随着“Wi-Fi”传播的Emotet丨专栏
新冠病毒是否能气溶胶传播交给医学,专家们研究,倒是有一种计算机病毒能,随着“空气”传播呢!...
一、“空气”传播的病毒
小白:大东东,今年春节真是难忘,疫情的发生让,我有些害怕呢~
大东:只要平时不出门,出门做好防范措施,就不必过于担心。新冠病毒是否能气溶胶传播交给医学,专家们研究,我倒是知道一种计算机病毒,能随着空中的wi-Fi传播呢!
小白:“Wi-Fi”传播?这么神奇?
大东:想知道吗?
小白:小板凳已就位~
二、大话始末
大东:今天要说的就是,emotet,它是目前传播最广泛的恶意,软件威胁之一。
小白:它是干啥的?
大东:Emotet就像一个“搬运工”。它侵入宿主系统后就具备下载其他,恶意软件的能力,不过这只是其能力之一。借助传播组件,emotet能够将自身传送到,同一网络上的其他计算机,该组件可以通过挂载共享,或利用漏洞来传播恶意软件。
小白:所以它为啥能“Wi-Fi”传播呢?
大东:Emotet可以“跳入”其他Wi-fi网络并试图破坏其中,的计算机。
小白:Wi-Fi?这可还行?那它是如何借助Wi-Fi传播的呢?
大东:恶意软件感染了连入Wi-Fi网络的计算机后,会使用wlanapi接口发现,该区域中的所有wi-Fi网络,包括邻居的Wi-Fi网络、咖啡馆的免费Wi-fi网络或附近,的商家wi-Fi网络。
小白:那如果设了Wi-Fi密码呢?
大东:即使这些网络受到访问密码,的保护,该恶意软件也会尝试字典,攻击破解密码,一旦得手就可以连,接到wi-Fi网络,开始扫描连接到同一网络的,所有其他计算机,以查找所有启用了文件共享,的windows计算机。然后,它检索这些计算机上所有用户,帐户的列表,并尝试猜测这些帐户,以及管理员帐户的密码。如果猜出的任何密码正确,则恶意软件会将其自身复制,到该计算机,并通过在另一台计算机上运行远程,命令来进行安装。最后是报告给命令和控制服务器,以确认安装。
小白:厉害了,有组织有纪律啊~
大东:其实,Emotet通过Wi-fi传播的行为已经运行了,将近两年了。
小白:什么?两年了都没人发现吗?
大东:Emotet通过“Wi-Fi传播”之所以未能引起业界注意,这可能部分是由于二进制文件,在木马中投放的频率不高。根据记录,从2019年8月下旬emotet首次,出现至今,Binary defense直到2020年1月23日才,首次观察到emotet投放此类文件。
小白:能抓住它还真不容易……
大东:此恶意软件保持低调的另一个原因,是能够绕过安全检查。如果研究人员在没有Wi-Fi适配器的VM /自动沙箱中运行,则恶意软件不会触发对,wlanapi网络扫描发现功能的利用。
三、Emotet的前世今生
大东:如果要给出名的恶意软件,们写小传,那emotet木马必,能占一席。小白:此话怎讲?
大东:多年来的安全新闻一直,有它的身影,从2014年广泛传播的,恶意邮件,到如今的Wi-Fi传播新升级。
小白:快给我讲讲它的身世!
大东:emotet的初始目标是,银行凭证,最初是由趋势科技,于2014年发现的。当时它是一种通过,邮件传播的银行木马,诱骗用户点击,执行恶意代码,通过垃圾邮件活动获取设备,后,可以充当其他银行特洛伊木马,的下载器或散播者。
小白:当初的emotet,还是个孩子……
大东:到2017年,进化的emotet威胁,战略开始扩张,它可以感染网络,共享文件夹和驱动器,包括可移动的 U 盘等。它还可以使用服务器,消息块(SMB)在其他机器上复制自己,的副本。一旦下载执行并安装时,emotet会欺骗合法的,windows服务以降低怀疑。然后,它还会与命令与控制(C&C)服务器通信,该服务器将负责提供有关如何执行,恶意软件说明。
小白:Emotet慢慢长大了……
大东:到2018年,人们发现emotet改变了它的,策略和目标。emotet发展了,新技术,摇身一变成为分发其他带有,威胁性软件的传播者,并对第三方开,源代码暗中觊觎。当时emotet的主要,目标集中在美国,根据美国国土安全部,的官方技术数据,emotet感染国家和地方,政府后,平均每次所需的修复费用,高达100万美元。
小白:它觉醒了!
