概述

Emotet仍然是影响各单位成本最高、破坏性最大的恶意软件之一。它的高度传染性使其难以应对，并且由于其类似蠕虫的特征会导致网络范围内的快速感染，SLTT政府在每起事件上花费高达100万美元的补救费用。Emotet是一种先进的模块化银行木马，主要用作其他银行木马的下载程序或植入程序。此外，Emotet具有多态性，使其能够逃避典型的基于签名的检测。它有多种维护持久性的方法，包括自动启动注册表项和服务。该木马使用模块化动态链接库(DLL)来不断发展和更新其功能。

此外，Emotet通过恶意垃圾邮件（包含恶意附件或链接的电子邮件）传播，这些垃圾邮件使用收件人熟悉的品牌，包括MISAC名称。截至2018年7月，最近的活动模仿PayPal收据、发货通知或据称的“逾期”发票。当用户打开或单击恶意垃圾邮件中包含的恶意下载链接、XML、PDF或启用宏的Microsoft Word文档时，就会发生初始感染。下载后，Emotet会建立持久性并尝试通过合并的传播器模块在本地网络中传播。

目前，已知的吊具模块有五种：

• NetPass.exe：由NirSoft开发的合法实用程序，可恢复当前登录用户存储在系统上的所有网络密码。该工具还可以恢复存储在外部驱动器凭据文件中的密码。
• Outlook抓取工具：一种工具，可以从受害者的Outlook账户中抓取日期、姓名、电子邮件地址和电子邮件正文，并使用该信息从受感染的账户发送更多网络钓鱼电子邮件。
• WebBrowserPassView：一种密码恢复工具，可捕获Internet Explorer、Mozilla Firefox、Google Chrome、Safari和Opera存储的密码，并将其传递到凭据枚举器模块。
• Mail PassView：密码恢复工具，可显示各种电子邮件客户端（例如Microsoft Outlook、Windows Mail、Mozilla     Thunderbird、Hotmail、Yahoo!）的密码和账户详细信息。Mail和Gmail并将它们传递到凭据枚举器模块。
• 凭证枚举器：一个自解压RAR文件，包含两个组件：一个旁路组件和一个服务组件。旁路组件用于枚举网络资源，并使用服务器消息块(SMB)查找可写共享驱动器或尝试暴力破解用户账户，包括管理员账户。一旦找到可用的系统，Emotet就会在该系统上写入服务组件，该组件将Emotet写入磁盘。访问SMB可能会导致整个域（服务器和客户端）受到感染。

为了保持持久性，Emotet将代码注入explorer.exe和其他正在运行的进程中。该木马还可以收集敏感信息，包括系统名称、位置和操作系统版本，并将其发送到远程命令和控制服务器(C2)。C2是一个受感染的Web服务器，通常托管Nginx，并且通过公共Web端口连接到包含IP地址的URL。一旦Emotet与C2建立连接，它就会报告新的感染，接收配置数据，下载和运行文件，接收指令，并将base64编码的数据上传到C2服务器。

Emotet工件通常位于AppDataLocal和AppDataRoaming目录之外的任意路径中，并模仿已知可执行文件的名称。持久性通常通过计划任务或注册表项来维护。此外，Emotet在系统根目录中创建随机命名的文件，这些文件作为Windows服务运行。执行时，这些服务尝试通过可访问的管理共享将恶意软件传播到相邻系统。在修复过程中，请勿使用特权账户登录受感染的系统，这一点至关重要，因为这可能会加速恶意软件的传播。

建议：

建议组织遵守以下一般最佳实践，以限制Emotet和类似垃圾邮件在组织中的影响。

• 使用组策略设置Windows防火墙规则以限制客户端系统之间的入站SMB通信。如果使用替代的基于主机的入侵防御系统(HIPS)，请考虑实施自定义修改来控制客户端到客户端SMB通信。至少创建一个组策略对象，限制来自客户端的入站SMB连接。
• 在客户端和服务器上使用防病毒程序，并自动更新签名和软件。
• 禁用除数字签名宏之外的所有宏。
• 在适当的测试后立即应用适当的补丁和更新。
• 在电子邮件网关上实施过滤器，以过滤掉具有已知恶意垃圾邮件指标（例如已知恶意主题行）的电子邮件，并在防火墙处阻止可疑IP地址。
• 如果您没有关于可疑电子邮件的政策，请考虑创建一项政策并指定应将所有可疑电子邮件报告给安全和/或IT部门。
• 用横幅标记外部电子邮件，表明其来自外部来源。这将帮助用户检测欺骗性电子邮件。
• 为员工提供社会工程和网络钓鱼培训。敦促他们不要打开可疑电子邮件、点击此类电子邮件中包含的链接、在线发布敏感信息，并且永远不要向任何未经请求的请求提供用户名、密码和/或个人信息。教用户在单击链接之前将鼠标悬停在链接上以验证目的地。
• 坚持最小权限原则，确保用户拥有完成其职责所需的最低访问级别。将管理凭据限制为指定管理员。
• 实施基于域的消息身份验证、报告和一致性(DMARC)，这是一种验证系统，可通过使用域名系统(DNS)记录和数字签名检测电子邮件欺骗来最大限度地减少垃圾邮件。
• 遵守最佳实践，例如CIS Controls中描述的最佳实践，这些实践是CIS SecureSuite的一部分。

如果用户打开了恶意电子邮件或认为存在感染，我们建议在系统上运行防病毒扫描，并根据结果采取措施隔离受感染的计算机。如果多台机器被感染：

• 考虑暂时使网络离线以执行识别、防止再次感染并阻止恶意软件的传播。Emotet可能会通过远程访问木马(RAT)功能投放恶意软件，从而破坏整个网络的完整性。
• 识别、关闭受感染的计算机并将其从网络上移除。
• 不要使用域或共享本地管理员账户登录受感染的系统。
• 检查系统的Emotet指示器后，重新映像并将干净的系统移至遏制VLAN，与受感染的网络隔离。
• 为域和本地凭据发出密码重置。
• 当Emotet抓取其他凭据时，请考虑对可能已在受感染计算机上存储凭据的其他应用程序进行密码重置。
• 查看与用户账户关联的日志文件和Outlook邮箱规则，以确保不会发生进一步的泄露。Outlook账户现在可能具有将所有电子邮件自动转发到外部电子邮件地址的规则，这可能会导致数据泄露。
• 搜索引用组织电子邮件域的Base64编码网络流数据。如果找到引用，请执行额外分析以查看是否发生数据泄露。

原文始发于微信公众号（河南等级保护测评）：网络安全入门-Emotet