随着“Wi-Fi”传播的Emotet丨专栏
2020/2/22 8:00:00 中科院之声
一、“空气”传播的病毒
小白:大东东,今年春节真是难忘,疫情的发生让我有些害怕呢~
大东:只要平时不出门,出门做好防范措施,就不必过于担心。新冠病毒是否能气溶胶传播交给医学专家们研究,我倒是知道一种计算机病毒能随着空中的Wi-Fi传播呢!
小白:“Wi-Fi”传播?这么神奇?
大东:想知道吗?
小白:小板凳已就位~
二、大话始末
大东:今天要说的就是Emotet,它是目前传播最广泛的恶意软件威胁之一。
小白:它是干啥的?
大东:Emotet就像一个“搬运工”。它侵入宿主系统后就具备下载其他恶意软件的能力,不过这只是其能力之一。借助传播组件,Emotet能够将自身传送到同一网络上的其他计算机,该组件可以通过挂载共享或利用漏洞来传播恶意软件。
小白:所以它为啥能“Wi-Fi”传播呢?
大东:Emotet可以“跳入”其他Wi-Fi网络并试图破坏其中的计算机。
小白:Wi-Fi?这可还行?那它是如何借助Wi-Fi传播的呢?
大东:恶意软件感染了连入Wi-Fi网络的计算机后,会使用wlanAPI接口发现该区域中的所有Wi-Fi网络,包括邻居的Wi-Fi网络、咖啡馆的免费Wi-Fi网络或附近的商家Wi-Fi网络。
小白:那如果设了Wi-Fi密码呢?
大东:即使这些网络受到访问密码的保护,该恶意软件也会尝试字典攻击破解密码,一旦得手就可以连接到Wi-Fi网络,开始扫描连接到同一网络的所有其他计算机,以查找所有启用了文件共享的Windows计算机。然后,它检索这些计算机上所有用户帐户的列表,并尝试猜测这些帐户以及管理员帐户的密码。如果猜出的任何密码正确,则恶意软件会将其自身复制到该计算机,并通过在另一台计算机上运行远程命令来进行安装。最后是报告给命令和控制服务器以确认安装。
小白:厉害了,有组织有纪律啊~
大东:其实,Emotet通过Wi-Fi传播的行为已经运行了将近两年了。
小白:什么?两年了都没人发现吗?
大东:Emotet通过“Wi-Fi传播”之所以未能引起业界注意,这可能部分是由于二进制文件在木马中投放的频率不高。根据记录,从2019年8月下旬Emotet首次出现至今,Binary Defense直到2020年1月23日才首次观察到Emotet投放此类文件。
小白:能抓住它还真不容易……
大东:此恶意软件保持低调的另一个原因是能够绕过安全检查。如果研究人员在没有Wi-Fi适配器的VM /自动沙箱中运行,则恶意软件不会触发对wlanAPI网络扫描发现功能的利用。
2020年Emotet行为流程图(来源:freebuf)
三、Emotet的前世今生
大东:如果要给出名的恶意软件们写小传,那Emotet木马必能占一席。
小白:此话怎讲?
大东:多年来的安全新闻一直有它的身影,从2014年广泛传播的恶意邮件,到如今的Wi-Fi传播新升级。
小白:快给我讲讲它的身世!
大东:Emotet的初始目标是银行凭证,最初是由趋势科技于2014年发现的。当时它是一种通过邮件传播的银行木马,诱骗用户点击执行恶意代码,通过垃圾邮件活动获取设备后,可以充当其他银行特洛伊木马的下载器或散播者。
小白:当初的Emotet还是个孩子……
大东:到2017年,进化的Emotet威胁战略开始扩张,它可以感染网络共享文件夹和驱动器,包括可移动的 U 盘等。它还可以使用服务器消息块(SMB)在其他机器上复制自己的副本。一旦下载执行并安装时,Emotet会欺骗合法的Windows服务以降低怀疑。然后,它还会与命令与控制(C&C)服务器通信,该服务器将负责提供有关如何执行恶意软件说明。
小白:Emotet慢慢长大了……
大东:到2018年,人们发现Emotet改变了它的策略和目标。Emotet发展了新技术,摇身一变成为分发其他带有威胁性软件的传播者,并对第三方开源代码暗中觊觎。当时Emotet的主要目标集中在美国,根据美国国土安全部的官方技术数据,Emotet感染国家和地方政府后,平均每次所需的修复费用高达100万美元。
小白:它觉醒了!
