打擊 Emotet：來(lái)自一線(xiàn)的經(jīng)驗(yàn)

■ 潘自強(qiáng)

Emotet是一種惡意軟件，專(zhuān)為逃避偵測(cè)、深入宿主和自我繁殖而設(shè)計(jì)。Emotet會(huì)隨著惡意垃圾郵件活動(dòng)出現(xiàn)，并為任何愿意付錢(qián)的惡意軟件提供服務(wù)。今年到目前為止，它與TrickBot和QBot銀行木馬程序脫不了關(guān)系，也與BitPaymer有關(guān)(一種復(fù)雜的勒索軟件，勒索高達(dá)六位數(shù)的金額)。

Emotet是一種惡意軟件，專(zhuān)為逃避偵測(cè)、深入宿主和自我繁殖而設(shè)計(jì)。由于不斷更新、模組化的多形態(tài)設(shè)計(jì)，以及可經(jīng)由網(wǎng)絡(luò)部署大量不同技術(shù)來(lái)進(jìn)行蠕蟲(chóng)攻擊的能力，該軟件很快成為一個(gè)動(dòng)態(tài)且不斷變形讓系統(tǒng)管理員及安全軟件疲于奔命的目標(biāo)。

在它出現(xiàn)五年以來(lái)，Emotet已經(jīng)從一種木馬程序演變成一種非常復(fù)雜且能廣泛部署其他惡意軟件的平臺(tái)，特別是其他類(lèi)型的銀行木馬程序。

Emotet會(huì)隨著惡意垃圾郵件活動(dòng)出現(xiàn)，并為任何愿意付錢(qián)的惡意軟件提供服務(wù)。今年到目前為止，它與TrickBot和QBot銀行木馬程序脫不了關(guān)系，也與BitPaymer有關(guān)(一種復(fù)雜的勒索軟件，勒索高達(dá)六位數(shù)的金額)。

2018年 7月，USCERT(美國(guó)電腦應(yīng)急應(yīng)變小組)發(fā)布警報(bào)，將Emotet描述為：

…對(duì)SLTT政府機(jī)構(gòu)(州、地方、種族和地區(qū))最耗成本和最具破壞性的惡意軟件。其具有類(lèi)似蠕蟲(chóng)的特征，導(dǎo)致整個(gè)網(wǎng)絡(luò)內(nèi)的感染迅速蔓延，難以對(duì)抗。Emotet感染致使SLTT政府機(jī)構(gòu)必須花費(fèi)多達(dá)100萬(wàn)美元補(bǔ)救每一次的事件。

Emotet仍然是一種非常強(qiáng)大且擴(kuò)散中的威脅。對(duì)系統(tǒng)管理員和威脅處理專(zhuān)家來(lái)說(shuō)，它是最困難的挑戰(zhàn)之一。

為此，全球惡意軟件專(zhuān)家Peter Mackenzie提供了以下打擊Emotet的建議：

1.保護(hù)所有的電腦

預(yù)防勝于治療。最佳預(yù)防措施之一，就是確保網(wǎng)絡(luò)上沒(méi)有任何不安全的電腦。

當(dāng)組織受到Emotet的攻擊時(shí)，感染來(lái)源通常就是一部網(wǎng)絡(luò)上未受保護(hù)的電腦?？蛻?hù)通常不知道有這些設(shè)備存在，更不用說(shuō)躲藏在其中的惡意軟件。

使用免費(fèi)的網(wǎng)絡(luò)掃描工具取得網(wǎng)絡(luò)上每一個(gè)作用中裝置的列表，并將這份列表與安全管理主控臺(tái)中的名單進(jìn)行比對(duì)。如果發(fā)現(xiàn)任何未知裝置，請(qǐng)盡快為其安裝修補(bǔ)程序并執(zhí)行最新的端點(diǎn)保護(hù)。

未知且不安全的電腦，也是Emotet躲藏和適應(yīng)的溫床，使情況雪上加霜。

雖然其他電腦上的安全軟件會(huì)將它“困”在不安全的電腦上，但它會(huì)一直試圖掙脫。而且因?yàn)樗嵌嘈螒B(tài)的，所以更新非常頻繁(有時(shí)一天多次)，此外它的有效裝載非常靈活，會(huì)不斷制造新的挑戰(zhàn)。

