警告 ：從銀行木馬到分散式殭屍網路的Emotet捲土重來

Emotet是一款具有全球影響力的惡意軟體，2014年以銀行木馬的形式出現。今年7月以來，研究人員已在全球多個國家（包括美國，英國，加拿大，奧地利，德國，巴西，義大利、西班牙等）記錄了至少80萬條與該惡意軟體相關的垃圾郵件。

​

Emotet從銀行木馬逐漸發展為成熟的殭屍網路，並且享有獨特的聲譽。美國網路安全和基礎設施安全域性（CISA）在一月份釋出有關殭屍網路的警告時指出：Emotet仍然是影響部分地區政府的成本最高且破壞性最大的惡意軟體之一。其蠕蟲特徵使它在網路中感染其它機器並迅速蔓延。Emotet感染使每起事件的補救費用高達100萬美元。

Emotet的歷史
Emotet於2014年以銀行木馬的形式出現，主要竊取財務和個人資料。但是，在接下來的幾年中，該惡意軟體逐漸演變成一個殭屍網路，能夠橫向感染多個裝置。除了殭屍網路之外，Emotet還能充當下載程式，成為其他惡意軟體的傳播載體。

Emotet是過去五年中活動最頻繁的惡意軟體之一。2019年，安全專家發現了一項具有三重威脅的攻擊活動：Emotet將另一種名為TrickBot的惡意軟體提供到受感染的端點，然後再下載一種名為Ryuk的勒索軟體變體。

​

重返的Emotet是如何發揮作用的？
在今年7月開始的Emotet活動中，研究人員發現，攻擊始於大規模的垃圾郵件活動，該活動向儘可能多的受害者傳送網路釣魚電子郵件，而電子郵件正文中的URL或帶有連結的附件正是能夠帶來惡意軟體感染的關鍵渠道。如果受害者開啟了連結或附件，就會啟用惡意宏，這些宏會啟動PowerShell指令碼，最終將Emotet安裝在易受感染的裝置中。隨後，Emotet可以在系統中下載其他惡意軟體。

在最新的活動中，研究人員發現Emotet試圖安裝Qbot 銀行木馬，眾所周知，這種銀行木馬會感染金融機構及其客戶。Emotet如此有效是因為它基於網路釣魚策略。Emotet在最近的攻擊活動中使用了收件人熟悉的品牌名或緊急性的主題。正如我們經常看到的，這種惡意軟體的成功大部分源於使用者犯了一個錯誤：開啟惡意附件。

​

如何防禦利用Emotet的攻擊？
正如上文介紹，Emotet並不是今天第一次出現。部分企業很早就知道了Emotet，並且部署了相應的保護措施來防止漏洞利用，但是依然存在大量尚未安裝補丁或採取有效安全措施的企業。另外，攻擊者不斷改進其攻擊方式，採用更隱蔽的攻擊方式讓企業防不勝防。

針對這種情況，安芯網盾記憶體保護系統基於硬體虛擬化技術架構，把安全產品的防護能力從應用層、系統層下沉到硬體虛擬化層，更深層次解決了系統和應用安全防護問題，可以有效應對系統設計缺陷、外部入侵等威脅。

在網路攻擊方面，預防是最好的解決方案，因為有效的檢測手段不僅可以阻止企業成為勒索軟體或其他惡意軟體的受害者，而且預先保證網路安全的成本會比支付勒索費用的成本低。在遭遇攻擊後，特別是當攻擊影響了企業的運營，必然會導致聲譽受損甚至會造成客戶流失。

參考資料：

[1]https://insights.dice.com/2020/09/04/emotet-botnet-a-primer-for-cybersecurity-and-it-pros/

[2]https://www.zdnet.com/article/ransomware-how-clicking-on-one-phishing-email-left-a-whole-business-in-big-trouble/

關於安芯

安芯網盾（北京）科技有限公司（簡稱安芯網盾）是專注於記憶體安全的高新技術企業，致力於為政府、金融、運營商、軍工、教育、醫療、網際網路及大型企業等行業客戶提供面向未來的網路安全解決方案。安芯網盾擁有趕超國際的智慧記憶體保護技術，核心團隊成員自2005年就專注於資訊保安攻防對抗產品的研發並斬獲多項國際大獎，被評為具有發展潛力和行業價值的網路安全新創企業。

安芯網盾幫助企業構建基於硬體虛擬化技術的記憶體安全環境，防禦並終止在業務關鍵應用程式中的無檔案攻擊、0day漏洞攻擊等高階威脅，切實有效保障使用者的核心業務不被阻斷，保障使用者的核心資料不被竊取，已為華為、Google、工商銀行、瑞斯康達、OPSWAT、費爾等眾多國際知名企事業單位持續提供服務。