打擊 Emotet:來自第一線的經驗

Corporateemotet

作者 Mark Stockley

(感謝 Sophos 專家 Peter Mackenzie 對本文的研究貢獻。)

Emotet 是一種惡意軟體,專為逃避偵測、深入宿主和自我繁殖而設計。

由於不斷更新、模組化的多型設計,以及可經由網路部署大量不同技術來進行蠕蟲攻擊的能力,該軟體很快成為一個動態且不斷變形的目標,讓系統管理員及安全軟體疲於奔命。

在它出現五年以來,Emotet 已經從一種木馬程式演變成一種非常複雜且能廣泛部署其他惡意軟體的平台,特別是其他類型的銀行木馬程式。

Emotet 會隨著惡意的垃圾郵件活動出現,並為任何願意付錢的惡意軟體提供服務。今年到目前為止,它和 TrickBot 和 QBot 銀行木馬程式脫不了關係,也與  BitPaymer 有關 (一種複雜的勒索軟體,勒索高達六位數的金額)。

2018 年 7 月,US-CERT (美國電腦應急應變小組) 發布警報,將 Emotet 描述為:

SLTT 政府機構 (州、地方、種族和地區) 最耗成本和最具破壞性的惡意軟體。其具有類似蠕蟲的特徵,導致整個網路內的感染迅速蔓延,難以對抗。Emotet 感染致使 SLTT 政府機構必須花費多達 100 萬美元補救每一次的事件。

Emotet 仍然是一種非常強大且擴散中的威脅。對系統管理員和威脅處理專家來說,它是最困難的挑戰之一。

為此,我與 Sophos 全球惡意軟體專家 Peter Mackenzie 進行了一次會談,以便了解他從處理 Emotet 的疫情學到了什麼。

1.保護所有的電腦

預防勝於治療。您可以採取的最佳預防措施之一,就是確保網路上沒有任何不安全的電腦。Peter 表示:

當組織受到 Emotet 的攻擊時,感染來源通常就是一部網路上未受保護的電腦。客戶通常不知道有這些設備存在,更不用說躲藏在其中的惡意軟體。

您可以使用免費的網路掃描工具取得網路上每一個作用中裝置的列表,並將這份列表與您安全管理主控台中的名單進行比對。如果您發現任何未知裝置,請盡快為其安裝修補程式並執行最新的端點保護。

未知且不安全的電腦,也是 Emotet 躲藏和適應的溫床,使情況雪上加霜。

雖然其他電腦上的安全軟體會將它「困」在不安全的電腦上,但它會一直試圖掙脫。而且因為它是多型的,所以更新非常頻繁 (有時一天多次),此外它的有效裝載非常靈活,會不斷製造新的挑戰。

這些動作進行的時間越久,風險越大。更新或改變裝載後的 Emotet 會在您的防護中找到一個縫隙,然後突破並透過您的網路繼續擴散。

您無法預測會出現什麼縫隙 ─ 也許是一個新的漏洞利用,或者是能暫時讓 Emotet 躲開特徵碼型防毒的變種 ─ 所以深度防禦至關重要。如深度學習、漏洞利用防禦和 EDR 等進階防惡意軟體功能,可為您提供控制和尋找威脅來源的顯著優勢。

2.盡早且頻繁地修補

Emotet 是其他惡意軟體的門戶,因此遏阻 Emotet 不只是能防禦 Emotet,還阻擋掉它帶來的任何威脅。既然您不知道什麼威脅會隨它而來,您只能採取最佳的預防措施。在這份預防措施的清單 (是一份很長的清單) 中,最優先的項目是修補已知的漏洞。

聽起來像是天底下最不稀奇的安全建議,但它卻是清單中的必要項目。在現實環境中,未修補的軟體將使 Emotet 疫情更加嚴重,並且難以控制。

關於它是如何運作的,可參考 EternalBlue,以及 2017 年利用 SMB 漏洞而聲名大噪的 WannaCryNotPetya。令人難以置信的是,儘管新聞媒體大肆報導,而且微軟已經發布安全公告 MS17-010 和修補程式差不多兩年了,惡意軟體仍然成功透過漏洞利用賺錢。其中一個惡意軟體是TrickBot,這是 Emotet 最常夾帶的裝載。

尚未將修補作業視為優先項目的讀者,請不要成為報導中受害者。

3.預設阻擋 PowerShell

Emotet 通常以惡意電子郵件附件的形式出現。攻擊大多是如此開始:使用者收到附帶 Word 文件的電子郵件。

  1. 使用者開啟 Word 文件。
  2. 並被誘騙執行巨集。
  3. 巨集會觸發下載 Emotet 的 PowerShell。
  4. Emotet 感染開始了。

顯然,使用者一定做錯了一些事才讓病毒得手,所以最後的建議,就是請「訓練您的員工不要打開有問題的電子郵件或執行巨集」。因為這項提醒是老生常談,但它是一個好主意,因為只要失敗一次就前功盡棄。

雖然也有其他方式可以減緩透過電子郵件傳播的 Emotet,但系統管理員最簡單的作法就是預設阻止使用者使用 PowerShell。

我們並不是要阻止所有人 (有些人需要 PowerShell),我們只是假設沒有人需要它 (包括系統管理員),然後只為真正可證明有需要的人解鎖。

當我們說阻擋時,我們的意思是阻礙,而不是設定一個禁用它的政策。因為政策可以被繞過。PowerShell 應該被列入黑名單 (Sophos 對應的功能稱為 Application Control )。

你可以在我們的姐妹網站 Sophos News 上閱讀更多 Sophos 產品如何阻止 Emotet 的資訊。Sophos 還為客戶準備了一篇知識庫文章:解決 Emotet 和 TrickBot 惡意軟體的疫情

 

英文原文: https://nakedsecurity.sophos.com/2019/01/25/fighting-emotet-lessons-from-the-front-line/?cmp=28009

(本博文為翻譯本,內容以英文原文為準)

 

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.