Emotet惡意軟件

系統受影響

網絡系統

概觀

Emotet是一種先進的模塊化銀行木馬，主要用作其他銀行特洛伊木馬的下載程序或刪除程序。Emotet仍然是影響州，地方，部落和地區（SLTT）政府以及私營和公共部門的最昂貴和破壞性的惡意軟件之一。

該聯合技術警報（TA）是多國信息共享和分析中心（MS-ISAC）分析工作的結果，與國土安全部（DHS）國家網絡安全和通信集成中心（NCCIC）協調。

描述

Emotet仍然是影響SLTT政府的最昂貴和最具破壞性的惡意軟件之一。其類似蠕蟲的特征導致網絡範圍內的感染迅速蔓延，難以對抗。對於SLTT政府而言，每次事件的賠償費用高達100萬美元。

Emotet是一種先進的模塊化銀行木馬，主要用作其他銀行特洛伊木馬的下載程序或刪除程序。此外，

Emotet通過malspam（包含惡意附件或鏈接的電子郵件）傳播，使用收件人熟悉的品牌; 它甚至已經使用MS-ISAC名稱傳播。截至2018年7月，最近的廣告系列模仿了PayPal收據，送貨通知或據稱來自MS-ISAC的“逾期”發票。當用戶打開或單擊malspam中包含的惡意下載鏈接，PDF或啟用宏的Microsoft Word文檔時，會發生初始感染。下載後，

圖1：分發Emotet的惡意電子郵件

目前，Emotet使用五個已知的spreader模塊：NetPass.exe，WebBrowserPassView，Mail PassView，Outlook scraper和憑證枚舉器。

1. NetPass.exe是由NirSoft開發的合法實用程序，可恢復存儲在系統上的當前登錄用戶的所有網絡密碼。此工具還可以恢復存儲在外部驅動器的憑證文件中的密碼。
2. Outlook scraper是一種工具，可以從受害者的Outlook帳戶中刪除名稱和電子郵件地址，並使用該信息從受感染的帳戶發送其他網絡釣魚電子郵件。
3. WebBrowserPassView是一種密碼恢復工具，可捕獲Internet Explorer，Mozilla Firefox，Google Chrome，Safari和Opera存儲的密碼，並將其傳遞給憑證枚舉器模塊。
4. Mail PassView是一個密碼恢復工具，可以顯示各種電子郵件客戶端的密碼和帳戶詳細信息，例如Microsoft Outlook，Windows Mail，Mozilla Thunderbird，Hotmail，Yahoo！郵件和Gmail將它們傳遞給憑據枚舉器模塊。
5. Credential枚舉器是一個自解壓RAR文件，包含兩個組件：旁路組件和服務組件。旁路組件用於枚舉網絡資源，並使用服務器消息塊（SMB）查找可寫共享驅動器，或嘗試強制用戶帳戶（包括管理員帳戶）。找到可用系統後，Emotet會將服務組件寫入系統，該系統會將Emotet寫入磁盤。Emotet對SMB的訪問可能導致整個域（服務器和客戶端）的感染。

圖2：Emotet感染過程

為了保持持久性，Emotet將代碼註入explorer.exe和其他正在運行的進程。它還可以收集敏感信息，包括系統名稱，位置和操作系統版本，並通常通過生成的16個字母的域名連接到遠程命令和控制服務器（C2），該域名以“.eu”結尾。一旦Emotet建立與C2的連接，它報告新的感染，接收配置數據，下載和運行文件，接收指令，並將數據上傳到C2服務器。

Emotet工件通常位於AppData \ Local和AppData \ Roaming目錄之外的任意路徑中。工件通常模仿已知可執行文件的名稱。持久性通常通過計劃任務或通過註冊表項維護。此外，Emotet在作為Windows服務運行的系統根目錄中創建隨機命名的文件。執行時，這些服務會嘗試通過可訪問的管理共享將惡意軟件傳播到相鄰系統。

