Emotet 被認(rèn)為是目前最普遍、最具破壞性和修復(fù)成本最高的惡意軟件 (1)。 它主要通過包含惡意連結(jié)或受感染文件的網(wǎng)絡(luò)釣魚電子郵件進(jìn)行傳播。 一旦受害者下載文件或點(diǎn)擊連接，附加的惡意軟件就會(huì)自動(dòng)下載到他們的設(shè)備上，然后在企業(yè)的網(wǎng)絡(luò)中不斷地復(fù)制、擴(kuò)散。

盡管由于國際執(zhí)法和司法當(dāng)局（1）的推動(dòng)，它于2021年1月被大規(guī)模刪除，但Emotet繼續(xù)蓬勃發(fā)展，并以更復(fù)雜的技巧傳播惡意軟件。其中一種策略利用Windows快捷方式檔（.LNK）包含PowerShell命令，用于在受害者的設(shè)備上下載Emotet有效payload，我們?cè)?/span>上一篇文章上中對(duì)此進(jìn)行了分析。惡意軟件作者進(jìn)行了此調(diào)整，以規(guī)避 Microsoft 啟動(dòng)的 VBA 保護(hù)。

2022年4月，一項(xiàng)新的Emotet活動(dòng)濫用壓縮方式的LNK檔被發(fā)現(xiàn)。在這篇文章中，我們分析了這個(gè)媒介，并演示如何使用OPSWAT MetaDefender來防止這些類型的惡意軟件。

Emotet 傳播鏈

Emotet 殭尸網(wǎng)絡(luò)運(yùn)營商通過垃圾郵件開始攻擊，該垃圾郵件包含受密碼保護(hù)的惡意 zip 文件，其中包含嵌入的快捷方式連結(jié)檔 （.LNK）。他們?yōu)E用快捷方式檔，因?yàn)樗茈y區(qū)分。該文件偽裝成帶有圖示的文件文件，默認(rèn)情況下，擴(kuò)展名在 Windows 中不顯示。

在受害者提取 zip 檔并執(zhí)行 .LNK檔，它會(huì)在其設(shè)備上的臨時(shí)文件夾中刪除有害的Microsoft VBScript（Visual Basic Script）。

這個(gè)被刪除的 VBScript 執(zhí)行后會(huì)從遠(yuǎn)程服務(wù)器下載 Emotet playload。 一旦此二進(jìn)制程序文件文件被下載后，它會(huì)將文件保存到 Windows 的臨時(shí)目錄并使用 regsvr32.exe 執(zhí)行它。 一旦被感染，Emotet 會(huì)自我復(fù)制以傳播到網(wǎng)絡(luò)中的其他計(jì)算機(jī)上。
?

如何防止 Emotet 和類似的進(jìn)階攻擊 ?

全球政府機(jī)構(gòu)和網(wǎng)絡(luò)安全專家提供了許多建議和指導(dǎo)，以幫助用戶識(shí)別和防御復(fù)雜的 Emotet 活動(dòng) (2)，例如：

• 不要打開可疑的電子郵件附件或點(diǎn)擊電子郵件內(nèi)文中的可疑連結(jié)。
• 確保您的員工經(jīng)過充分培訓(xùn)，能夠識(shí)別可疑的電子郵件鏈接和附件
• 使您的操作系統(tǒng)、應(yīng)用程序和安全軟件保持最新

借助 OPSWAT Email Gateway Security 和 OPSWAT MetaDefender Core，您可以輕松全面地保護(hù)您的組織免受 Emotet 以及其他進(jìn)階具規(guī)避性的威脅。 我們市場領(lǐng)先的 Deep CDR（內(nèi)容清洗和重建）禁用隱藏在文件中的已知和未知威脅。 根據(jù)我們的零信任理念，我們假設(shè)進(jìn)入您網(wǎng)絡(luò)的所有文件都是惡意的，因此我們會(huì)在每個(gè)文件到達(dá)您的用戶之前對(duì)其進(jìn)行掃描、清理和重建。 隱藏在文件中的所有活動(dòng)內(nèi)容都將被中和或刪除，確保為您的組織提供無威脅的環(huán)境。

當(dāng)前的 Emotet 威脅如何被阻止的狀況如下：

1. OPSWAT Email Gateway Security 隔離受密碼保護(hù)的附件。
2. 要下載附件，收件人需要向隔離系統(tǒng)提供文件密碼。
3. MetaDefender Core 使用我們稱為 Metascan 的多重掃描解決方案掃描文件以查找已知惡意軟件。 如下圖所示，11/16 引擎成功檢測到威脅。
4. MetaDefender Core 提取附件，并使用 Deep CDR 引擎遞歸清理每個(gè)嵌套檔。下面的結(jié)果顯示找到并刪除了對(duì)象。在清理過程中，Deep CDR 將 .LNK 文件的惡意命令替換為 dummy.txt 以消除威脅。
5. Email Gateway Security將帶有無威脅附件的電子郵件釋放給用戶。以下是清理后文件的掃描結(jié)果。未檢測到威脅。
6. 用戶現(xiàn)在可以在他們的機(jī)器上解壓縮附件并生成 LNK 文件，而不必?fù)?dān)心任何安全問題。 即使用戶打開 LNK 文件，也不會(huì)下載到惡意軟件，因?yàn)?/span> LNK 文件的惡意命令已經(jīng)被替換。

了解有關(guān) OPSWAT Deep CDR 的更多信息或與我們聯(lián)系了解最佳網(wǎng)絡(luò)安全解決方案，以保護(hù)您的公司網(wǎng)絡(luò)和用戶免受危險(xiǎn)和復(fù)雜的網(wǎng)絡(luò)攻擊。

參照

(1) CyberNews. 2022. 'World’s most dangerous malware' Emotet disrupted. [online] Available at: <'World’s most dangerous malware' Emotet disrupted>; [Accessed 9 June 2022].

(2) Ipa.go.jp. 2022. 「Emotet（エモテット）」と呼ばれるウイルスへの感染を狙うメールについて：IPA 獨(dú)立行政法人 情報(bào)處理推進(jìn)機(jī)構(gòu). [online] Available at: <「Emotet（エモテット）」と呼ばれるウイルスへの感染を狙うメールについて：IPA 獨(dú)立行政法人 情報(bào)処理推進(jìn)機(jī)構(gòu)>; [Accessed 8 June 2022].文章來源地址http://www.zghlxwxcb.cn/news/detail-497142.html

到了這里，關(guān)于惡意軟件Emotet卷土重來濫用.LNK文件進(jìn)行攻擊，你只需要一項(xiàng)技術(shù)就能有效保護(hù)組織的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！