趨勢科技威脅架構師Fyodor Yarochkin表示,今年1月歐洲刑警組織及8國警方對Emotet的掃蕩行動,雖然破獲這個網路犯罪集團許多中繼站,也逮捕兩名隸屬Emotet的系統管理員,但是Emotet的網路犯罪工具原始碼和架構都還存在,只要可以找到信得過的系統管理員,Emotet想要東山再起,大約需要半年時間即可。但他認為,這個東山再起的Emotet,不一定是原始的Emotet,也可能是複製或是再另外創立的Emotet。(圖片來源/歐洲刑警組織)

在2020年,最受關注的網路犯罪就是勒索軟體,比特幣等加密貨幣的普及,解決勒索的金流問題,也加速勒索軟體成為主要的網路犯罪手法之一。此外,勒索軟體本身也有所轉變,從隨機、漫天撒網式的勒索,逐漸轉變成鎖定特定產業或目標的針對式勒索(Targeted Ransomware),在在顯示,網路犯罪手法一直都在進化中。

Emotet從最早的金融木馬,慢慢轉型到成為全球最大垃圾郵件發送的傀儡網路,同樣證明,Emotet的轉型都是跟著犯罪市場和犯罪模式轉變而來。

趨勢科技威脅架構師Fyodor Yarochkin(費爾多)以Emotet傀儡網路為例,Emotet可以從2014年的金融木馬,一路存活到現在,他說:「Emotet現在已經轉型成為提供網路犯罪工具和服務的黑色產業業者。」

事實上,現在很多網路犯罪論壇,根本看不到任何與Emotet相關的廣告,越是菜鳥級別的網路犯罪集團,才越需要透過網路廣告去接觸客戶,像是Emotet這種老牌的網路犯罪集團,已經有固定的客戶群,通常不需要透過網路廣告去接觸陌生客戶。

Fyodor Yarochkin長期觀察表示,該網路犯罪組織本身有嚴謹的保密措施,加上具有很好的團隊領導能力,團隊成員之間也有很高的互信程度,向心力也夠強。藉此也可以證明,Emotet行事作風比較保守封閉,要和Emotet真實往來,甚至要有私交才可能。他說:「這或許也是多年來,世界各國執法單位一直很難抓到真實的罪犯的關鍵原因之一。」而此次親俄的烏克蘭警方可以抓到兩名系統管理員,對於未來進一步突破Emotet的犯罪網路的機會大增。

的確,匿名與信任之間的難題在黑產界也真實存在,Fox-IT威脅分析師吳宗育(ZY Wu)表示,如何確認生意夥伴的背景不是FBI等執法單位的臥底警察,已經是這些網路犯罪組織必須真實面對的難題。

畢竟,在2008年曾經有FBI探員臥底並抄家最大黑產論壇的殷鑑不遠;甚至於,合作的夥伴被執法單位抓到後,到底會不會出賣其他人,中間也存在有很多的操作空間。

吳宗育指出,目前可以確定的事情是,Emotet並沒有公開販售傀儡網路的服務,也沒有公開的消息指出,該團隊在哪個地下論壇或群組販售服務或是招兵買馬。

他說:「合理猜測,他們只和信任關係強烈的對象接觸生意,甚至這些黑產巨頭間,可能彼此都知道對方的真實身分。」

對於外界曾經謠傳,Emotet的主事者曾經改弦易轍,吳宗育坦言,外界對於Emotet是否經歷易主並沒有辦法確定,畢竟,網路犯罪的生態很難追蹤到「人」的層面,除非是執法單位。

但他說,如果以惡意程式家族轉型的層面來看,其實現在依然活躍的幾個金融木馬網路犯罪集團,大部分都已經轉型成下載器(Loader)或是RAT(Remote Access Trojan,遠端存取木馬程式),例如DRIDEX、GOZI等。

Emotet從金融木馬到傀儡網路的轉型之道

Fox-IT威脅分析師吳宗育表示,Emotet並沒有公開販售傀儡網路服務,也沒有在黑產論壇出沒打廣告,可以推測,他們只和信得過的熟人做生意。圖片來源/吳宗育

吳宗育進一步分析Emotet的轉型之道,他指出,當年金融木馬百家爭鳴之際,即便成功植入金融木馬,真正順利把偷到的錢能夠順利變現的網路犯罪集團卻是少數。

關鍵原因在於,隨著當年銀行規範和法規限制越來越多,加上洗錢難度也因為政策面的防護越來越嚴謹而隨之越來越高,都使得金融木馬日常維運的成本大幅增加、收益大幅減少,而想要把透過金融木馬取得的資金順利變現的難度也越高。

