Összefoglaló
Az Emotet jelenleg a legelterjedtebb, valamint a legpusztítóbb és legköltségesebb kártevőnek számít (1). Elsősorban rosszindulatú linket vagy fertőzött dokumentumot tartalmazó adathalász e-mailek útján terjed. Amint az áldozatok letöltik a fájlt vagy rákattintanak a linkre, további rosszindulatú szoftverek töltődnek le automatikusan az eszközükre, majd szaporodnak a vállalati hálózaton belül.
Annak ellenére, hogy 2021 januárjában a nemzetközi bűnüldöző és igazságügyi hatóságoknak köszönhetően tömegesen felszámolták (1), az Emotet továbbra is virágzik, és egyre kifinomultabb trükkökkel terjeszti a rosszindulatú szoftvereket. Az egyik taktika egy PowerShell-parancsokat tartalmazó Windows parancsikonfájlt (.LNK) használ az Emotet hasznos terhelésének letöltésére az áldozatok eszközére, amelyet a legutóbbi blogunkban elemeztünk. A fenyegetés szerzője a Microsoft által indított VBA-védelemre válaszul végezte el ezt az adaptációt.
2022 áprilisában egy új Emotet-kampányt észleltek a vadonban, amely visszaél a zipelt .LNK fájlokkal. Ebben a blogban elemezzük ezt a vektort, és bemutatjuk, hogyan lehet megelőzni az ilyen típusú kártevőket az OPSWAT MetaDefender segítségével.
Emotet fertőzési lánc
Az Emotet botnet üzemeltetői a támadást egy jelszóval védett, rosszindulatú zip fájlt tartalmazó spam e-maillel indítják, amely beágyazott parancsikon linkfájlt (.LNK) tartalmaz. Visszaélnek a parancsikonfájllal, mivel azt nehéz megkülönböztetni. A fájlt ikonos dokumentumfájlnak álcázzák, és a kiterjesztés alapértelmezés szerint nem jelenik meg a Windowsban.
Miután az áldozatok kicsomagolták a zip fájlt, és futtatták az .LNK fájlt, egy kártékony Microsoft VBScript (Visual Basic Script) kerül az eszközükön lévő ideiglenes mappába.
Az ejtett VBScript végrehajtja és letölti az Emotet hasznos terhelését egy távoli kiszolgálóról. Miután a bináris fájl letöltődött, elmenti a fájlt a Windows ideiglenes könyvtárába, és a regsvr32.exe segítségével végrehajtja. Miután megfertőződött, az Emotet megkettőzi magát, hogy a hálózat más számítógépeire is átterjedjen.
Hogyan lehet megelőzni az Emotet és hasonló fejlett támadásokat?
A kormányzati szervek és a kiberbiztonsági szakértők világszerte számos ajánlást és iránymutatást adtak, amelyek segítenek a felhasználóknak felismerni és megvédeni magukat a kifinomult Emotet-kampányok ellen (2), például:
- Ne nyisson meg kétes e-mail mellékleteket, és ne kattintson az e-mailben található gyanús linkekre.
- Győződjön meg arról, hogy alkalmazottai kellően képzettek a gyanús e-mail linkek és mellékletek felismerésére.
- Tartsa naprakészen az operációs rendszert, az alkalmazásokat és a biztonsági szoftvereket.
Az OPSWAT segítségével könnyedén átfogó védelmet biztosíthat szervezetének az Emotet és más, kifinomult, észlelés elkerülésére törekvő fenyegetések ellen OPSWAT Email Gateway Security és az OPSWAT MetaDefender Core. Piacvezető Deep CDR™ technológiánk (Content Disarm and Reconstruction) hatástalanítja a fájlokban rejtőző ismert és ismeretlen fenyegetéseket egyaránt. Zéró bizalom elvünknek megfelelően minden, a hálózatába belépő fájlt rosszindulatúnak tekintünk, ezért minden fájlt átvizsgálunk, megtisztítunk és újjáépítünk, mielőtt az eljutna a felhasználókhoz. A fájlokban rejtőző összes aktív tartalmat hatástalanítjuk vagy eltávolítjuk, így biztosítva a szervezet számára a fenyegetésektől mentes környezetet.
A jelenlegi Emotet-fenyegetettséget a következőképpen akadályozzák meg:
1.OPSWAT Email Gateway Security karanténba helyezi a jelszóval védett mellékleteket.
2. A melléklet letöltéséhez a címzetteknek meg kell adniuk a fájl jelszavát a karanténba helyezett rendszernek.
3.MetaDefender Core a Metascan nevű többszörös szkennelési megoldásunkkal átvizsgálja a fájlt ismert rosszindulatú programok után. Amint az alábbiakban látható, 11/16 motor sikeresen észlelte a fenyegetést.
4. MetaDefender Core a mellékletet, majd a Deep CDR™ Technology motor segítségével rekurzív módon megtisztítja az összes beágyazott fájlt. Az alábbi eredményből látható, hogy egy objektumot találtak és eltávolítottak.
A fertőtlenítési folyamat során a Deep CDR™ technológia a .LNK fájl rosszindulatú parancsát a dummy.txt fájllal cserélte ki, hogy semlegesítse a fenyegetést.
5. AEmail Gateway Security kiadja az e-mailt egy fenyegetésmentes csatolmánnyal a felhasználóknak. Íme a fájl szanálás utáni vizsgálati eredménye. Nem észleltek fenyegetést.
6. A felhasználók most már a gépükön kicsomagolhatják a mellékletet, és létrehozhatják az LNK fájlt anélkül, hogy aggódnának a biztonsági kérdések miatt. Még ha a felhasználók meg is nyitják az LNK-fájlt, nem töltődnek le rosszindulatú programok, mivel az LNK-fájl rosszindulatú parancsát kicserélik.
Tudjon meg többet a Deep CDR™ technológiáról, vagy vegye fel velünk a kapcsolatot, hogy megismerje a legjobb biztonsági megoldásokat, amelyekkel megvédheti vállalati hálózatát és felhasználóit a veszélyes és összetett kibertámadásoktól.
Hivatkozás
(1) CyberNews. 2022. 'World’s most dangerous malware' Emotet disrupted. [online] Available at: <https://cybernews.com/news/worlds-most-dangerous-malware-emotet-disrupted>; [Accessed 9 June 2022].
(2) Ipa.go.jp. 2022. 「Emotet(エモテット)」と呼ばれるウイルスへの感染を狙うメールについて:IPA 独立行政法人 情報処理推進機構. [online] Available at: <https://www.ipa.go.jp/security/announce/20191202.html#L20%3E>; [Accessed 8 June 2022].