註意：必須在修復期間使用特權帳戶登錄受感染的系統，因為這可能會加速惡意軟件的傳播。

示例文件名和路徑：

C:\Users\<username>\AppData \Local\Microsoft\Windows\shedaudio.exe

C:\Users\<username>\AppData\Roaming\Macromedia\Flash Player\macromedia\bin\flashplayer.exe

典型的註冊表鍵：

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

系統根目錄：

C:\Windows\11987416.exe

C:\Windows\System32\46615275.exe

C:\Windows\System32\shedaudio.exe

C:\Windows\SysWOW64\f9jwqSbS.exe

碰撞

Emotet感染的負面後果包括

• 臨時或永久丟失敏感或專有信息，
• 對正常運營的幹擾，
• 恢復系統和文件所造成的財務損失，以及
• 對組織聲譽的潛在傷害。

解

NCCIC和MS-ISAC建議組織遵循以下一般最佳實踐來限制Emotet和類似malspam的效果：

• 使用組策略對象設置Windows防火墻規則以限制客戶端系統之間的入站SMB通信。如果使用備用的基於主機的入侵防禦系統（HIPS），請考慮實施自定義修改以控制客戶端到客戶端的SMB通信。至少，創建一個組策略對象，該對象限制到源自客戶端的客戶端的入站SMB連接。
• 在客戶端和服務器上使用防病毒程序，自動更新簽名和軟件。
• 立即應用適當的補丁和更新（經過適當的測試）。
• 在電子郵件網關上實施過濾器，以過濾掉已知malspam指標的電子郵件，例如已知的惡意主題行，並阻止防火墻上的可疑IP地址。
• 如果您的組織沒有關於可疑電子郵件的策略，請考慮創建一個並指定應將所有可疑電子郵件報告給安全或IT部門。
• 使用表示來自外部源的橫幅標記外部電子郵件。這將有助於用戶檢測欺??騙性電子郵件。
• 為員工提供有關社會工程和網絡釣魚的培訓。敦促員工不要打開可疑電子郵件，點擊此類電子郵件中包含的鏈接，或在線發布敏感信息，並且絕不提供用戶名，密碼或個人信息以回應任何未經請求的請求。教育用戶使用鼠標懸停在鏈接上以在點擊鏈接之前驗證目的地。
• 請考慮阻止通常與惡意軟件相關聯的文件附件，例如.dll和.exe，以及無法通過防病毒軟件掃描的附件，例如.zip文件。
• 堅持最低權限原則，確保用戶具有完成其職責所需的最低級別訪問權限。將管理憑據限制為指定管理員。
• 實施基於域的消息身份驗證，報告和一致性（DMARC），這是一種驗證系統，通過使用域名系統（DNS）記錄和數字簽名檢測電子郵件欺騙來最小化垃圾郵件。

如果用戶或組織認為他們可能受到感染，NCCIC和MS-ISAC建議在系統上運行防病毒掃描，並根據結果采取措施隔離受感染的工作站。如果多個工作站被感染，建議采取以下措施：

• 識別，關閉並將受感染的計算機從網絡中移除;
• 考慮暫時使網絡脫機以執行識別，防止再次感染並阻止惡意軟件的傳播;
• 不要使用域或共享本地管理員帳戶登錄受感染的系統;
• 重新映像受感染的機器;
• 在檢查Emotet指標的系統後，將清潔系統移動到與受感染網絡隔離的收容虛擬局域網;
• 發出域和本地憑據的密碼重置;
• 由於Emotet會刪除其他憑據，因此請考慮對可能已在受感染計算機上存儲憑據的其他應用程序進行密碼重置;
• 確定感染源（患者為零）; 和
• 查看與受感染用戶帳戶關聯的日誌文件和Outlook郵箱規則，以確保未發生進一步的泄密。Outlook帳戶現在可能具有將所有電子郵件自動轉發到外部電子郵件地址的規則，這可能會導致數據泄露。

【漏洞預警】模塊化銀行木馬