Emotet 恶意软件

Emotet（又名Heodo和Geodo）是一个模块化的多态第一阶段初始访问恶意软件家族，最早发现于2014年。由于其拥有众多独特的规避性变种，它被认为是世界上最危险的恶意软件菌株之一。Emotet 最初是一种银行木马，但自 2017 年以来，它的功能已被限制为主要充当初始访问木马，用于传播顶级二级恶意软件和勒索软件，如 Conti、Ryuk、Trickbot 和 Qakbot。

Emotet归属于一个名为TA542（又名木乃伊蜘蛛和MealyBug）的初始访问代理（IAB）组织，该组织经营着一家非常成功的恶意软件即服务（MaaS）犯罪企业。2015 年之前，Emotet 曾在暗网论坛上公开销售，但现在只有 TA542 的密切关联者才能私下获得。限制Emotet的可用性使其部署更具战略性，同时也增加了安全研究人员分析最新版本和开发应对措施的难度。

2021 年对于 Emotet 来说是多事之秋。2021 年 1 月，包括欧洲刑警组织（EUROPOL）和美国联邦调查局（FBI）在内的国际联合行动打击了 Emotet僵尸网络运营商；但乌克兰警方仅宣布逮捕了两名嫌疑人。联合执法部门还部署了一个解决方案，通过推送更新引导恶意软件自行卸载，以解除 Emotet 僵尸网络受害者的感染。然而，到 2021 年 11 月，Emotet 又出现了新的变种和技术，使其僵尸网络迅速恢复了全部功能。

作为一种初级恶意软件，Emotet通过网络钓鱼和恶意垃圾邮件活动进行传播，这些活动采用了多种社会工程学背景，如逾期发票、包裹递送通知、COVID-19警报和银行主题，以诱使受害者执行武器化的电子邮件附件或链接URL的有效载荷。Emotet 有效载荷通常嵌入在 Microsoft Office 文档中，但 Emotet 也包含在 PDF 文件、可执行文件和脚本、压缩 ZIP 存档以及其他新型攻击载体中。

据了解，Emotet 有效载荷几乎使用了所有已知漏洞和许多未披露的 "零日 "漏洞，从而领先安全研究人员一步。安装后，Emotet 可以暴力破解密码，从所有主要浏览器和电子邮件客户端窃取用户凭证，并保持持久性。Emotet 还能在本地网络中进行蠕虫式横向移动，并具有自我更新功能，可以导入新模块。为了逃避检测，Emotet 使用随机生成的文件名，并定期更改其 .exe 可执行文件的位置和名称以及相关的 Windows Autorun 注册表键值，以确保在受感染系统重新启动时自动启动。

Emotet 最有效的技术包括以下几种：

• 分析窃取的信息以开发社会工程学背景 
• 将带有木马附件的邮件附加到受攻击电子邮件账户的现有对话中
• 利用黑客网站托管第一阶段有效载荷，从而避开阻止已知恶意 URL 的安全产品的检测 
• 使用受害者的微软账户通过OneDrive链接进行传播，以避免被拦截
• 模仿大公司的品牌形象，提供虚假发票、送货信息或虚假招聘信息
• 企图通过胁迫性 "sextortion "垃圾邮件向受害者勒索钱财
• 利用盗取的凭证通过 SMB 服务漏洞进行传播
• 使用 64 位 shellcode 和 PowerShell 执行和安装第二阶段有效载荷

通过提高用户对社交工程和网络钓鱼攻击的防范意识，可以有效预防 Emotet 攻击。但是，安装、配置和定期更新端点安全产品，以及在产品发布后尽快更新组织整个 IT 环境中的所有操作系统、服务和应用程序也同样重要。BlackBerry™ Cyber Suite 产品会不断更新，以保护您的环境免受 Emotet 木马最新版本的攻击。

以下是预防 Emotet 攻击的最有效策略：

• 配置电子邮件客户端，以便在电子邮件来自组织外部时通知用户
• 考虑开展用户意识培训，让员工了解网络钓鱼技术，并制定处理可疑电子邮件和文件的标准操作程序 (SOP)。
• 认识到加密文件带来的更大风险，并在打开此类文件前彻底核实其来龙去脉
• 使用内容代理监控互联网使用情况，限制用户访问可疑或有风险的网站
• 确保所有端点只安装经授权的数字签名软件，并定期扫描和阻止任何未经授权的软件执行
• 确保 Office 应用程序配置了 "在没有通知的情况下禁用所有宏 " 或"禁用除数字签名宏以外的所有宏 " 设置
• 特别注意电子邮件客户端和 Office 应用程序中的警告通知，它们会提醒您注意可疑的上下文，例如未经恶意软件扫描或包含 VBA 宏的文件
• 安装和配置端点安全产品，在加密文档解密后立即对其进行扫描
• 尽可能实施零信任解决方案，优先考虑关键系统