大东:到2019年,Emotet不断升级的杀软对抗策略使之成为一个难缠的对手,在国内也造成了一定的影响面。
小白:生命力真顽强!
大东:2019年9月23日,奇安信病毒响应中心发布了Emotet威胁预警,经长期追踪发现多个带有恶意宏代码的Emotet鱼叉攻击邮件。邮件通过诱导用户点击启用宏从而执行宏代码,利用PowerShell下载并执行下阶段攻击载荷,具体攻击模块功能包括OutLook数据窃取以及横向渗透模块。
小白:什么什么?
大东:简单来说就是,Emotet通过邮件传播,中毒后从服务器下载恶意软件,执行恶意代码,窃取受害计算机的数据。
2019年Emotet的样本执行流程(来源:安全客)
小白:一步一步扩大侵略范围啊!
大东:没错。Emotet由于其开发团队的“敏捷性”和“产品”不断进化,堪称打不死的小强。直到近日,研究者才发现该木马获得了“空气传播”的可怕技能。
小白:它最近是不是又干什么坏事了?!
大东:近日,网络安全公司Mimecast、KnowBe4、IBM X-Force和卡巴斯基先后发现了一系列针对“新冠病毒恐慌”的恶意软件传播的活动,攻击者利用公众对新冠病毒的恐慌,发送含有恶意软件链接或者文件的邮件给用户,并用冠状病毒关键词主题诱骗接收者打开恶意附件或者链接。
小白:天呐!以前Emotet的常用套路是伪装成公司样式的付款发票和通知电子邮件,现在由于冠状病毒感染的全球性恐慌,Emotet反应够快的!
大东:号称“全球首个敏捷开发病毒”的Emotet,第一时间就对“投放”策略和“物料”做出了调整,果然够“敏捷”。目前,美国、日本等国家都发现此类冠状病毒主题的钓鱼邮件攻击。
冠状病毒网络钓鱼电子邮件示例(来源:KnowBe4)
四、如何防范
小白:这么机灵的Emotet,我们对它有啥办法吗?
大东:日本CERT最新发布的实用程序EmoCheck(GitHub:https://github.com/JPCERTCC/EmoCheck),下载安装后可以帮助Windows用户轻松检查是否感染了Emotet。如果运行EmoCheck发现已被感染,则应立即打开任务管理器终止相关进程,然后用防病毒软件扫描计算机,以确保木马尚未将其他恶意软件下载并安装到计算机上。对于网络管理员来说,此工具也很有用,它可以用作登录脚本的一部分,快速查找已感染了Emotet的计算机,以防止全面的勒索软件攻击。
小白:嘿嘿~
大东:更“小白”的做法呢,可以采用多个重叠、相互支持的防御系统来防范,包括部署端点、电子邮件和网关保护技术,以及防火墙和漏洞评估解决方案,及时更新安全解决方案与最新的保护功能。
小白:就是升级杀毒软件~
大东:对于企业用户,建议安全管理人员将有危害的邮箱地址加入反垃圾邮件系统阻拦样本库,进行垃圾邮件过滤;加强普通员工的上网安全意识。
小白:明白啦~
大东:最最基本的防护就是那些老生常谈的啦!
小白:我知道!不要轻易打开未知邮件,提高安全意识,预防恶意样本攻击~
来源:中国科学院计算技术研究所
温馨提示:近期,微信公众号信息流改版。每个用户可以设置 常读订阅号,这些订阅号将以大卡片的形式展示。因此,如果不想错过“中科院之声”的文章,你一定要进行以下操作:进入“中科院之声”公众号 → 点击右上角的 ··· 菜单 → 选择「设为星标」
http://weixin.100md.com
返回 中科院之声 返回首页 返回百拇医药