这从来不是“如果”的问题,而是“何时”的问题。离开五个月后,可怕的情绪化已经回来了。在过去几周内几个错误的警报,a垃圾邮件竞选是首次发现7月13日显示出可能卷土重来的迹象。

情绪化僵尸网络开始推malspam7月17日周五,该公司采取了与上一波交易相同的策略。恶意邮件包含URL或附件,一旦点击或打开,就会启动Emotet有效载荷。一种熟悉的技术是将文档作为现有电子邮件线程中的回复发送。

Emotet恶意电子邮件与文档附件

该文档包含一个严重混淆的宏:

Emotet恶意软件隐藏在word文档宏

一旦宏被启用,WMI启动PowerShell从一个远程被攻击的网站检索Emotet二进制文件。它将遍历一个列表,直到确定一个正在响应的列表为止。

Emotet恶意软件执行有效载荷

一旦有效载荷被执行,它将向Emotet的一个命令和控制服务器发送确认信息。

Emotet带着新花样回来了

Emotet是目前我们雷达上最明显最活跃的威胁20182019-直到2020年初,那时它进入了一个长时间的中断。它过去(现在)如此成功的原因之一是它在攻击技术和威胁伙伴关系方面的不断发展。必威客服app

例如,according to电脑发出哔哔声Emotet现在使用偷来的电子邮件附件来增加垃圾邮件的可信度,从而感染目标系统。这是除了上述劫持电子邮件线程的技术社会工程策略用于增加感染的可能性。

网络犯罪分子利用Emotet作为感染一个组织的初始入口,随后会停留一段时间,可能会持续几天或几周。与此同时,它通常会扔下次级载荷,进一步穿透目标的防御系统。在它的最新版本中,Emotet被观察到降低了次级有效载荷,例如TrickBotQakBot横向传播,窃取证书。

事实上,Emotet妥协所造成的真正伤害发生在它与其他恶意软件组织结盟的时候,尤其是与那些有意放弃勒索软件的威胁行动者结盟的时候,如琉克,这是2019年的情感持续的伙伴。到目前为止,普遍存在的赎金软件家族尚未在情绪上的最新竞选中确定。

如何预防Emotet

想要防范Emotet的用户首先应该警惕网络钓鱼和/或垃圾邮件,特别是任何带有附件的邮件。即使是来自已知联系人的电子邮件也应该以怀疑的态度对待。

然而,如果不幸的用户碰巧点击了一个恶意URL或打开了一个受感染的文档,就会有一个良好的安全程序-特别是带有反攻击技术的,可以阻止恶意软件启动,使电脑免受感染。

有关如何预防或治疗情绪感染的更多信息,请参阅应急装备,其中包括一份威胁摘要和一份提示清单。

必威平台APPMalwarebytes Premium和商业用户已经受到了Emotet的保护,感谢我们的无签名反利用技术。

必威平台APP恶意软件用无签名的防利用技术阻止emotet

我们也检测Emotet二进制作为一个独立的文件:

必威平台APPMalwarebytes以独立文件的形式检测Emotet二进制文件

妥协的指标

恶意文件

5 d2c6110f2ea87a6b7fe9256affbac0eebdeee18081d59e05df4b4a17417492b
4 fdff0ebd50d37a32eb5c3a1b2009cb9764e679d8ee95ca7551815b7e8406206
bb5602ea74258ccad36d28f6a5315d07fbeb442a02d0c91b39ca6ba0a0fe71a2
6 d86e68c160b25d25765a4f1a2f8f1f032b2d5cb0d1f39d1d504eeaa69492de0
18 fab1420a6a968e88909793b3d87af2e8e1e968bf7279d981276a2aa8aa678e
d5213404d4cc40494af138f8051b01ec3f1856b72de3e24f75aca8c024783e89

破坏网站

elseelektrikci(。com rviradeals[。com skenglish[。com packersmoversmohali[。com tri-comma[。com ramukakaonline[。com shubhinfoways[。com test2.cxyw[。]净sustainableandorganicgarments[。com staging.icuskin[。com fivestarcleanerstx[。com bhandaraexpress[。com crm.shaayanpharma[。com zazabajouk[。com e2e-solution[。com topgameus[。com cpads[。]净tyres2c[。com thesuperservice[。com ssuse[。]com kdtphumy[.]com lwzmy[.]com innovertec[.]com lawofattraction[.]work bitvshe[.]club

Emotet二进制文件

7814年1368年454年d3f0170a0aa750253d4bf697f9fa21b8d93c8ca6625c935b30e4b18835374 d51073eef56acf21e741c827b161c3925d9b45f701a9598ced41893c723ace23 a26328c15b6d204aef2b7d493738c83fced23f6b49fd8575944b94bcfbf4 f49b3d58b0633ea0a2cb44def98673aad07bd99744ec415534606a9ef314 f04388ca778ec86e83bf41aa6bfa1b163f42e916d0fbab7e50eaadc8b47caa502460年d6cc6070933ec2e8c7b12e17a402d14546d7455aae293eefc085c4c76c7d

in

178年[210年][]171[。] 15 109[117年][,]53。51] 230 212[][] 142[。160) 238 190(。)[]53(。44) 126 110(。)[]113[。] 2:8080 113[160年][]180[。161) 109 113(。)[]148[。79) 81 115(。)[]195[。) 246 139(。)59[,]12[。] 63:8080 14[] 99[] 112[。207) 138 140(。)[]113[。] 106:443 143[95年][]101[。] 72:8080 144[139年][]91[。7) 187 157(。)[]164[。] 178:8081 163[172年][]107[。] 70:8080 177[][] 241[0。] 28 177 130[[144年][]。33] 105:443 178[][] 167[。] 120:8080 179 5[,] 118[[]。] 181[] 134[] 9(。164) 162 181(。)[]110[。] 181[] 167[,] 35[。230) 84 181(。)[]65[。]232 185[.]142[.]236[.]163:443 190[.]171[.]153[.]139 190[.]251[.]235[.]239 190[.]55[.]233[.]156 190[.]63[.]7[.]166:8080 192[.]163[.]221[.]191:8080 192[.]210[.]217[.]94:8080 192[.]241[.]220[.]183:8080 195[.]201[.]56[.]70:8080 201[.]212[.]78[.]182 203[.]153[.]216[.]178:7080 203[.]153[.]216[.]182:7080 211[.]20[.]154[.]102 212[.]112[.]113[.]235 216[.]75[.]37[.]196:8080 220[.]128[.]125[.]18 37[.]208[.]106[.]146:8080 37[.]46[.]129[.]215:8080 37[.]70[.]131[.]107 41[.]185[.]29[.]128:8080 45[.]118[.]136[.]92:8080 46[.]105[.]131[.]68:8080 46[.]32[.]229[.]152:8080 46[.]49[.]124[.]53 50[.]116[.]78[.]109:8080 51[.]38[.]201[.]19:7080 74[.]207[.]230[.]187:8080 74[.]208[.]173[.]91:8080 75[.]127[.]14[.]170:8080 77[.]74[.]78[.]80:443 78[.]188[.]170[.]128 80[.]211[.]32[.]88:8080 81[.]214[.]253[.]80:443 87[.]106[.]231[.]60:8080 91[.]83[.]93[.]103:443