银行木马Emotet已在全球建立了721个C&C服务器
https://www.ithome.com.tw/news/127157
趋势科技指出银行木马程式Emotet已在全球建立了721个C&C服务器, 蒐集分析恶意程式样
本,Emotet至少有两个平行运作架构,可能具备不同的目的及功能,或是提高被追踪的难
度。
文/陈晓莉 | 2018-11-20发表
趋势科技上周公布了知名银行木马Emotet的踪迹,发现它在今年6月1日到9月15日之间,
于全球具备721个命令暨控制(C&C)服务器,采用8,528个独立的URL,使用5,849个文件
Dropper以及571个执行档案。
2014年被发现的Emotet是个模组化的先进银行木马程式,其主要功能就是作为一个可下载
其它木马程式的Dropper,同时它也是个多态(Polymorphic)银行木马,能够闪过传统的
病毒特征侦测机制,并借由各种方式来维持自身的存在。
Emotet通常透过垃圾电子邮件进行散布及感染,例如于假冒来源的电子邮件中嵌入恶意的
附加档案或连结,只要受害者开启或下载恶意的PDF或Word档案,Emotet就能常驻于受害
者的电脑上,进而下载其它的恶意模组,或是伺机感染网络上的其它装置。
趋势科技针对Emotet展开全面性的研究,发现它至少有两个平行运作的架构,猜测它们也
许具备不同的目的与功能,或者只是为提高被追踪的难度,以及最小化失败的可能性。
此外,在这3个半月间,研究人员就已蒐集到Emotet的571个执行样本,并发现这些执行样
本中内建了721个C&C服务器,显示平均每个执行样本含有39个C&C服务器。
大多数的C&C服务器座落在美国,占了总数的45.35%,墨西哥占了8.04%,加拿大占了
7.49%。趋势科技之所以认为Emotet至少已建立两个独立架构的原因之一为:这两个架构
所使用RSA金钥与C&C服务器是有区隔的。
另一资安业者赛门铁克的分析则显示,既有的Emotet版本能够下载各种不同的恶意模组,
包括可用来窃取金融资讯的银行木马、可窃取电子邮件凭证的模组、可窃取浏览器历史纪
录或所储存密码的模组,以及可发动分布式阻断服务攻击的DDoS模组。
有鉴于美国是Emotet灾情最惨重的地区,美国电脑紧急事件应变小组(United States
Computer Emergency Readiness Team,US-CERT)也曾在今年中把Emotet列为最具破坏力
及成本最高的恶意程式之一,并说每次的Emotet感染事件平均要花费100万美元来摆平。
US-CERT建议各组织应设置防火墙,使用防毒软件,定期修补系统及软件,过滤邮件,进
行攸关网钓手法的员工训练,也可考虑直接封锁可能有害的邮件附加档案格式。