Emotet也同樣面臨到原本的產品不符市場所需,必須重新開發新產品、重新占領市場的挑戰。

吳宗育表示,當年,Emotet評估,網路犯罪市場中,並沒有非常自動化、先進的Spam Bot(垃圾郵件發送傀儡網路);而早些年相當活躍的、資深且大規模的Necurs傀儡網路,其開發團隊其實更願意花更多的心思在開發早期的Rootkit上。

他也指出,Emotet相較於其他傀儡網路網路犯罪集團,更是一個非常注重社交工程(Social Engineering)網路設計的組織,從偷取郵件信箱的帳號、密碼開始,再偷取信件並回覆給另一方,同時追隨各種熱門時事主題等,都是他們擅長的地方。

更重要的是,上述的手法,很多部分都是自動化完成的。他說:「如果Emotet的垃圾郵件發送傀儡網路是第二名的話,就沒有其他網路犯罪組織敢說他們是第一名。」

若要分析Emotet的轉型,吳宗育認為,2017年應該是關鍵的時間點。

他以臺灣2017年到2018年又開始流行夾娃娃機為例來比喻──夾娃娃機風潮再起的原因在於,有人從這個生意賺了很多錢,也吸引其他更多的競爭者投入這個行業,同樣的情況也適用於網路犯罪集團。

像是知名的網路犯罪組織Evil Corp,成功利用BitPaymer賺進大把鈔票後,也吸引後進者Ryuk跟進賺大錢。再之後,有越來越多的後起之秀,例如Revil、GandCrab、Egregor、Maza、DarkSide等,如雨後春筍出現在市場。

至於,其他不易賺錢的金融木馬網路犯罪集團則紛紛轉型,成為更容易利用傀儡網路,或是勒索軟體賺大錢的網路犯罪組織,「這些網路犯罪集團紛紛在2017年前後冒出頭,這也成為這些網路犯罪集團轉型的關鍵時間。」他說。

吳宗育同意,研究網路犯罪之所以迷人的地方,其實像是在研究一個小型生態,只要哪裡有生意,就會有競爭,近幾年來,菁英網路犯罪集團皆轉型成Comparmetalized(權責分工明確),所有網路犯罪的工具和流程,都變成一種服務。

Emotet全球有160萬臺遭駭主機,造成損失高達25億美元

根據美國司法部的資料顯示,Emotet感染的關鍵系統的電腦,包括:銀行、電子商務、醫療保健、學術界、政府機關以及科技產業等,從受駭電腦的IP回推國家所在地時發現,美國FBI甚至要通知五十多國的相關執法部門。

這次八國聯軍針對Emotet的抄家行動,確定了全球遭駭的電腦主機有160萬臺,若是統計2020年到2021年1月17日的數據發現,就有超過4萬5千臺受駭電腦位於美國。

此外,根據美國網路安全與基礎設施安全局(CISA)的資料也指出,每一次感染Emotet的惡意程式後,包括美國各州政府或是聯邦政府的系統復原費用金額,都高達一百萬美元之譜。

事實上,美國FBI掃蕩Emotet的行動不只一次,但在2017年還是出現重大事故──美國北卡羅萊納州某學區的學術網路感染Emotet惡意程式後,不只感染並破壞了學校以及連上學術網路相關的電腦,也造成學術網路停用二周。

若進一步計算該起Emotet造成的損失,不管是電腦解毒或者是更換電腦主機等,總體的損失至少超過140萬美元。更值得注意的是,從2017年迄今,不管是北卡羅萊納州和美國其他企業、關鍵機數設施的電腦主機,仍存在許多受駭者。FBI這次掃蕩行動也揭開和其他各國執法單位合作的契機,也證明「Emotet已經迅速升級為全球最大的網路威脅之一。」

吳宗育也表示,Emotet的合作夥伴,包括TrickBot與Ryuk勒索軟體。根據研究顯示,光是贖金就已經賺了超過美金1.5億美元;而烏克蘭警方釋出逮捕Emotet成員的影片中則宣稱,該網路犯罪集團造成的損失高達25億美元。

