警报（TA18-201A）

Emotet恶意软件

系统受影响

网络系统

概述

Emotet是一种先进的模块化银行木马，主要用作其他银行特洛伊木马的下载程序或删除程序。Emotet仍然是影响州，地方，部落和地区（SLTT）政府以及私营和公共部门的最昂贵和破坏性的恶意软件之一。

描述

Emotet仍然是影响SLTT政府的最昂贵和最具破坏性的恶意软件之一。其类似蠕虫的特征导致网络范围内的感染迅速蔓延，难以对抗。对于SLTT政府而言，每次事件的赔偿费用高达100万美元。

Emotet是一种先进的模块化银行木马，主要用作其他银行特洛伊木马的下载程序或删除程序。此外，Emotet是一种多态银行木马，可以逃避典型的基于签名的检测。它有几种维护持久性的方法，包括自动启动注册表项和服务。它使用模块化动态链接库（DLL）来不断发展和更新其功能。此外，Emotet具有虚拟机感知功能，如果在虚拟环境中运行，可能会生成错误指示符。

Emotet通过malspam（包含恶意附件或链接的电子邮件）传播，使用收件人熟悉的品牌; 它甚至已经使用MS-ISAC名称传播。截至2018年7月，最近的广告系列模仿了PayPal收据，送货通知或据称来自MS-ISAC的“逾期”发票。当用户打开或单击malspam中包含的恶意下载链接，PDF或启用宏的Microsoft Word文档时，会发生初始感染。下载后，Emotet会建立持久性并尝试通过合并的spreader模块传播本地网络。

【不支持外链图片，请上传图片或单独粘贴图片】

图1：分发Emotet的恶意电子邮件

目前，Emotet使用五个已知的spreader模块：NetPass.exe，WebBrowserPassView，Mail PassView，Outlook scraper和凭证枚举器。

1. NetPass.exe是由NirSoft开发的合法实用程序，可恢复存储在系统上的当前登录用户的所有网络密码。此工具还可以恢复存储在外部驱动器的凭证文件中的密码。

2. Outlook scraper是一种工具，可以从受害者的Outlook帐户中删除名称和电子邮件地址，并使用该信息从受感染的帐户发送其他网络钓鱼电子邮件。

3. WebBrowserPassView是一种密码恢复工具，可捕获Internet Explorer，Mozilla Firefox，Google Chrome，Safari和Opera存储的密码，并将其传递给凭证枚举器模块。

4. Mail PassView是一个密码恢复工具，可以显示各种电子邮件客户端的密码和帐户详细信息，例如Microsoft Outlook，Windows Mail，Mozilla Thunderbird，Hotmail，Yahoo！邮件和Gmail将它们传递给凭据枚举器模块。

5. Credential枚举器是一个自解压RAR文件，包含两个组件：旁路组件和服务组件。旁路组件用于枚举网络资源，并使用服务器消息块（SMB）查找可写共享驱动器，或尝试强制用户帐户（包括管理员帐户）。找到可用系统后，Emotet会将服务组件写入系统，该系统会将Emotet写入磁盘。Emotet对SMB的访问可能导致整个域（服务器和客户端）的感染。

【不支持外链图片，请上传图片或单独粘贴图片】

图2：Emotet感染过程

为了保持持久性，Emotet将代码注入explorer.exe和其他正在运行的进程。它还可以收集敏感信息，包括系统名称，位置和操作系统版本，并通常通过生成的16个字母的域名连接到远程命令和控制服务器（C2），该域名以“.eu”结尾。一旦Emotet建立与C2的连接，它报告新的感染，接收配置数据，下载和运行文件，接收指令，并将数据上传到C2服务器。

Emotet工件通常位于AppData \ Local和AppData \ Roaming目录之外的任意路径中。工件通常模仿已知可执行文件的名称。持久性通常通过计划任务或通过注册表项维护。此外，Emotet在作为Windows服务运行的系统根目录中创建随机命名的文件。执行时，这些服务会尝试通过可访问的管理共享将恶意软件传播到相邻系统。