這些動(dòng)作進(jìn)行的時(shí)間越久，風(fēng)險(xiǎn)越大。更新或改變裝載后的Emotet會(huì)在用戶(hù)的防護(hù)中找到一個(gè)縫隙，然后突破并通過(guò)用戶(hù)的網(wǎng)絡(luò)繼續(xù)擴(kuò)散。

用戶(hù)無(wú)法預(yù)測(cè)會(huì)出現(xiàn)什么縫隙——也許是一個(gè)新的漏洞利用，或者是暫時(shí)將Emotet躲開(kāi)基于簽名的反病毒的變種——所以深度防御至關(guān)重要。如深度學(xué)習(xí)、漏洞利用防御和EDR等進(jìn)階防惡意軟件功能，可提供控制爆發(fā)和尋找威脅來(lái)源的顯著優(yōu)勢(shì)。

2.盡早且頻繁地修補(bǔ)

Emotet是其他惡意軟件的門(mén)戶(hù)，因此遏阻Emotet不只是能防御Emotet，還阻擋掉它帶來(lái)的任何威脅。既然無(wú)法知道什么威脅會(huì)隨它而來(lái)，只能采取最佳的預(yù)防措施。在這份預(yù)防措施的清單 (是一份很長(zhǎng)的清單)中，最優(yōu)先的項(xiàng)目是修補(bǔ)已知的漏洞。

聽(tīng)起來(lái)像是天底下最不稀奇的安全建議，但它卻是清單中的必要項(xiàng)目。在現(xiàn)實(shí)環(huán)境中，未修補(bǔ)的軟件將使Emotet疫情更加嚴(yán)重，并且難以控制。

其運(yùn)作原理可參考EternalBlue，以及 2017年利用SMB漏洞而聲名大噪的 WannaCry和 NotPetya。令人難以置信的是，盡管新聞媒體大肆報(bào)道，而且微軟已經(jīng)發(fā)布安全公告MS17-010和修補(bǔ)程序差不多兩年了，惡意軟件仍然成功通過(guò)漏洞利用大肆賺錢(qián)。其中一個(gè)惡意軟件是TrickBot，這是Emotet最常夾帶的裝載。

尚未將修補(bǔ)作業(yè)視為優(yōu)先項(xiàng)目的讀者，請(qǐng)不要成為報(bào)導(dǎo)中受害者。

3. 默 認(rèn) 阻 擋PowerShell

Emotet通常以惡意電子郵件附件的形式出現(xiàn)。攻擊大多是如此開(kāi)始：使用者收到附帶Word文件的電子郵件。

1.使用者開(kāi)啟Word文件。

2.并被誘騙執(zhí)行巨集。

3.巨集會(huì)觸發(fā)下載Emotet的 PowerShell。

4.Emotet感染開(kāi)始了。

顯然，使用者一定做錯(cuò)了一些事才讓病毒得手，所以最后的建議，就是請(qǐng)“訓(xùn)練員工不要打開(kāi)有問(wèn)題的電子郵件或執(zhí)行巨集”。雖然這項(xiàng)提醒是老生常談，但它是一個(gè)好主意，因?yàn)橹灰∫淮尉颓肮ΡM棄。

雖然也有其他方式可以減緩?fù)ㄟ^(guò)電子郵件傳播的Emotet，但系統(tǒng)管理員最簡(jiǎn)單的作法就是預(yù)設(shè)阻止使用者使用PowerShell。

我們并不是要阻止所有人(有些人需要PowerShell)，我們只是假設(shè)沒(méi)有人需要它(包括系統(tǒng)管理員)，然后只為真正可證明有需要的人解鎖。

當(dāng)我們說(shuō)阻擋時(shí)，我們的意思是阻礙，而不是設(shè)定一個(gè)禁用它的政策。因?yàn)檎呖梢员焕@過(guò)。PowerShell應(yīng)該被列入黑名單。