警告 :从银行木马到分布式僵尸网络的Emotet卷土重来
星期日, 九月 27, 2020
Emotet是一款具有全球影响力的恶意软件,2014年以银行木马的形式出现。今年7月以来,研究人员已在全球多个国家(包括美国、英国、加拿大、奥地利、德国、巴西、意大利、西班牙等)记录了至少80万条与该恶意软件相关的垃圾邮件。
Emotet从银行木马逐渐发展为成熟的僵尸网络,并且享有独特的声誉。美国网络安全和基础设施安全局(CISA)在一月份发布有关僵尸网络的警告时指出:Emotet仍然是影响部分地区政府的成本最高且破坏性最大的恶意软件之一。其蠕虫特征使它在网络中感染其它机器并迅速蔓延。Emotet感染使每起事件的补救费用高达100万美元。
Emotet于2014年以银行木马的形式出现,主要窃取财务和个人数据。但是,在接下来的几年中,该恶意软件逐渐演变成一个僵尸网络,能够横向感染多个设备。除了僵尸网络之外,Emotet还能充当下载程序,成为其他恶意软件的传播载体。
Emotet是过去五年中活动最频繁的恶意软件之一。2019年,安全专家发现了一项具有三重威胁的攻击活动:Emotet将另一种名为TrickBot的恶意软件提供到受感染的端点,然后再下载一种名为Ryuk的勒索软件变体。
在今年7月开始的Emotet活动中,研究人员发现,攻击始于大规模的垃圾邮件活动,该活动向尽可能多的受害者发送网络钓鱼电子邮件,而电子邮件正文中的URL或带有链接的附件正是能够带来恶意软件感染的关键渠道。
如果受害者打开了链接或附件,就会启用恶意宏,这些宏会启动PowerShell脚本,最终将Emotet安装在易受感染的设备中。随后,Emotet可以在系统中下载其他恶意软件。
在最新的活动中,研究人员发现Emotet试图安装Qbot 银行木马,众所周知,这种银行木马会感染金融机构及其客户。
Emotet如此有效是因为它基于网络钓鱼策略。Emotet在最近的攻击活动中使用了收件人熟悉的品牌名或紧急性的主题。正如我们经常看到的,这种恶意软件的成功大部分源于用户犯了一个错误:打开恶意附件。
正如上文介绍,Emotet并不是今天第一次出现。部分企业很早就知道了Emotet,并且部署了相应的保护措施来防止漏洞利用,但是依然存在大量尚未安装补丁或采取有效安全措施的企业。另外,攻击者不断改进其攻击方式,采用更隐蔽的攻击方式让企业防不胜防。
针对这种情况,安芯网盾内存保护系统基于硬件虚拟化技术架构,把安全产品的防护能力从应用层、系统层下沉到硬件虚拟化层,更深层次解决了系统和应用安全防护问题,可以有效应对系统设计缺陷、外部入侵等威胁。
在网络攻击方面,预防是最好的解决方案,因为有效的检测手段不仅可以阻止企业成为勒索软件或其他恶意软件的受害者,而且预先保证网络安全的成本会比支付勒索费用的成本低。在遭遇攻击后,特别是当攻击影响了企业的运营,必然会导致声誉受损甚至会造成客户流失。
国内首家基于硬件虚拟化等前沿技术保护企业主机安全的技术服务提供商,致力于研发面向未来的安全解决方案。