作者:Sally Adam
Emotet 確實是一個不容忽視的威脅。事實上,美國國土安全部認為,Emotet 是目前對美國企業代價最為昂貴且最具破壞性的威脅之一。這並不是說它只對任何一個國家有害;它的影響範圍是全球性的,各地都有感染報告出現。
Emotet 是一種非常複雜的威脅,一旦進入網路,就會迅速感染整個組織。與其他蠕蟲一樣,它可在沒有使用者幫助的情況下散播,大肆破壞。
一旦 Emotet 進入使用者的電腦,有三個主要目標:
- 盡可能地散播到最多台電腦。
- 發送惡意電子郵件以感染其他組織 (這個過程會損害寄件人的信譽)。
- 下載惡意軟體裝載。在過去,裝載主要是銀行木馬程式,以 Trickbot 最為普遍。它的裝載會將程式碼插入瀏覽器,以便在您下次登入時自動從您的銀行和 PayPal 帳戶中扣款。
在許多情況下,Emotet 還會試圖竊取資料,將惡意軟體感染變成資料外洩。某些 Emotet 變種會從電子郵件用戶端資料和歸檔中擷取電子郵件地址和名稱,用於販售牟取利潤,以及用於傳播更多惡意垃圾郵件。其他變種則會檢查您的網路瀏覽器,竊取歷史記錄並保存使用者名稱和密碼。
為了擴大戰果,Emotet 也可以當作目標式勒索軟體攻擊的煙幕。當組織忙於處理 Emotet 感染時,如 BitPaymer 這樣的勒索軟體則會趁機綁架組織的資料。
為什麼 Emotet 如此危險?
Emotet 成為最知名的最高成本、最具破壞性的威脅之一,有幾個原因:
- 它只需要一台未受到完全保護的電腦即可感染整個組織。一旦進入,它就會迅速在網路上傳播。
- 它會不斷進化。這種威脅背後的網路犯罪分子全天候工作,每天都會發布多個新變種和回傳 (call-home) 地址。
- 然後一直重新感染。Emotet 不斷嘗試散播,經常重新感染已經清除過的電腦。
利用 Sophos 阻擋 Emotet
Sophos 的先進技術可以幫助保護貴組織免受 Emotet 的危害。
Intercept X Advanced with EDR 利用先進的機器學習功能來識別和阻擋 Emotet 檔案,甚至是以前從未見過的新變種。
跨系統威脅搜索功能讓您能夠找出隱藏的威脅,而引導式調查可以準確顯示威脅是如何進入的、哪些電腦受到影響,以及威脅如何傳播,以便您可以採取補救措施。
在以下範例中,您可以看到 Intercept X 如何讓您全面了解攻擊鏈中的每個步驟。注意:我們必須停用多層式保護以讓攻擊進入到某一個程度,但實際上它通常會在更早之前就被阻擋下來。
Sophos XG Firewall 的進階沙箱功能會檢查可執行檔。HIPS 行為監控會偵測出 Emotet,阻止它進入組織。XG 還會阻擋與 Emotet 相關的所有已知 IP 地址。
電子郵件保護 (XG Firewall 和 Sophos Email 中均有) 也可以掃描傳出電子郵件,以偵測出 Emotet 垃圾郵件並找出正在傳送它的電腦。
使用同步安全增強對抗 Emotet 的力量
Intercept X 和 XG Firewall 都是阻擋 Emotet 的強大工具,而且相輔相成。它們能共享即時威脅資訊並自動回應事件。當 Intercept X 偵測到 Emotet 時,它會通知 XG Firewall 自動隔離受感染的電腦,防止橫向移動。然後 Intercept X 會清除感染,並在惡意軟體刪除後通知防火牆。此時,XG Firewall 就會恢復網路的正常存取。
特別的是,透過協同合作,它們可阻擋 Emotet 在貴組織中移動。最好的是,以上動作都會自動發生,完全無需人為介入。快如閃電。
你可以從我們部落格網站 Naked Security 的文章:打擊 Emotet:來自第一線的經驗的教訓了解 Sophos 對抗 Emotet 的更多心得。Sophos 還為客戶準備了一篇知識庫文章:解決 Emotet 和 TrickBot 惡意軟體的疫情。
英文原文: https://news.sophos.com/en-us/2019/01/25/stopping-emotet-with-sophos/?cmp=28009
(本��文為翻譯本,內容以英文原文為準)