趋势科技上周公布了知名银行木马Emotet的踪迹,发现它在今年6月1日到9月15日之间,于全球具备721个命令暨控制(C&C)服务器,采用8,528个独立的URL,使用5,849个文件Dropper以及571个执行文件。
2014年被发现的Emotet是个模块化的先进银行木马程序,其主要功能就是作为一个可下载其它木马程序的Dropper,同时它也是个多态(Polymorphic)银行木马,能够闪过传统的病毒特征侦测机制,并借由各种方式来维持自身的存在。
Emotet通常通过垃圾电子邮件进行传播及感染,例如于假冒来源的电子邮件中嵌入恶意的附加文件或连接,只要受害者打开或下载恶意的PDF或Word文件,Emotet就能常驻于受害者的计算机上,进而下载其它的恶意模块,或是伺机感染网络上的其它设备。
趋势科技针对Emotet展开全面性的研究,发现它至少有两个平行运行的构架,猜测它们也许具备不同的目的与功能,或者只是为提高被关注的难度,以及最小化失败的可能性。
此外,在这3个半月间,研究人员就已搜集到Emotet的571个执行样本,并发现这些执行样本中内置了721个C&C服务器,显示平均每个执行样本含有39个C&C服务器。
大多数的C&C服务器座落在美国,占了总数的45.35%,墨西哥占了8.04%,加拿大占了7.49%。趋势科技之所以认为Emotet至少已创建两个独立构架的原因之一为:这两个构架所使用RSA密钥与C&C服务器是有区隔的。
另一网络安全企业赛门铁克的分析则显示,既有的Emotet版本能够下载各种不同的恶意模块,包括可用来窃取金融信息的银行木马、可窃取电子邮件凭证的模块、可窃取浏览器历史纪录或所存储密码的模块,以及可发动分布式拒绝服务攻击的DDoS模块。
有鉴于美国是Emotet灾情最惨重的地区,美国计算机紧急事件应变小组(United States Computer Emergency Readiness Team,US-CERT)也曾在今年中把Emotet列为最具破坏力及成本最高的恶意程序之一,并说每次的Emotet感染事件平均要花费100万美元来摆平。
US-CERT建议各组织应设置防火墙,使用杀毒软件,定期修补系统及软件,过滤邮件,进行攸关网络钓鱼手法的员工训练,也可考虑直接封锁可能有害的邮件附加文件格式。