大家好，我是零日情報局。

本文首發於公眾號 零日情報局，微信ID：lingriqingbaoju

從銀行木馬到網路犯罪帝國，Emotet出現至今已成為當前最具危險性的惡意軟體之一，並流竄全球。

而Twitter上，卻有一個自發的安全小組鎖定Emotet木馬，以一種近乎偏執的堅持，夜以繼日地展開追蹤近兩年之久，如今他們已成為圈內最懂Emotet的白帽團隊之一。

這個白帽團隊就是Cryptolaemus。

這回，零日就跟大家聊聊Cryptolaemus白帽團隊針對Emotet木馬“追著錘”的故事。

Emotet：洗劫全球的銀行木馬

Emotet一款經久不衰銀行木馬，2014年已開始在德國、瑞士等全球各大銀行肆虐，長期為幕後黑手竊取大筆資金。

（CISA釋出Emotet威脅公告）

洗劫各大銀行後，具有自我傳播與暴力訪問特性的Emotet，從銀行木馬進階為惡意軟體“載入器”，成為駭客團伙全球分銷惡意軟體的利器。

自此，Emotet木馬又成了勒索病毒、加密礦工、資訊竊取等惡意攻擊的先行軍。其背後駭客組織Mealybug，更借Emotet木馬出租業務，全方位築起了駭客犯罪的商業帝國。

累計跟蹤5萬+惡意IP，白帽團隊執著追殺Emotet

Cryptolaemus白帽團隊自2018年9月12日，在自己的團隊官網（https://paste.cryptolaemus.com/）釋出第一份Emotet木馬追蹤IoC以來，至今已堅持累計釋出了超過230份IoC文件。

我們隨意點開這些文件，發現他們的每一次釋出，平均披露超200+個Emotet木馬的命令伺服器IP地址，以及上千條惡意文件的傳播連結。換言之，兩年來，Cryptolaemus所追蹤的惡意IP超過5萬個。

同為安全研究員，相信大家和零日一樣，都明白如此龐大體量的追蹤資料背後，不僅是持續不斷的技術輸出，更是安全員近乎偏執的堅持。

細看Cryptolaemus白帽團隊網站持續更新的IoC文件，會發現專業程度絲毫不輸於各大專業網路安全團隊，更有讓Emotet無處遁形的趨勢。

比如他們會詳盡地羅列出每次發現的Emotet命令伺服器IP地址，數量多達百餘個：

比如輕則過千的Emotet惡意文件傳播連結：

或是傳播Emotet的檔案HashBusting：

這些僅從數量上就需要耗費大量時間的追蹤資料，Cryptolaemus白帽團悉數全網免費共享，任何人都可以直接進入Cryptolaemus網站查閱。

除此以外，Cryptolaemus白帽團隊還是個Twitter的高產博主。他們的推特賬號@ Cryptolaemus1日均更新5+條推文，交流轉發無數；在內容上，更是把Emotet扒得透透得。想知道的Emotet新動向，都能在Cryptolaemus官推找到，找不到的直接@提問，更能得到專業答覆。

首先是，實時共享網站IoC：Cryptolaemus白帽團隊Twitter實時共享網站IoC追蹤文件，並針對IoC情況，分享Emotet殭屍網路更新、垃圾郵件等內容，提醒關注者更新Emotet攔截列表。

其次，他們還會線上解惑：作為安全圈公認的Emotet“盯梢人”，白帽Cryptolaemus自然收穫了大批技術同行的關注，而他們也不吝指教，隨時線上就Emotet木馬進行討論。

答疑內容不僅有文字版：

還有技術演示版：

甚至不乏寫滿程式碼的乾貨版：

當然，推文還少不了他們的Emotet追蹤思路：畢竟每天都專注在Emotet的追殺中，自然對如何捕捉Emotet行蹤相當有心得，所以在他們的推特里，經常能看見追蹤Emotet的新思路新手段新發現，關注者發現新的溯源技術手段，也會第一時間@Cryptolaemus共享。

現今，這群因興趣相投目標一致的網友，組成的Cryptolaemus白帽團隊，既有大公司的IT管理員，也有網路安全公司職員，而在Cryptolaemus網站也能看到這20名成員的Twitter賬號。

Cryptolaemus白帽團隊成員Twitter名單：

@0xtadavie @Bauldini @benkow_ @CholeVallabh @DecayPotato @devnullnoop @dmfroberson @dms1899 @James_inthe_box @Jan0fficial @JRoosen @lazyactivist192 @MalwareTechBlog @mploessel @neonprimetime @noottrak @pollo290987 @prsecurity_ @ps66uk @unixronin @_FirehaK

Emeritus members: @JayTHL

至於這全憑興趣的20人團隊，堅持阻擊Emotet的成果也有著相當大的成效。

“反作用”Emotet幕後勢力：Cryptolaemus長期追蹤發現，Emotet惡意軟體團伙會在白帽團隊IoC報告發布第一時間，瀏覽並迅速做出策略調整。夜以繼日不間斷的攻防博弈，讓Emotet幕後勢力成為Cryptolaemus的密切關注者。

執法與網路安全公司關注：Emotet在成為惡意軟體載入器後，一直是網路安全圈的毒瘤。而Cryptolaemus白帽團隊的專注，也讓越多越多的執法部門與網路安全公司關注起Emotet威脅。

零日反思

一群用興趣與愛發電的技術達人們，因為共同目標，開啟了全網阻擊Emotet的征程。

也許區區數百份IoC不能直接消滅Emotet，但不可否認，這群白帽的行動，切實的阻礙了Emotet威脅的進一步擴散。其中的堅持與追求，也許正是萬千白帽Hacker的縮影。

零日情報局作品

微信公眾號：lingriqingbaoju

如需轉載，請後臺留言

歡迎分享朋友圈

參考資料：

ZDNet -《與全球最危險惡意軟體Emotet對抗的白帽團體》