纠错:5/22/19之前,我们错误地表示Emotet正在使用一个永恒之蓝漏洞,以便在网络中横向传播。然而,Emotet只尝试枚举网络资源和写入共享驱动器,以及暴力用户帐户。

也许让我们(和其他研究人员)得出这个结论的是,我们经常看到的由Emotet加载的有效载荷TrickBot利用了EternalBlue漏洞传播本身到域控制器或网络上的其他Windows客户端。

我们强烈建议任何受Emotet影响的人继续这样做补丁,以防止此类横向恶意软件传播。

当今企业面临的最常见和最普遍的威胁之一是必威官网多少Emotet,是一个银行木马,下载程序已经在我们的appbetway必威亚洲官网连续好几个月Emotet, Malwar必威平台APPebytes检测为木马。Emotet,已经被瞄准全球的消费者和组织,欺骗用户通过钓鱼电子邮件感染终端,然后利用窃取的NSA漏洞通过网络横向传播。它的模块化,多态形态和掉落能力多个,改变有效载荷已经让Emotet成为网络安全研究人员和IT团队的眼中钉。

Emotet最初作为一种银行木马出现,但它的持久性和网络传播的有效结合使其成为其他形式恶意软件的流行感染机制,如TrickBot琉克ransomware。一旦它渗透到一个组织的网络中,它也被认为是最难治愈的感染之一。

Emotet图

情绪检测2018年3月12日- 2019年2月23日

2018年7月,美国国土安全部发布了一份技术提醒通过CISA (Cyber-Infrastructure)对Emotet提出了警告:

“Emotet仍然是影响SLTT政府的最昂贵和最具破坏性的恶意软件之一。其蠕虫状的特点导致了快速传播的网络范围内的感染,难以防治。情绪感染每一事件花费SLTT政府高达100万美元来补救。”

从银行木马到僵尸网络

Emotet始于2014年,最初是一种盗取信息的银行木马,它从受感染的系统中搜索敏感的金融信息(这就是Malwarebytes检测某些组件的原因)必威平台APP间谍软件。Emotet).然而,随着时间的推移,Emotet及其商业模式发生了变化,从针对特定目标的单一威胁转变为僵尸网络,将多个恶意软件有效载荷分发到从政府到学校的垂直行业。

Emotet是模块化的,每个模块都有指定的任务。它的一个模块是一个木马下载程序,可以下载并运行额外的恶意软件。一开始,Emotet开始兼职传递其他银行木马。然而,它的模块化设计使其作者——一个名为mealybug的小组——更容易适应恶意软件或在不同版本之间交换功能。后来的版本开始丢弃更新和更复杂的有效载荷,这些载荷保存文件以换取赎金,窃取个人身份信息(PII),用钓鱼邮件向其他用户发送垃圾邮件,甚至清理加密货币钱包。所有这些死党都很高兴,都急于利用这种顽固的威胁。

感染机制

我们详细讨论了Emotet感染载体的结构和流动在这里在这里通过解码一个例子。大多数Emotet变体的共同点是,最初的感染机制是malspam.起初,病毒是由邮件附件中的Javascript文件引发的;后来,(今天仍然如此)是通过受感染的Word文档下载并执行有效载荷。

Emotet恶意垃圾邮件的很大一部分是由恶意软件自己的垃圾邮件模块产生的,该模块向它在受感染的系统中发现的联系人发送恶意邮件。这使得电子邮件看起来像是来自一个已知的发件人。收到已知联系人的电子邮件,更有可能打开附件,成为下一个受害者——这是一个经典社会工程技术

除了向其他端点发送垃圾邮件,Emotet还通过流行传播EternalBlue脆弱性从国安局偷来的,由ShadowBrokers集团.这一功能允许病毒在未打补丁的系统网络上横向传播,这使得它对有数百或数千个端点连接在一起的企业更加危险。

难以检测和移除

Emotet有几种维护持久性的方法,包括自动启动注册表键和服务,并且它使用模块化的动态链接库(dll)来不断发展。由于Emotet是多态和模块化的,它可以逃避典型的基于签名的检测。

