總結
Emotet 被認為是目前最常見、最具破壞性和成本高昂的惡意軟體 (1)。它主要透過包含惡意連結或受感染檔案的網路釣魚電子郵件進行傳播。一旦受害者下載檔或按兩下連結,其他惡意軟體就會自動下載到他們的設備上,然後在企業網路中成倍增加。
儘管在 2021 年 1 月,由於國際執法和司法當局的説明,Emotet 遭到了大規模的取締 (1),但它仍在繼續蓬勃發展,並以更複雜的伎倆傳播惡意軟體。其中一種策略利用 Windows 快捷方式檔 (.LNK) 包含 PowerShell 命令,用於在受害者的設備上下載 Emotet 有效負載,我們在 上一篇文章中對此進行了分析。威脅作者進行了此調整,以回應 Microsoft 推出的 VBA 保護。
2022 年 4 月,一個新的 Emotet 活動濫用 ziped .LNK 檔在野外被發現。在這篇文章中,我們將分析此向量,並演示如何透過以下方式防止這些類型的惡意軟體 OPSWAT MetaDefender.
Emotet感染鏈
Emotet 殭屍網路營運商透過垃圾郵件開始攻擊,其中包含受密碼保護的惡意 zip 檔和嵌入的快捷方式連結檔 (.LNK)。他們濫用快捷方式檔,因為它很難區分。該檔案案偽裝成帶有圖示的檔案檔,預設情況下,擴展名在 Windows 中不顯示。
在受害者提取 zip 檔並執行 .LNK 檔,它會在其設備上的臨時資料夾中放置有害的 Microsoft VBScript(Visual Basic 腳本)。
刪除的 VBScript 執行並從遠端伺服器下載 Emotet 有效負載。下載二進位檔後,它會將檔案保存到 Windows 的臨時目錄並使用 regsvr32.exe 執行它。一旦被感染,Emotet就會複製自身以傳播到網路中的其他電腦。
如何防止 Emotet 和類似的高階攻擊
全球政府機構和網路安全專家提供了許多建議和指導,以説明用戶識別和防禦複雜的 Emotet 活動 (2),例如:
• 不要打開可疑的電子郵件附件或點擊電子郵件正文中的可疑連結。
• 確保您的員工接受過充分的培訓,可以識別可疑的電子郵件連結和附件
• 使您的作業系統、應用程式和安全軟體保持最新狀態。
透過 OPSWAT,您能輕鬆全面保護組織免受 Emotet 及其他進階規避威脅的侵害。 OPSWAT Email Gateway Security 與 OPSWAT MetaDefender Core。我們領先市場的深度內容解除與重建技術™(Deep CDR™)能無效化隱藏於檔案內的已知與未知威脅。基於零信任理念,我們將所有進入您網路的檔案視為惡意來源,因此在檔案送達使用者前,會對每個檔案進行掃描、淨化與重建。所有隱藏於檔案中的動態內容皆會被中和或移除,為您的組織打造零威脅環境。
當前的 Emotet 威脅的預防方式如下:
1.OPSWAT Email Gateway Security 隔離受密碼保護的附件。
2. 要下載附件,收件者需要向隔離系統提供檔案的密碼。
3.MetaDefender Core 使用我們 稱為 Metascan 的多防毒引擎掃描解決方案掃描檔案中的已知惡意軟體。如下圖所示,11/16 引擎成功檢測到威脅。
4. MetaDefender Core 附件,並運用 Deep CDR™ 技術引擎遞歸式地對每個嵌套檔案進行安全處理。下方結果顯示已偵測到某個物件並予以移除。
在消毒過程中,Deep CDR™ 技術將 .LNK 檔案的惡意指令替換為 dummy.txt 檔案,以中和威脅。
5.Email Gateway Security 向用戶發佈帶有無威脅附件的電子郵件。這是清理後檔案的掃描結果。未檢測到威脅。
6. 使用者現在可以在他們的機器上解壓縮附件並生成 LNK 檔,而不必擔心任何安全問題。即使使用者打開 LNK 檔,也不會下載任何惡意軟體,因為 LNK 檔案的惡意命令被替換。
深入了解Deep CDR™ 技術,或與我們聯繫,探索最佳安全解決方案,為您的企業網路及使用者築起防護屏障,抵禦危險且複雜的網路攻擊。
參考
(1) CyberNews. 2022. 'World’s most dangerous malware' Emotet disrupted. [online] Available at: <https://cybernews.com/news/worlds-most-dangerous-malware-emotet-disrupted>; [Accessed 9 June 2022].
(2) Ipa.go.jp. 2022. 「Emotet(エモテット)」と呼ばれるウイルスへの感染を狙うメールについて:IPA 独立行政法人 情報処理推進機構. [online] Available at: <https://www.ipa.go.jp/security/announce/20191202.html#L20%3E>; [Accessed 8 June 2022].
