■ 潘自強

Emotet是一種惡意軟件，專為逃避偵測、深入宿主和自我繁殖而設計。Emotet會隨著惡意垃圾郵件活動出現(xiàn)，并為任何愿意付錢的惡意軟件提供服務。今年到目前為止，它與TrickBot和QBot銀行木馬程序脫不了關系，也與BitPaymer有關(一種復雜的勒索軟件，勒索高達六位數(shù)的金額)。

Emotet是一種惡意軟件，專為逃避偵測、深入宿主和自我繁殖而設計。由于不斷更新、模組化的多形態(tài)設計，以及可經(jīng)由網(wǎng)絡部署大量不同技術來進行蠕蟲攻擊的能力，該軟件很快成為一個動態(tài)且不斷變形讓系統(tǒng)管理員及安全軟件疲于奔命的目標。

在它出現(xiàn)五年以來，Emotet已經(jīng)從一種木馬程序演變成一種非常復雜且能廣泛部署其他惡意軟件的平臺，特別是其他類型的銀行木馬程序。

Emotet會隨著惡意垃圾郵件活動出現(xiàn)，并為任何愿意付錢的惡意軟件提供服務。今年到目前為止，它與TrickBot和QBot銀行木馬程序脫不了關系，也與BitPaymer有關(一種復雜的勒索軟件，勒索高達六位數(shù)的金額)。

2018年 7月，USCERT(美國電腦應急應變小組)發(fā)布警報，將Emotet描述為：

…對SLTT政府機構(州、地方、種族和地區(qū))最耗成本和最具破壞性的惡意軟件。其具有類似蠕蟲的特征，導致整個網(wǎng)絡內(nèi)的感染迅速蔓延，難以對抗。Emotet感染致使SLTT政府機構必須花費多達100萬美元補救每一次的事件。

Emotet仍然是一種非常強大且擴散中的威脅。對系統(tǒng)管理員和威脅處理專家來說，它是最困難的挑戰(zhàn)之一。

為此，全球惡意軟件專家Peter Mackenzie提供了以下打擊Emotet的建議：

1.保護所有的電腦

預防勝于治療。最佳預防措施之一，就是確保網(wǎng)絡上沒有任何不安全的電腦。

當組織受到Emotet的攻擊時，感染來源通常就是一部網(wǎng)絡上未受保護的電腦?？蛻敉ǔ２恢烙羞@些設備存在，更不用說躲藏在其中的惡意軟件。

使用免費的網(wǎng)絡掃描工具取得網(wǎng)絡上每一個作用中裝置的列表，并將這份列表與安全管理主控臺中的名單進行比對。如果發(fā)現(xiàn)任何未知裝置，請盡快為其安裝修補程序并執(zhí)行最新的端點保護。

未知且不安全的電腦，也是Emotet躲藏和適應的溫床，使情況雪上加霜。

雖然其他電腦上的安全軟件會將它“困”在不安全的電腦上，但它會一直試圖掙脫。而且因為它是多形態(tài)的，所以更新非常頻繁(有時一天多次)，此外它的有效裝載非常靈活，會不斷制造新的挑戰(zhàn)。

這些動作進行的時間越久，風險越大。更新或改變裝載后的Emotet會在用戶的防護中找到一個縫隙，然后突破并通過用戶的網(wǎng)絡繼續(xù)擴散。

用戶無法預測會出現(xiàn)什么縫隙——也許是一個新的漏洞利用，或者是暫時將Emotet躲開基于簽名的反病毒的變種——所以深度防御至關重要。如深度學習、漏洞利用防御和EDR等進階防惡意軟件功能，可提供控制爆發(fā)和尋找威脅來源的顯著優(yōu)勢。

2.盡早且頻繁地修補

Emotet是其他惡意軟件的門戶，因此遏阻Emotet不只是能防御Emotet，還阻擋掉它帶來的任何威脅。既然無法知道什么威脅會隨它而來，只能采取最佳的預防措施。在這份預防措施的清單 (是一份很長的清單)中，最優(yōu)先的項目是修補已知的漏洞。

聽起來像是天底下最不稀奇的安全建議，但它卻是清單中的必要項目。在現(xiàn)實環(huán)境中，未修補的軟件將使Emotet疫情更加嚴重，并且難以控制。

其運作原理可參考EternalBlue，以及 2017年利用SMB漏洞而聲名大噪的 WannaCry和 NotPetya。令人難以置信的是，盡管新聞媒體大肆報道，而且微軟已經(jīng)發(fā)布安全公告MS17-010和修補程序差不多兩年了，惡意軟件仍然成功通過漏洞利用大肆賺錢。其中一個惡意軟件是TrickBot，這是Emotet最常夾帶的裝載。

尚未將修補作業(yè)視為優(yōu)先項目的讀者，請不要成為報導中受害者。

3. 默 認 阻 擋PowerShell

Emotet通常以惡意電子郵件附件的形式出現(xiàn)。攻擊大多是如此開始：使用者收到附帶Word文件的電子郵件。

1.使用者開啟Word文件。

2.并被誘騙執(zhí)行巨集。

3.巨集會觸發(fā)下載Emotet的 PowerShell。

4.Emotet感染開始了。

顯然，使用者一定做錯了一些事才讓病毒得手，所以最后的建議，就是請“訓練員工不要打開有問題的電子郵件或執(zhí)行巨集”。雖然這項提醒是老生常談，但它是一個好主意，因為只要失敗一次就前功盡棄。

雖然也有其他方式可以減緩通過電子郵件傳播的Emotet，但系統(tǒng)管理員最簡單的作法就是預設阻止使用者使用PowerShell。

我們并不是要阻止所有人(有些人需要PowerShell)，我們只是假設沒有人需要它(包括系統(tǒng)管理員)，然后只為真正可證明有需要的人解鎖。

當我們說阻擋時，我們的意思是阻礙，而不是設定一個禁用它的政策。因為政策可以被繞過。PowerShell應該被列入黑名單。