事实上,Emotet不仅难以检测,而且难以补救。

阻碍补救的一个主要因素是前面提到的《永恒之蓝》的横向移动。这种特殊的攻击需要管理员遵循严格的策略,将受感染的端点与网络隔离,打补丁,禁用管理共享,并在重新连接到网络之前最终删除木马——否则,肯定会面临被清除的端点将被感染的对等体一次又一次地重新感染的风险。

在此基础上增加了正在开发的新功能,包括vm感知功能,避免垃圾邮件过滤器,或者卸载安全程序,你就会开始理解为什么Emotet是每个网络管理员最可怕的噩梦。

建议补救措施

摘要建立了一种高效、耗时的网络系统消毒方法。建议的补救步骤如下:

  • 通过查找泄漏指标(IOCs)来识别受感染的系统
  • 断开受感染端点与网络的连接。即使你有最轻微的怀疑,也要将系统视为已被感染。
  • 为“永恒之蓝”补丁系统.许多Windows版本的补丁可以通过微软安全公告找到ms17 - 010
  • 禁用管理共享,因为Emotet也通过默认的管理共享在网络上传播。Emotet值得信赖的助手之一TrickBot也使用Admin$共享,一旦它通过暴力破解本地管理员密码。一个文件共享服务器有一个IPC$共享,这个IPC$共享被tricbot查询以获得连接到它的所有端点的列表。
  • 扫描系统清除Emotet感染
  • 更改帐户凭证,包括所有本地和域管理员密码,以及电子邮件帐户的密码,以阻止系统被木马访问。

预防

显然,企业最好从一开始就避免感染Emotet,因为补救必威官网多少往往既昂贵又耗时。以下是一些预防感染Emotet的方法:

  • 教育用户:确保最终用户了解Emotet的危险,并知道如何识别malspam——它的主要感染载体。列车上的用户如何检测钓鱼企图,特别是那些被恶搞或更复杂的而不是尼日利亚王子。
  • 定期更新软件:应用最新的更新和补丁,降低了Emotet感染通过EternalBlue漏洞通过网络横向传播的机会。如果还没有实现,可以考虑自动化这些更新。
  • 限制行政股:对Emotet的伤害控制来说是绝对最小的。
  • 使用安全的密码:是的,为每个在线账户使用唯一、强大的密码是非常重要的。调查,采用,扮演一个人密码管理器为组织的所有用户。
  • 备份文件当前位置Emotet的一些变体还会下载勒索软件,这种软件可以将已经加密的文件作为人质,除非支付赎金,否则这些文件将毫无用处。自从我们和联邦调查局建议永远不要支付赎金——因为它只是为未来的攻击提供资金,并在某个组织的背后描绘出一个目标最近且易于部署的备份总是一个好主意。

国际石油公司

持久性

C:\Windows\System32\ randomnumber \
C:\Windows\System32\tasks\randomname
C:\Windows\ [randomname]
C: \ [myusers] \ appdata \漫游用户(随机)
% appdata % \漫游\微软\ Windows \开始菜单启动\程序\ [Randomname] .LNK。文件在启动文件夹中

注册表键值

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services{随机十六进制数}
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run {Random Names} with value c: users\admin\appdata\roaming\{Random}{合法文件名}.exe

文件名的例子

PlayingonaHash.exe
certapp.exe
CleanToast.exe
CciAllow.exe
RulerRuler.exe
connectmrm.exe

字符串

C: \ email.doc
C: \ 123 \ email.doc
C: \ 123 \ email.docx
C: \ \ foobar.bmp
X: \ \一个象征
C: \ loaddll.exe
C: \ email.htm
C: \ take_screenshot.ps1
C: \ \ foobar.gif
C: \ \ foobar.doc

主题过滤器

UPS船舶通知单号
“国内UPS快递”
“追踪号码*”

检查UPS快递单号是否真实的技巧:一个合法的UPS快递单号包含18个字母数字字符,以“1Z”开头,以检查数字结尾。

匹配这种格式的数字可能仍然是假的,但是不匹配的数字肯定不是真的。