首页 > 最新消息 >恶意软体Emotet卷土重来滥用.LNK文件进行攻击,OPSWAT提出只需要一项技术就能有效保护组织。

最新消息

2022-06-16

恶意软体Emotet卷土重来滥用.LNK文件进行攻击,OPSWAT提出只需要一项技术就能有效保护组织。


Emotet 被认为是目前最普遍、最具破坏性和修复成本最高的恶意软体 (1)。 它主要通过包含恶意连结或受感染文件的网路钓鱼电子邮件进行传播。 一旦受害者下载文件或点击连接,附加的恶意软体就会自动下载到他们的设备上,然后在企业的网路中不断地复制、扩散。

尽管由于国际执法和司法当局(1)的推动,它于2021年1月被大规模删除,但Emotet继续蓬勃发展,并以更复杂的技巧传播恶意软体。其中一种策略利用Windows快捷方式档(.LNK)包含PowerShell命令,用于在受害者的设备上下载Emotet有效payload。恶意程式作者进行了此调整,以规避 Microsoft 启动的 VBA 保护。

2022年4月,一项新的Emotet活动滥用压缩方式的LNK档被发现。在这篇文章中,我们分析了这个媒介,并演示如何使用OPSWAT MetaDefender来防止这些类型的恶意软体。

Emotet 传播链

Emotet 僵尸网路运营商通过垃圾邮件开始攻击,该垃圾邮件包含受密码保护的恶意 zip 档,其中包含嵌入的快捷方式连结档 (.LNK)。他们滥用快捷方式档,因为它很难区分。该文件伪装成带有图示的文件档,预设情况下,扩展名在 Windows 中不显示。

在受害者提取 zip 档并执行 .LNK档,它会在其设备上的临时资料夹中删除有害的Microsoft VBScript(Visual Basic Script)。

这个被删除的 VBScript 执行后会从远端伺服器下载 Emotet playload。 一旦此二进制程式档文件被下载后,它会将文件保存到 Windows 的临时目录并使用 regsvr32.exe 执行它。 一旦被感染,Emotet 会自我复制以传播到网路中的其他电脑上。

 

如何防止 Emotet 和类似的进阶攻击
 

全球政府机构和网路安全专家提供了许多建议和指导,以帮助用户识别和防御复杂的 Emotet 活动 (2),例如:

  • 不要打开可疑的电子邮件附件或点击电子邮件内文中的可疑连结。
  • 确保您的员工经过充分培训,能够识别可疑的电子邮件连结和附件
  • 使您的作业系统、应用程式和安全软体保持最新

借助 OPSWAT Email Gateway SecurityOPSWAT MetaDefender Core,您可以轻松全面地保护您的组织免受 Emotet 以及其他进阶具规避性的威胁。 我们市场领先的 Deep CDR(内容清洗和重建)禁用隐藏在文件中的已知和未知威胁。 根据我们的零信任理念,我们假设进入您网路的所有文件都是恶意的,因此我们会在每个文件到达您的用户之前对其进行扫描、清理和重建。 隐藏在文件中的所有活动内容都将被中和或删除,确保为您的组织提供无威胁的环境。

当前的 Emotet 威胁如何被阻止的状况如下:

  1. OPSWAT Email Gateway Security 隔离受密码保护的附件。
  2. 要下载附件,收件人需要向隔离系统提供文件密码。
  3. MetaDefender Core 使用我们称为 Metascan 的多重扫描解决方案扫描文件以查找已知恶意软体。 如下图所示,11/16 引擎成功检测到威胁。

4.MetaDefender Core 提取附件,并使用 Deep CDR 引擎递归清理每个嵌套档。下面的结果显示找到并删除了物件。

在清理过程中,Deep CDR 将 .LNK 文件的恶意命令替换为 dummy.txt 以消除威胁。

5.Email Gateway Security将带有无威胁附件的电子邮件释放给使用者。以下是清理后文件的扫描结果。未检测到威胁。

6.用户现在可以在他们的机器上解压缩附件并生成 LNK 文件,而不必担心任何安全问题。 即使用户打开 LNK 文件,也不会下载到恶意软体,因为 LNK 文件的恶意命令已经被替换。

了解有关 OPSWAT Deep CDR 的更多信息或与我们联系了解最佳网路安全解决方案,以保护您的公司网路和用户免受危险和复杂的网路攻击。

参照

(1) CyberNews. 2022. 'World’s most dangerous malware' Emotet disrupted. [online] Available at: <https://cybernews.com/news/worlds-most-dangerous-malware-emotet-disrupted>; [Accessed 9 June 2022].

(2) Ipa.go.jp. 2022. 「Emotet(エモテット)」と呼ばれるウイルスへの感染を狙うメールについて:IPA 独立行政法人 情报処理推进机构. [online] Available at: <https://www.ipa.go.jp/security/announce/20191202.html#L20%3E>; [Accessed 8 June 2022].