銀行木馬Emotet 再進化, 新增 Wi-Fi 散播能力

一種新的 Emotet 病毒變種被發現透過無線網路連線來散播,這點與過往不同,這個惡名昭彰的銀行木馬一般是利用垃圾郵件活動作為散播的管道。研究員表示,這種新的載入器類型能利用 wlanAPI 介面,將病毒從遭感染的裝置散播到未加密的 Wi-Fi 網路。

2014 年,趨勢科技偵測到 Emotet,病毒碼為 TrojanSpy.Win32.EMOTET.THIBEAI。它最初是一種金融服務惡意軟體,透過感染電腦來竊取敏感資訊,過去一直是以垃圾郵件活動為管道,並利用當時的新聞 (例如武漢肺炎-新型冠狀病毒) 和特殊事件 (例如感恩節) 作為誘餌。感染的情況若嚴重,可能導致整個 IT 網路停擺。近來,Emotet 也會利用新聞報導內文讓惡意軟體迴避偵測。

[請參閱:深入了解 Emotet:多層運作機制]

Emotet 如何透過 Wi-Fi 散播?

如今 Emotet 可以從遭感染的裝置與伺服器傳至 Wi-Fi 網路,這些網路便能進一步感染其他裝置,很有可能造成永無止盡的感染迴圈,該病毒感染其他裝置的方式:

  • 首先,Emotet 會感染一個宿主 (可能是電腦或其他裝置),接著會下載並執行 Wi-Fi 散播模組。
  • 此 Wi-Fi 模組會列出宿主啟用的 Wi-Fi 裝置,得到一組可連接的 Wi-Fi 網路。
  • 模組接著會針對各個列出的 Wi-Fi 網路展開暴力攻擊,運用兩組內部清單,內容是一連串容易猜中的密碼,這些清單的來源不明。
  • 如果攻擊成功,模組便會進行第二次暴力攻擊,猜測與遭入侵 Wi-Fi 網路連線之電腦和伺服器的登入憑證。
  • 如果第二次攻擊也成功,這個循環便回到第一步,展開下一輪的感染行動。

2018 年五月,在這些攻擊中使用的執行檔紀錄才首次提交至 VirusTotal,表示 Emotet 藉由 Wi-Fi 擴散的能力近 2 年來都沒有被偵測出來。


趨勢科技識別該威脅為 Worm.Win32.EMOTET.AA 與 TrojanSpy.Win32.EMOTET.TIABOFHL。

把通行證交給攻擊者

加密 Wi-Fi 裝置對阻擋威脅來說極為重要,其中一種簡單的做法,就是使用安全的密碼。對使用者來說,要記得複雜的密碼非常困難,更別提輸入這些密碼要花很長的時間,因此許多人會選擇容易被猜到的密碼,例如「abc123」、「qwerty」,有些人甚至連預設的密碼都不改。然而,這種做法對 Wi-Fi 裝置而言 (其實對任何裝置都是如此),就像是把通行證交給攻擊者,讓他進到家中,甚至進入工作網路。

除了確保各種裝置和網路都使用安全性強的密碼之外,企業可以藉由確實啟用加密來進一步保護 Wi-Fi 裝置。系統管理員也應密切監控網路,才能發現可疑活動的跡象。

大多數的 Emotet 仍是透過垃圾郵件活動散播,因此員工應持續留意社交工程(social engineering)的電子郵件,Emotet 和其他惡意軟體系列能以此為進入點。

[請參閱:透過機器學習來擺脫垃圾郵件與其它威脅]

因為 Emotet 會影響端點、伺服器和網路,運用一套多層次防護系統確實有相當的重要性,要在集中可視性和控制度的情況下,保護閘道器、端點、網路和伺服器。

至於特殊保護,趨勢科技Network DefenseXGen安全防護提供安全防護,保護網路中已知、未知或未公開的弱點。它能偵測並回應針對目標攻擊,不論攻擊是橫向、傳入或傳出進行。

趨勢科技Deep Discovery進階網路安全防護 解決方案提供偵測功能、深度分析,並主動回應攻擊。有一個層級能執行   email 檢查,透過偵測惡意附件和 URL 對企業進行保護,可偵測到遠端指令碼,就算沒有在端點下載也一樣。Trend Micro 趨勢科技的Deep Discovery Inspector 解決方案能透過以下 DDI 規則來保護客戶不受 Emotet 攻擊:

  • 4320 – EMOTET – HTTP (Request) – Variant 6
  • 4345 – EMOTET – HTTP (Request) – Variant 7
SHA-1 趨勢科技預測性機器學習偵測 趨勢科技模式偵測
a9c13d03e2f056d233ed7b7c97a6dc2b1ec70a50 Troj.Win32.TRX.XXPE50FFF033 Worm.Win32.EMOTET.AA
1e7c5ada1ac91990b20215397cb9ce9fd66528dd N/A TrojanSpy.Win32.EMOTET.TIABOFHL
a97fbd3a89ba663ab9eb3488ff47665b21d17107 N/A Worm.Win32.EMOTET.AA

來源: Emotet Now Spreads via Wi-Fi

訂閱資安趨勢電子報

💝▎每月7 日下午 4 點 , 趨勢科技 IG 帳號,Fun 送粉絲獨享禮 ▎💝
) 快進來看看 🙂

FBIGYoutubeLINE官網