注意：必须在修复期间使用特权帐户登录受感染的系统，因为这可能会加速恶意软件的传播。

示例文件名和路径：

C:\Users\<username>\AppData \Local\Microsoft\Windows\shedaudio.exe

C:\Users\<username>\AppData\Roaming\Macromedia\Flash Player\macromedia\bin\flashplayer.exe

典型的注册表键：

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

系统根目录：

C:\Windows\11987416.exe

C:\Windows\System32\46615275.exe

C:\Windows\System32\shedaudio.exe

C:\Windows\SysWOW64\f9jwqSbS.exe

碰撞

Emotet感染的负面后果包括

· 临时或永久丢失敏感或专有信息，

· 对正常运营的干扰，

· 恢复系统和文件所造成的财务损失，以及

· 对组织声誉的潜在伤害。

解

NCCIC和MS-ISAC建议组织遵循以下一般最佳实践来限制Emotet和类似malspam的效果：

· 使用组策略对象设置Windows防火墙规则以限制客户端系统之间的入站SMB通信。如果使用备用的基于主机的入侵防御系统（HIPS），请考虑实施自定义修改以控制客户端到客户端的SMB通信。至少，创建一个组策略对象，该对象限制到源自客户端的客户端的入站SMB连接。

· 在客户端和服务器上使用防病毒程序，自动更新签名和软件。

· 立即应用适当的补丁和更新（经过适当的测试）。

· 在电子邮件网关上实施过滤器，以过滤掉已知malspam指标的电子邮件，例如已知的恶意主题行，并阻止防火墙上的可疑IP地址。

· 如果您的组织没有关于可疑电子邮件的策略，请考虑创建一个并指定应将所有可疑电子邮件报告给安全或IT部门。

· 使用表示来自外部源的横幅标记外部电子邮件。这将有助于用户检测欺​​骗性电子邮件。

· 为员工提供有关社会工程和网络钓鱼的培训。敦促员工不要打开可疑电子邮件，点击此类电子邮件中包含的链接，或在线发布敏感信息，并且绝不提供用户名，密码或个人信息以回应任何未经请求的请求。教育用户使用鼠标悬停在链接上以在点击链接之前验证目的地。

· 请考虑阻止通常与恶意软件相关联的文件附件，例如.dll和.exe，以及无法通过防病毒软件扫描的附件，例如.zip文件。

· 坚持最低权限原则，确保用户具有完成其职责所需的最低级别访问权限。将管理凭据限制为指定管理员。

· 实施基于域的消息身份验证，报告和一致性（DMARC），这是一种验证系统，通过使用域名系统（DNS）记录和数字签名检测电子邮件欺骗来最小化垃圾邮件。

如果用户或组织认为他们可能受到感染，NCCIC和MS-ISAC建议在系统上运行防病毒扫描，并根据结果采取措施隔离受感染的工作站。如果多个工作站被感染，建议采取以下措施：

· 识别，关闭并将受感染的计算机从网络中移除;

· 考虑暂时使网络脱机以执行识别，防止再次感染并阻止恶意软件的传播;

· 不要使用域或共享本地管理员帐户登录受感染的系统;

· 重新映像受感染的机器;

· 在检查Emotet指标的系统后，将清洁系统移动到与受感染网络隔离的收容虚拟局域网;

· 发出域和本地凭据的密码重置;

· 由于Emotet会删除其他凭据，因此请考虑对可能已在受感染计算机上存储凭据的其他应用程序进行密码重置;

· 确定感染源（患者为零）; 和

· 查看与受感染用户帐户关联的日志文件和Outlook邮箱规则，以确保未发生进一步的泄密。Outlook帐户现在可能具有将所有电子邮件自动转发到外部电子邮件地址的规则，这可能会导致数据泄露。