首頁 > 安全資訊 > 正文

“銀行竊賊”轉型“病毒分銷商”,Emotet木馬加持橫向滲透掀起安全危機

相比于廣撒網式的盲目攻擊,針對政府、企業等高價值目標進行精準打擊,成為當下網絡攻擊演變的新趨勢。在此其中,"橫向滲透"這種攻擊方式因為可以在滲透目標內網之后,通過各種攻擊手段以點破面,最大限度獲取目標資產的控制權,成為被眾多網絡黑客廣泛使用的"殺手锏"。

近期,360安全大腦監測發現,因竊取銀行登錄憑據而臭名昭著的Emotet木馬,現在開始通過創建遠程服務的手法進行橫向滲透,成為了分發Qakbot、TrickBot等其他惡意軟件的Loader。

對該木馬進行溯源并深入分析后,360安全大腦發現該木馬作者正在利用以"新型冠狀病毒"疫情為話題的釣魚郵件進行傳播,當木馬程序被啟動后,最新的Emotet變種通過下發Qbot進行橫向滲透。

目前,360安全大腦已針對此類木馬進行了全方位的查殺和攔截,建議廣大用戶盡快下載安裝最新beta版360安全衛士,打開【我的電腦 — 安全防護中心】,可有效抵御各種橫向滲透攻擊。

黑客借“疫”打劫,一封郵件就可能瞬間攻陷企業內網

借疫情熱度釣魚郵件泛濫

多代碼混淆隱藏病毒母體

360安全大腦在溯源分析后發現,該木馬攻擊者會通過推送與新冠肺炎相關的釣魚郵件,并將郵件內容包裝為當地政府關于新型管狀病毒肺炎疫情的相關通報信息,誘導用戶打開攜帶惡意宏病毒的木馬附件。

黑客借“疫”打劫,一封郵件就可能瞬間攻陷企業內網

附件文檔包含一個高度混淆的宏病毒,當用戶點擊啟用宏之后,會調用WMI啟動PowerShell并下載銀行木馬Emotet,早期版本的Emotet木馬具有銀行盜號模塊,主要針對銀行進行攻擊。最新版本的Emotet木馬則不再加載其自己的銀行木馬模塊,而是加載第三方惡意軟件。

黑客借“疫”打劫,一封郵件就可能瞬間攻陷企業內網

此次Emotet木馬主要下發QBot木馬去竊取信息并進行橫向滲透,QBot使用了多種代碼混淆技術隱藏真正的病毒母體,其解密并加載被混淆的惡意載荷相關代碼邏輯如下:

黑客借“疫”打劫,一封郵件就可能瞬間攻陷企業內網

解密后的惡意載荷是一個PE文件,即QBot母體。QBot在竊密功能之外新增橫向滲透功能以此來感染局域網內的其他計算機。QBot加載并解密資源'307',解密后得到一個動態庫,該動態庫即為QBot進行橫向滲透的核心模塊。

黑客借“疫”打劫,一封郵件就可能瞬間攻陷企業內網

Qbot通過枚舉域控服務器上的用戶賬戶,得到一個用戶名列表,配合弱口令字典對當前計算機連接的遠程機器進行爆破,如果連接成功則調用OpenSCManagerW與遠程計算機的服務控制管理器建立連接,并通過創建遠程服務的方式橫向移動到遠程機器。

黑客借“疫”打劫,一封郵件就可能瞬間攻陷企業內網

受到感染的遠程機器也會進一步去感染網段內的其他機器,擴大該病毒的傳播范圍。

Emotet木馬多年作惡加速演進

360安全衛士主防7.0打造"銅墻鐵壁"

值得一提的是,Emotet木馬是一款于2014年就被發現,且一直處于活躍狀態的惡意木馬家族。歷時多年,Emotet也已經從簡單的銀行木馬,逐漸演變成下發各種惡意軟件的木馬分銷商,并且以基礎設施即服務的模式出售Emotet僵尸網絡的訪問權限。

為擴大其僵尸網絡的覆蓋面及影響力,Emotet木馬也在不斷進化其傳播方式,從最初垃圾郵件到近期的橫向滲透,Emotet木馬持續嚴重威脅到企業數字資產安全。而在未來,Emotet背后團伙絕不會止步于此,而是將會不斷研發和融合其他新的傳播手法,進一步鞏固其僵尸網絡帝國的統治力。

面對升維的網絡威脅挑戰,在360安全大腦的極智賦能下,360安全衛士主防7.0震撼上線,利用網絡側、終端側多維分析模型,通過網絡流量、終端日志、機器學習,以及現有安全基礎設施等手段,為用戶打造集"高級攻擊發現、橫向滲透防護、無文件攻擊防護、軟件劫持防護"于一體的全方位高級威脅防護壁壘。

另外,為全面保障政企機構內網安全,360安全大腦給出如下建議:

1、前往weishi.#,下載安裝最新beta版360安全衛士,打開【我的電腦 — 安全防護中心】,即可有效對此類木馬進行攔截查殺;

2、不要打開來歷不明的郵件,應將此類郵件交由安全部門進行排查,確認安全后再打開。

3、對未知安全性文件,切勿點擊"啟用宏"按鈕,以防止宏病毒入侵。

黑客借“疫”打劫,一封郵件就可能瞬間攻陷企業內網


360安全衛士

熱點排行

用戶
反饋
返回
頂部
竞博官网登录