情資卡編號:TCCY-RCDC-ANA-202302-0064
事件主旨:Emotet 惡意軟體利用新的規避技術捲土重來
內容說明:Emotet 惡意軟體行動繼續完善其策略,努力在偵測下運行,同時還充當其他危險惡意軟體(如 Bumblebee 和 IcedID)的管道。
Emotet於 2021 年底在當局早些時候協調拆除其基礎設施後正式重新出現,它仍持續通過網路釣魚電子郵件傳播造成威脅。
該病毒歸因於被追踪為TA542(又名 Gold Crestwood 或 Mummy Spider)的網路犯罪組織,自 2014 年首次出現以來,已從銀行木馬演變為惡意軟體散佈者。
惡意軟體即服務 (MaaS) 也是模組化,能夠部署一系列專有和免費軟體組合,這些組合可以從受感染的機器中洩露機敏訊息並執行其他背景活動。
Emotet 模組的兩個最新成員包括一個SMB 傳播器,該傳播器旨在使用一系列硬體解碼的用戶名和密碼來促進橫向移動,以及一個針對 Chrome 網路瀏覽器的信用卡竊取器。
最近涉及殭屍網路的活動利用帶有武器化附件的通用誘餌來啟動攻擊鏈。但是隨著有效負載散佈和初始感染已成為一種過時的方法,攻擊鎖定了其他方法來讓 Emotet 繞過惡意軟體檢測工具。
為了加載它以前使用的一些模組,Emotet 使用了一種稱為 Heaven's Gate 的注入技術。Heaven's Gate 在 2000 年代中期流行,是惡意軟體用來繞過 Windows® on Windows64 (WoW64) API 掛鉤的惡名昭彰的方法,方法是將惡意 32 位元過程注入 64 位元過程。這種技術之所以有效,是因為雖然許多安全產品通過掛鉤 32 位元 API(CreateFile、WriteFile、OpenFile)來監視文件活動,但在運行 64 位元代碼時,就有機會完全繞過許多系統調用,這些系統調用會使惡意代碼段遠離。
為了向下相容,WoW64 實際上也允許 32 位元應用程式在 64 位元系統上運行。運行 32 位元應用程式時,將加載 ntdll.dll 的 32 位元和 64 位元版本。
雖然 32 位元進程通常會通過 32 位元 API 掛鉤,但惡意進程可以通過這些掛鉤執行跳轉指令以執行 64 位元代碼。這允許注入任何惡意代碼而無需通過系統調用立即發出警報。Windows 最初是基於 64 位元 ntdll.dll 無法被 32 位元過程訪問的假設開發此功能的,但 Heaven's Gate 通過運行 x64 指令來利用這一點,任何需要 x86 指令的應用程序都將完全錯過該指令。
一旦通過天堂之門,Emotet 加載程序將使用一種稱為進程空化的技術來暫停合法進程,然後使用惡意程式重新映射其映像。然後惡意程式將能夠從現在挖空的進程中運行,以便隨意加載模組。
換句話說,社交工程扭曲使得繞過網路標記 ( MotW ) 保護成為可能,該保護將從網際網路下載的 Office 文件加載到受保護的視圖中,這是一種禁用其他內容的唯讀模式。
這一發展表明 Emotet 不斷嘗試重組變化並傳播其他惡意軟體,例如Bumblebee 和 IcedID。
隨著過去八年多的穩步發展,Emotet 在規避策略方面變得更加複雜;添加了額外的模組以進一步傳播自身,現在正在通過網路釣魚活動傳播惡意軟體。
雖然它可能已經休眠了幾個月,但現在它已經捲土重來,對企業和個人用戶來說都是一個不容忽視的威脅。
風險等級:2
建議措施:任何人都可能受到 Emotet 的影響。打開電子郵件附件時無論文件為何種類型始終保持謹慎。
當系統要求您在電腦上手動啟用某些程式時,請務必仔細閱讀所有提示訊息。
監控帳戶是否存在異常和未經授權的連線。