根據英國網路犯罪局的資料,Emotet為了維持相關基礎設施的正常維運,在兩年內,就投資至少50萬美元; 若是分析Emotet加密貨幣交易平臺的金流,該組織光是在兩年內轉移的金額,就高達1,050萬美元。

英國網路犯罪局也指出,Emotet助長近來嚴重的網路攻擊事件,其中有七成的惡意程式和Emotet相關,也包括Trickbot及Ryuk等,甚至於,對英國企業也帶來一定程度的經濟衝擊。

「網路犯罪也是一門生意,」吳宗育說,如果做生意的成本變高,相對收入也必須增加,才有辦法維持獲利。因此,這次全球執法單位針對Emotet基礎設施的掃蕩行動,也對Emotet持續提供相關網路犯罪工具與服務的能力,造成大舉破壞。

Emotet半年左右可東山再起

趨勢科技威脅架構師Fyodor Yarochkin推測,Emotet網路工具原始碼和架構都還在,只要找到信得過的系統管理員,東山再起只需要半年時間即可。圖片來源/趨勢科

歷經這次大規模掃蕩行動後,Emotet能否東山再起?吳宗育表示,這個問題在2014年,FBI掃蕩GameOver Zeus、幕後主使者遭到起訴時,曾經被討論過。

他認為,鑑往知來,新進犯罪集團與老屁股們找到了更好的生意模式,從傳統金融木馬或卡片側錄的模式,轉換到針對資料的勒索攻擊的發展態勢來看,我們可以發現,針對資料的網路攻擊模式,獲利比傳統的攻擊模式更大。

吳宗育也說,Emotet和合作夥伴(Stealer),後續配套的惡意程式,較多是採用TrickBot、Zloader和Gozi等;而這些曾經的金融木馬惡意程式的特色是,喜歡在內網搜查並且橫向移動,然後再給予勒索軟體(Ransomware),像是TrickBot -> Ryuk的過程,Ryuk就是針對式勒索軟體。

目前這個針對式勒索軟體看起來並沒有特別針對哪個產業或是單位,但他們會避開前蘇聯國家或使用俄語的電腦作業環境,或是他們認為沒有利用價值,或是不有趣的環境,也會予以迴避。

Fyodor Yarochkin表示,這次的掃蕩行動雖然破獲許多中繼站(英國網路犯罪局宣稱有700臺中繼站),也逮捕兩名網路犯罪集團的系統管理員,但是Emotet的網路犯罪工具原始碼和架構都還存在,即便這次的掃蕩會影響Emote的運作,Fyodor Yarochkin評估,只要可以找到信得過的系統管理員,Emotet網路犯罪集團想要東山再起,大約需要半年時間即可。但他認為,這個重新東山再起的Emotet,不一定是原始的Emotet,也可能是複製或是再另外創立的Emotet。

吳宗育也以研究網路犯罪的經驗為例,印證Fyodor Yarochkin這個假設的可能性很高。通常,執法單位有逮捕行動或是起訴出現時,網路犯罪集團通常會面臨分裂、拆夥,甚至是內鬨的情況,當然,也不乏有人賺飽之後便收山。

根據目前消息指出,Emotet背後大老闆尚未落網,也就說,組建傀儡網路的程式原始碼依然在犯罪組織手裡。因此,以目前來看,我們固然無法確定Emotet何時重返戰場,但可以確定的是,黑色產業一定會從他們的失敗經驗中學習,並設計出更為棘手的武器。

Emotet看起來被執法單位聯手摧毀了,似乎成功打垮惡名昭彰的Emotet傀儡網路,但從這些網路犯罪集團的運作模式來看,不論是採用敏捷的軟體開發方式,快速應對資安公司和執法單位找到的切入點,或是網路犯罪集團之間的互助合作和相互幫襯等,都可以證明,網路犯罪集團的「創意」,從來沒有被資安公司或是執法單位的掃蕩所扼殺。

吳宗育認為,對一般企業或者是民眾而言,Emotet的掃蕩讓大家暫時鬆口氣,但對資安從業人員而言,必須要繃緊神經、嚴陣以待,因為「一個時代的結束,可能是另外一個時代的開始」,雖然沒有了Emotet,還有其他類似的網路犯罪集團躲在暗處,等著最有利的時刻,再狠狠大賺一筆橫財。

 相關報導  百煉成魔:Emotet傀儡網路為何難以打倒?

熱門新聞

Advertisement