信息來(lái)源:4hou
概要
Emotet是一款于2014年發(fā)現(xiàn)的銀行木馬�����,經(jīng)過(guò)短短幾年的發(fā)展已經(jīng)衍生出各類五花八門的變種�����。它主要通過(guò)大規(guī)模垃圾郵件活動(dòng)來(lái)傳播����,其蹤跡遍布全球各地����。這些年���,Emotet從銀行木馬演變?yōu)槟K化的惡意軟件加載器�����,能讓攻擊者通過(guò)Emotet僵尸網(wǎng)絡(luò)快速傳播惡意軟件�����。Emotet運(yùn)營(yíng)商還將其僵尸網(wǎng)絡(luò)作為“惡意軟件即服務(wù)”(MAAS)提供給其他網(wǎng)絡(luò)犯罪團(tuán)伙�,讓后者自己選擇惡意軟件進(jìn)行分發(fā)。
Unit42在對(duì)Emotet的最新研究中發(fā)現(xiàn)�����,雖然Emotet垃圾郵件活動(dòng)在今年5月底前已經(jīng)逐漸消失��,但現(xiàn)在整個(gè)亞太地區(qū)(主要是越南���、印度�、印度尼西亞��、澳大利亞�、中國(guó)和日本)仍有大量易受攻擊的中小企業(yè)服務(wù)器被攻擊者利用,用作惡意軟件分發(fā)服務(wù)器���。這類企業(yè)往往缺乏對(duì)Web服務(wù)器安全性的重視度�����,很少對(duì)其更新或修復(fù)��,另外這類企業(yè)大多都有使用WordPress博客軟件�����。
Emotet的破壞力十分巨大��,動(dòng)輒對(duì)企業(yè)內(nèi)部造成成千上萬(wàn)美元的損失����,因此必須了解Emotet運(yùn)營(yíng)商的作案手法才能做好防御準(zhǔn)備。本文將對(duì)亞太地區(qū)中小企業(yè)中Emotet的觀察情況做介紹��。
Emotet活動(dòng)概述
對(duì)Emotet活動(dòng)而言�����,很關(guān)鍵的一點(diǎn)就是使用合法的域來(lái)托管及分發(fā)Emotet的交付文檔或可執(zhí)行文件���。查看Emotet活動(dòng)域時(shí)�,我們注意到大多數(shù)域都是擁有合法業(yè)務(wù)的中小型企業(yè)�����。由于中小企業(yè)資源有限���,往往不會(huì)更新或修補(bǔ)其web服務(wù)器�����,這就讓網(wǎng)絡(luò)罪犯有了可趁之機(jī)���。
下圖概述了Emotet感染受害者計(jì)算機(jī)的步驟。攻擊者首先在互聯(lián)網(wǎng)上掃描易受攻擊的Web服務(wù)器����,然后利用這些服務(wù)器來(lái)托管Emotet變體,再將變體的下載鏈接放在郵件中誘使受害者點(diǎn)擊�,還有一種形式是將惡意文檔放在郵件附件,受害者打開(kāi)文檔后宏自動(dòng)執(zhí)行��,下載并執(zhí)行Emotet payload���。
圖1.Emotet傳播機(jī)制
犯罪組織經(jīng)常使用合法域名的服務(wù)器來(lái)散布惡意軟件����,這是一種常見(jiàn)的策略,因?yàn)閬?lái)自合法域的網(wǎng)絡(luò)不太可能被屏蔽�,能讓惡意軟件的達(dá)到率更高。
Emotet的回歸
自2019年1月以來(lái)��,Emotet在亞太地區(qū)感染的服務(wù)器數(shù)量如下圖所示����,可以看到年初到年中呈增長(zhǎng)趨勢(shì),五月份到達(dá)峰值�����,之后經(jīng)歷了三個(gè)月的沉寂期�����,在2019年9月16日���,Emotet的C2服務(wù)器及垃圾郵件活動(dòng)再次開(kāi)始活躍�。
圖2.自2019年1月起���,Emotet分發(fā)服務(wù)器的數(shù)量
按國(guó)家區(qū)域劃分��,可以看到哪些國(guó)家受影響程度最大�,從數(shù)量上來(lái)看,越南���、印度、印度尼西亞����、澳大利亞、中國(guó)和日本排名前列���,其次是幾個(gè)東盟國(guó)家�����,如下圖3所示��。
圖3.按國(guó)家劃分的分發(fā)服務(wù)器數(shù)量
數(shù)據(jù)顯示�,Emotet運(yùn)營(yíng)者利用了整個(gè)亞太地區(qū)大量易受攻擊的服務(wù)器來(lái)分發(fā)Emotet變體�����,這些數(shù)據(jù)還表明�����,大量中小企業(yè)成為Emotet活動(dòng)成功的關(guān)鍵部分。
另外還需要注意一點(diǎn)����,大多數(shù)受感染的域都在運(yùn)行WordPress博客軟件。在漏洞跟蹤器網(wǎng)站(例如 CVE Details)上快速搜索WordPress漏洞�,顯示了WordPress有大量已披露漏洞的存在,在Exploit-DB上進(jìn)行的類似的搜索也可以看到WordPress每個(gè)月都有大量漏洞公布�����。雖然攻擊者對(duì)WordPress漏洞的利用也不是一天兩天了�����,但還是需要強(qiáng)調(diào)有能用的更新的時(shí)候需要盡快更新��。
結(jié)論
雖然Emotet已經(jīng)活躍多年����,但其活動(dòng)數(shù)量、模塊化平臺(tái)����、破壞能力�、相關(guān)事件以及受害組織的恢復(fù)成本都表明它仍是當(dāng)今時(shí)代最不容小覷的網(wǎng)絡(luò)威脅之一����。中小企業(yè)在面對(duì)此類網(wǎng)絡(luò)威脅時(shí)不可輕心大意,最好能定時(shí)對(duì)web服務(wù)器及相應(yīng)應(yīng)用程序檢查并更新����。
