示意圖,與新聞事件無關。

趨勢科技上周公布了知名銀行木馬Emotet的蹤跡,發現它在今年6月1日到9月15日之間,於全球具備721個命令暨控制(C&C)伺服器,採用8,528個獨立的URL,使用5,849個文件Dropper以及571個執行檔案。

2014年被發現的Emotet是個模組化的先進銀行木馬程式,其主要功能就是作為一個可下載其它木馬程式的Dropper,同時它也是個多態(Polymorphic)銀行木馬,能夠閃過傳統的病毒特徵偵測機制,並藉由各種方式來維持自身的存在。

Emotet通常透過垃圾電子郵件進行散布及感染,例如於假冒來源的電子郵件中嵌入惡意的附加檔案或連結,只要受害者開啟或下載惡意的PDF或Word檔案,Emotet就能常駐於受害者的電腦上,進而下載其它的惡意模組,或是伺機感染網路上的其它裝置。

趨勢科技針對Emotet展開全面性的研究,發現它至少有兩個平行運作的架構,猜測它們也許具備不同的目的與功能,或者只是為提高被追蹤的難度,以及最小化失敗的可能性。

此外,在這3個半月間,研究人員就已蒐集到Emotet的571個執行樣本,並發現這些執行樣本中內建了721個C&C伺服器,顯示平均每個執行樣本含有39個C&C伺服器。

大多數的C&C伺服器座落在美國,佔了總數的45.35%,墨西哥佔了8.04%,加拿大佔了7.49%。趨勢科技之所以認為Emotet至少已建立兩個獨立架構的原因之一為:這兩個架構所使用RSA金鑰與C&C伺服器是有區隔的。

另一資安業者賽門鐵克的分析則顯示,既有的Emotet版本能夠下載各種不同的惡意模組,包括可用來竊取金融資訊的銀行木馬、可竊取電子郵件憑證的模組、可竊取瀏覽器歷史紀錄或所儲存密碼的模組,以及可發動分散式阻斷服務攻擊的DDoS模組。

有鑑於美國是Emotet災情最慘重的地區,美國電腦緊急事件應變小組(United States Computer Emergency Readiness Team,US-CERT)也曾在今年中把Emotet列為最具破壞力及成本最高的惡意程式之一,並說每次的Emotet感染事件平均要花費100萬美元來擺平。

US-CERT建議各組織應設置防火牆,使用防毒軟體,定期修補系統及軟體,過濾郵件,進行攸關網釣手法的員工訓練,也可考慮直接封鎖可能有害的郵件附加檔案格式。


Advertisement

更多 iThome相關內容