-emotet-malware-campaigns-makes-it-one-of-todays-top-threats/) - 最近幾周,我們看到更多的Emotet Malspam
(https://unit42.paloaltonetworks.com/emotet-thread-hijacking/)
在這波新浪潮中,Emotet的行為非常獨特,是Emotet垃圾郵件活動的變化,這些活動現在也利用受密碼保護的ZIP檔而不是Office檔案。
這個想法是,透過使用受密碼保護的檔,電子郵件安全閘道無法打開存檔來掃描其內容,並且不會在裡面看到 Emotet 惡意軟體的痕跡。
Palo Alto Networks 還發佈了 Emotet 使用的一種新技術,稱為線程劫持。它是一種電子郵件攻擊技術,利用從受感染電腦的電子郵件客戶端竊取的合法郵件。此惡意垃圾郵件欺騙合法使用者並冒充對被盜電子郵件的回復。線程劫持的 Malspam 從原始郵件發送到位址。
OPSWAT 提供預防性解決方案,可以保護您的組織免受Emotet的攻擊。我們的解決方案可幫助組織防止 Emotet 進入網路。
Email Gateway Security 阻止網路釣魚攻擊
保護 Access 有助於進行合規性驗證
MetaDefender Core 跟 Deep CDR(檔案無毒化)提供檔案上傳安全保護。
欲瞭解更多資訊,請立即 聯繫我們 。