大东:到2019年,emotet不断升级的杀软对抗策略使之成为,一个难缠的对手,在国内也造成,了一定的影响面。
小白:生命力真顽强!
大东:2019年9月23日,奇安信病毒响应中心发布了,emotet威胁预警,经长期追踪发现多个带有恶意宏代码的,emotet鱼叉攻击邮件。邮件通过诱导用户点击,启用宏从而执行宏代码,利用powershell下载并执行下,阶段攻击载荷,具体攻击模块功能包括outlook数据窃取,以及横向渗透模块。
小白:什么什么?
大东:简单来说就是,emotet通过邮件,传播,中毒后从服务器下载,恶意软件,执行恶意代码,窃取受害计算机的数据。
小白:一步一步扩大侵略范围啊!
大东:没错。emotet由于其开发团队,的“敏捷性”和“产品”不断进化,堪称打不死的小强。直到近日,研究者才发现该,木马获得了“空气传播”的可怕技能。
小白:它最近是不是又干什么,坏事了?!
大东:近日,网络安全公司,mimecast、KnowBe4、IBM X-force和卡巴斯基先后,发现了一系列针对“新冠病毒恐慌”的恶意软件传播的活动,攻击者利用公众对,新冠病毒的恐慌,发送含有恶意软件链接或者文件的,邮件给用户,并用冠状病毒关键词主题诱骗接收者打开恶意,附件或者链接。
小白:天呐!以前emotet的常用套路是伪装成公司样式的,付款发票和通知电子邮件,现在由于冠状病毒感染的,全球性恐慌,Emotet反应够快的!
大东:号称“全球首个敏捷开发病毒”的Emotet,第一时间就对“投放”策略和“物料”做出了调整,果然够“敏捷”。目前,美国、日本等国家都发现此类冠状病毒主题,的钓鱼邮件攻击。
四、如何防范
小白:这么机灵的Emotet,我们对它有啥办法吗?大东:日本cert最新发布的实用,程序emocheck(GitHub:https://github.com/JPCERTCC/EmoCheck),下载安装后可以帮助windows,用户轻松检查是否感染了emotet。如果运行emocheck发,现已被感染,则应立即打开任务,管理器终止相关进程,然后用防病毒软件扫描,计算机,以确保木马尚未将其他,恶意软件下载并安装到计算机上。对于网络管理员来说,此工具也很有用,它可以用作登录脚本,的一部分,快速查找已感染了emotet,的计算机,以防止全面的勒索,软件攻击。
小白:嘿嘿~
大东:更“小白”的做法呢,可以采用多个重叠、相互支持的防御系统,来防范,包括部署端点、电子邮件和网关保护技术,以及防火墙和,漏洞评估解决方案,及时更新安全解决方案与,最新的保护功能。
小白:就是升级杀毒软件~
大东:对于企业用户,建议安全管理人员将有危害的,邮箱地址加入反垃圾邮件系统阻拦样本库,进行垃圾邮件过滤;加强普通员工的上网,安全意识。
小白:明白啦~
大东:最最基本的防护就是那些,老生常谈的啦!
小白:我知道!不要轻易打开未知邮件,提高安全意识,预防恶意样本攻击~
来源:中国科学院计算技术研究所
温馨提示:近期,微信公众号信息流改版。每个用户可以设置 常读订阅号,这些订阅号将以,大卡片的形式展示。因此,如果不想错过“中科院之声”的文章,你一定要进行以下操作:进入“中科院之声”公众号 → 点击右上角的 ··· 菜单 → 选择「设为星标」
关注 中科院之声
微信扫一扫关注公众号
