什麼是表情圖?
Emotet 一直是主要的惡意軟體威脅之一,直到 2021 年 1 月國際工作小組將該惡意軟體擊落為止。在最高時期,Emotet 在世界各地感染了 150 萬台計算機,並在其離線之前造成了估計 25 億美元的損害。
2021 年 1 月的拆除僅創造了十個月的營運暫停,直到 2021 年 11 月,Emotet 回歸。 它利用了 Trickbot 殭屍網絡的範圍,讓現有的 Trickbot 感染下載 Emotet 的新改進版本。
Emotet 的改進包括更強大的密碼學、改進的控制流程以及新的感染機制。 Emotet 現在還提供 Cobalt Strike 信標,這些信標通常用於目標 勒索軟體攻擊。
它如何傳播?
Emotet 主要通過垃圾郵件傳播。 感染 Emotet 的系統將發送包含惡意鏈接或旨在感染計算機的惡意鏈接或文檔的垃圾郵件 malware。一旦感染,這些機器可能會下載其他類型的惡意軟體,例如 Trickbot、QBot 和 Dridex 惡意軟體,並將繼續傳播惡意軟體。
在 Emotet 死而復生的案例中,惡意軟體逆轉了其正常操作,主要是將自身下載到被 Trickbot 感染的機器上,而不是相反。這為惡意軟體提供了很大的初始足跡,從這裡開始發送旨在傳播惡意軟體的垃圾郵件。
根據 Check Point 研究,Emotet 在復活後迅速達到了解除前活動的 50%,並在 2022 年繼續發展。
目標產業
由於 Emotet 是一種自我傳播的惡意軟體,透過垃圾郵件和 phishing emails,它不常用於針對性攻擊。 通常,Emotet 在特定係統或網路上建立立足點,稍後下載的惡意軟體可能會使用此初始存取權限來執行有針對性的攻擊(例如勒索軟體感染)。Emotet 的「噴霧和祈禱」分發方法意味著它可以針對任何行業,但惡意軟體偶爾也會用於針對特定行業(例如政府系統)。
Emotet 通過 Trickbot 殭屍網絡復活也對其跨行業的整體分佈產生了影響。 Trickbot 通常針對政府/軍事、金融/銀行業、製造業、醫療保健、保險/法律和運輸等高檔行業 佔其中一半以上的受害者 自二零二零年十一月起。 隨著 Emotet 下載並安裝到受 Trickbot 感染的電腦上,Emotet 惡意軟體開始使用類似的發行版,並從此開始擴展。
如何保護免受表情影響
Emotet 旨在透過垃圾郵件和網路釣魚電子郵件進行傳播。這些電子郵件是從受感染的電腦和電子郵件帳戶發送的,並使用惡意連結和受感染的附件來誘騙人們在其係統上安裝惡意軟體。
這項重點是 網路釣魚 用於分發意味著組織可以通過以下步驟保護自己免受 Emotet 感染:
- 部署電子郵件安全解決方案: Emotet 的電子郵件重點意味著電子郵件安全解決方案是 Emotet 防護策略的關鍵組成部分。 這些解決方案應能夠識別和阻止惡意鏈接並使用 內容解除武器和重建(CDR) 在允許消毒的內容到達收件者的收件匣之前,從文件中刪除惡意功能。
- 培訓員工: Emotet 的發佈模式主要依賴於誘騙收件者單擊惡意鏈接或打開垃圾郵件上的附件。 培訓員工識別並正確應對網路釣魚電子郵件對於阻止 Emotet 的傳播至關重要。Emotet 的「噴霧和祈禱」策略意味著多名員工可能會受到同一個活動的影響,因此報告對於快速事件偵測和回應至關重要。
- 端點資安: Emotet 是一種複雜的惡意軟體變體,具有先進的持久性和規避技術。這使得 先進的端點資安解決方案 對於偵測和根除從漏洞中溜走並感染企業端點的 Emotet 感染至關重要。
- 網路監控: Emotet 用於透過命令和控制通訊向受感染的裝置傳送額外的惡意軟體樣本。網路監控可以幫助識別這些下載,從而使組織能夠追蹤受感染的端點。
使用 Check Point 進行表情偵測與保護
自重新出現以來,Emotet 迅速上升 再次成為最危險、最多產的惡意軟體變種之一。它的複雜性和改進的設計意味著 Emotet 感染可以導致各種攻擊,並對組織造成巨大的成本和損害。
要了解有關 Emotet 威脅的更多信息,請查看 Check Point 的 2023 年網路安全防護報告。然後,進一步了解如何保護您的組織免受 Emotet 的方式 signing up for a free demo of Check Point Harmony Endpoint.
反映意見