Fox-IT威胁分析师吴宗育表示,Emotet的中继站设计成多层次网络机构,目前推估有三层,为什麽要做这样的机构设计,除了提高破获难度外,是否还有其他原因,外界不得而知。(图片来源/趋势科技)
根据US-CERT的说法,类似欧洲刑警组织这种针对Emotet傀儡网络的扫荡行动,每一次行动至少都要花费百万美元以上,显见,这种傀儡网络对全球造成的损失虽然巨大,但警方想要抄家,也非易事。
Emotet最早在年就是一个金融木马的黑客组织,但後来慢慢转型,成为提供网络犯罪基础机构,以及相关恶意程序与工具的幕後黑手。
Fox-IT威胁分析师吴宗育(ZYWu)则从技术层面,来剖析Emotet这个全球规模数一数二的傀儡网络,他表示,Emotet中继站设计成多层次网络机构。
第一层为受Emotet感染的受骇主机,第二层通常架设於被入侵的网站服务器上,而第三层(目前主流共识的研判)为黑客实际注册的服务器,每一层机构会负责将流量导向下一层。他坦言,Emotet这样的设计方式,除了让执法单位拔除整个傀儡网络的难度更高之外,也使外界更难窥得完整的网络机构。
进一步分析可以发现,此机构第一层的中继站为受感染的电脑,这些电脑时常隐藏在局域网(NAT)内部,Emotet模块化的设计得以在感染电脑後,从中继站派送通用随插即用模块(UPNPModule),此模块会向局域网的路由器,来注册通讯埠转发(PortForwarding),让外网受感染的机器可与位於内网的傀儡电脑进行沟通。
因为Emotet在相关恶意程序的派送和部署等相关的设置,都可以透过自动化方式完成,也会使得相关网络黑客组织管理、设置恶意网络的成本降得更低。
他也引述根据趋势科技的研究来印证,因为在年,这傀儡网络有两组互不相通的机构平行运作,至今,大家已观察到三组独立机构,只不过,Emotet为何采用这种网络机构?背後原因仍然成谜。
Emotet最主要的三种传播方式
事实上,若单就Emotet而言,也是最恶名昭彰的垃圾邮件傀儡网络。
吴宗育表示,Emotet有三种主要的传播方式,第一种是透过帐号密码窃取模块(CredentialStealerModule),将受害者电脑上的帐号、密码传送回中继站,回传的数据中,就有机会得知包含信箱的帐号、密码等信息。
第二种就是使用邮件窃取模块(EmailStealer),将受害者电脑上的信件传送回中继站,再从信件中,获得攻击目目标信息。从年底开始,傀儡网络也会回覆偷取的信件,藉此增加社交工程成功机率。
至於第三种,则是垃圾邮件发送模块(SpammingModule),从受害者电脑上登入被窃取的邮件信箱帐密,并自动寄出垃圾邮件。
这个方式也与以往垃圾邮件发送方式不同,该模块因为通过邮件服务器的认证,寄送者会视为正常的邮件服务器。
而Emotet对内则会利用字典档攻击方式,针对管理者共用机制(AdminShares)、Wi-Fi服务器进行散播;这些字典档的字库内容,就可能是来自遭窃取帐号、密码中所统计出来的最常使用的弱密码。
吴宗育表示,若以技术角度面切入分析可以发现,自年起,Emotet对外提供网络犯罪服务的对象,屈指可数,有哪些主要客户?如用TheTrickgtag=mor开头的集团,以及使用Qakbot的集团。
他指出,目前俄罗斯菁英网络犯罪组织经营方式,已和一般中小企业无大差别。
以俄罗斯检调单位对Lurk网络犯罪集团的起诉书为例,该集团於莫斯科与叶卡捷琳堡,皆设有实例办公室,所以,此次八国联手对Emotet抄底的据点,也有可能是Emotet的实例办公室,而这和其他俄罗斯菁英网络犯罪组织的运作趋势相符。
面对Emotet的解决之道
因为Emotet是透过垃圾邮件散布,如果用户或许无法察觉个人电脑遭到Emotet「挟持」的话,会有甚麽特徵呢?吴宗育表示,目前所知,荷兰警方有提供电子邮件查验的服务,可以确认个人使用的电子邮件是否是Emotet用来滥发垃圾邮件的傀儡电脑(查验网址)。
另外,也可以细心一点从日常工作和生活中观察异状,吴宗育举例,像是有信件来往的客户向你抱怨,说你跟他的信件来往中怎麽多了一个看不懂的附件或是url等,都可能是个人电脑遭到Emotet等傀儡网络滥用的徵兆。
虽然,现在的恶意程序不容易让一般用户察觉,也不容易检查,但如果怀疑垃圾邮件的附件可能是恶意文件,可以上传VirusTotal做检查,但这对於加密附件无效。
他也说,因为恶意程序会自动化的往内网横向移动,也会利用社交工程方式,引诱用户毫不迟疑地打开邮件,他建议,防毒软件的扫描是不可或缺的基本工具,若有疑似现象时,建议应该要请专家来进行检查。
趋势科技指出,Emotet主要通过电子邮件传递,采用社交工程技巧,并可能使用合法的电子邮件地址发送。为避免在不知不觉中下载此恶意软件,因此,趋势科技建议,用户应该要避免打开未知或可疑的电子邮件。
由於Emotet放弃了SMB漏洞作为传播方法,趋势科技表示,保持用户电脑系统更新,也很重要;透过定期更改密码,对於打击Emotet也很有用。趋势科技也观察到,该恶意软件会丢弃浏览器和电子邮件密码抓取模块,藉此窃取用户的凭证,或是使用类似Mimikatz等黑客工具来恢复存储的密码。
Emotet在疫情大流行期间活跃,常用COVID-19作为垃圾邮件主旨
年因为COVID-19全球大流行,对於许多网络犯罪集团也造成冲击。吴宗育观察表示,COVID-19在俄罗斯肆虐的那段期间,很多恶意活动都处於停止或类似休眠的状态,就像俄语系的网络犯罪集团或黑客族群都死了;但後来随着封城措施逐步解封,原先俄语系的网络犯罪集团的网络活动,又陆续活跃起来。他认为,从上述的现象也可以印证,这些网络犯罪集团的本业,极可能有实例办公室。
因为Emotet是一个很爱用时下当红话题来诱骗受害者手段的网络犯罪集团,许多信息安全专家也发现,他们会使用大量与COVID-19相关邮件主题,来攻击受害者,甚至包含各种医疗机构在内。
电脑用户如果想要确认自身是否曾经沦为Emotet傀儡网络的其中一员,想确认电子信箱是否遭到滥用,可以采用荷兰警方的电邮查验服务做相关的确认。
阻挡Emotet必用的恶意IP位址清单
这次八国联手抄底Emotet,各国执法单位也掌握不同IOC的IP位址,Fox-IT威胁分析师吴宗育(ZYWu)表示,企业信息安全工作人员务必将相关的IP位址汇入自家的防火墙规则中,一旦察觉到企业内网环境对外联机到下列IP位址,应该要尽速请信息安全事件调查专家介入,清理可能遭到Emotet污染的内网环境。下列是阻挡的IP位址清单:
80..3.:
80..51.:
80..35.51:80
80..63.78:
80..53.:80
80..62.:
80..59.:
80..43.:80
转载请注明:http://www.0431gb208.com/sjszyzl/6957.html
