Emotet 被认为是目前最普遍、最具破坏性和修复成本最高的恶意软件 (1)。 它主要通过包含恶意连结或受感染文件的 络钓鱼电子邮件进行传播。 一旦受害者下载文件或点击连接,附加的恶意软件就会自动下载到他们的设备上,然后在企业的 络中不断地复制、扩散。
2022年4月,一项新的Emotet活动滥用压缩方式的LNK档被发现。在这篇文章中,我们分析了这个媒介,并演示如何使用OPSWAT MetaDefender来防止这些类型的恶意软件。
Emotet 传播链
Emotet 殭尸 络运营商通过垃圾邮件开始攻击,该垃圾邮件包含受密码保护的恶意 zip 文件,其中包含嵌入的快捷方式连结档 (.LNK)。他们滥用快捷方式档,因为它很难区分。该文件伪装成带有图示的文件文件,默认情况下,扩展名在 Windows 中不显示。
在受害者提取 zip 档并执行 .LNK档,它会在其设备上的临时文件夹中删除有害的Microsoft VBScript(Visual Basic Script)。
这个被删除的 VBScript 执行后会从远程服务器下载 Emotet playload。 一旦此二进制程序文件文件被下载后,它会将文件保存到 Windows 的临时目录并使用 regsvr32.exe 执行它。 一旦被感染,Emotet 会自我复制以传播到 络中的其他计算机上。
如何防止 Emotet 和类似的进阶攻击
全球政府机构和 络安全专家提供了许多建议和指导,以帮助用户识别和防御复杂的 Emotet 活动 (2),例如:
- 不要打开可疑的电子邮件附件或点击电子邮件内文中的可疑连结。
- 确保您的员工经过充分培训,能够识别可疑的电子邮件链接和附件
- 使您的操作系统、应用程序和安全软件保持最新
借助 OPSWAT Email Gateway Security 和 OPSWAT MetaDefender Core,您可以轻松全面地保护您的组织免受 Emotet 以及其他进阶具规避性的威胁。 我们市场领先的 Deep CDR(内容清洗和重建)禁用隐藏在文件中的已知和未知威胁。 根据我们的零信任理念,我们假设进入您 络的所有文件都是恶意的,因此我们会在每个文件到达您的用户之前对其进行扫描、清理和重建。 隐藏在文件中的所有活动内容都将被中和或删除,确保为您的组织提供无威胁的环境。
当前的 Emotet 威胁如何被阻止的状况如下:
- OPSWAT Email Gateway Security 隔离受密码保护的附件。
- 要下载附件,收件人需要向隔离系统提供文件密码。
- 用户现在可以在他们的机器上解压缩附件并生成 LNK 文件,而不必担心任何安全问题。 即使用户打开 LNK 文件,也不会下载到恶意软件,因为 LNK 文件的恶意命令已经被替换。
了解有关 OPSWAT Deep CDR 的更多信息或与我们联系了解最佳 络安全解决方案,以保护您的公司 络和用户免受危险和复杂的 络攻击。
参照
(1) CyberNews. 2022. ‘World’s most dangerous malware’ Emotet disrupted. [online] Available at: ‘World’s most dangerous malware’ Emotet disrupted>; [Accessed 9 June 2022].
(2) Ipa.go.jp. 2022. 「Emotet(エモテット)」と呼ばれるウイルスへの感染を狙うメールについて:IPA 独立行政法人 情 处理推进机构. [online] Available at: 「Emotet(エモテット)」と呼ばれるウイルスへの感染を狙うメールについて:IPA 独立行政法人 情報処理推進機構>; [Accessed 8 June 2022].
文章知识点与官方知识档案匹配,可进一步学习相关知识 络技能树首页概览22985 人正在系统学习中
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!