Emotet木马升级后重现江湖

如果要给出名的恶意软件们写小传，那Emotet木马必能占一席。多年来新闻一直有它的身影：从2014年广泛的malspam感染银行德国目标，到今年7月份新罕布什尔镇的计算机网络的感染。

棘手的Emotet木马的初始目标是银行凭证，但最近人们发现木马改变了它的策略和目标，引起了研究人员和执法部门的注意。Check Point Research在周二发布的报告中提到：“尽管Emotet存在已久，但它仍然有顽强的生命力。”它通过垃圾邮件，共享网络和平台开发工具广泛传播。虽然一些功能保持不变，但在Emotet生命周期的四年中，还有一些模块出现后又消失了。”

事实证明，这些木马的传播途径有效，也能成功中伤受害者。美国国土安全部的官方技术数据中，Emotet感染国家和地方政府后，平均每次所需的修复费用高达100万美元。

赛门铁克和Check Point的研究人员表示，Emote木马现已发展了新技术，还摇身一变成为了分发其他带有威胁性的软件的传播者，并对第三方开源代码暗中觊觎。

重要的是，它的核心功能也发生了变化。2017年，该木马放弃了其银行模块，并使其最重要的组成部分。此举象征着其目标和散布威胁战略的扩张。该恶意软件最初是由趋势科技于2014年发现的，现在通过垃圾邮件活动获取设备后，可以充当其他银行特洛伊木马的下载器或散播者。

自我传播

Emotet的自我传播能力突出，所以一旦它出现在计算机上，就会下载并执行一个扩展模块。它有一个密码列表，用于强制访问同一网络上的其他计算机。Emotet还可以通过安装在受感染的受害计算机上的垃圾邮件模块传播到其他计算机。

网络传播对组织来说尤其令人头疼，因为这意味着受害者甚至无需点击恶意链接或附件即可受到感染。此外，Emotet的强制密码可能会导致多次登录尝试失败，从而导致用户被锁定在其网络帐户之外。

恶意软件目前使用五个已知的扩展模块：NetPass.exe（恢复存储在系统上的所有网络密码的合法实用程序），WebBrowserPassView（一种密码恢复工具，用于捕获浏览器存储的密码，包括Internet Explorer和Firefox Mozilla），Mail PassView （用于各种电子邮件客户端的密码恢复工具，包括Microsoft Outlook和Windows邮件），Outlook之刀（从受害者的Outlook帐户中删除姓名和电子邮件地址的工具）和凭证枚举器。

演化

今年，赛门铁克的研究人员发现了Emotet与危险组织Mealybug之间的联系，Mealybug自2014年就不断在互联网活跃犯罪。Mealybug似乎既扩展了木马的能力和目标，成为赛门铁克研究人员所称的“端到端传递威胁服务”。

“Mealybug主要为其他危险组织传播恶意软件，这一点耐人寻味，我们观察到他们正在不断发展和完善他们的传播技术和利润最大化的商业模式。”

举个例子，自2018年2月以来，Emotet一直在使用其加载程序功能来传播Quakbot系列恶意软件，该系列的行为模式类似于网络蠕虫。此外，恶意软件还在分发Ransom.UmbreCrypt勒索软件。

Emotet还加强了其功能和策略，包括使用第三方开源组件。比如，恶意软件在Google的原型程序上构建了一个通信协议，该协议使用Lempel-Ziv-Markov（LZMA）压缩。LZMA是一种用于执行无损数据压缩的链算法。Checkpoint研究人员指出，“第三方库的轻松访问是任何发展过程中强有力的兴奋剂，相关设计的规程肯定有它的好处，当然也有缺陷。不过谁知道呢？也许在几年后我们将看到用Java编写的企业级恶意软件，它们调用更多恶意软件资源和加密币挖掘力量。

2015年的平静期后，2017年下半年和2018年上半年，赛门铁克检测到Emotet的活动数量激增，2018年其目标主要集中在美国。

值得注意的是，在2017年底Emotet就被发现散播病毒，将银行木马IcedID传播在目标系统上。今年7月初，新罕布什尔州朴茨茅斯的官员表示，Emotet恶意软件在通过网络钓鱼电子邮件传播到该市的整个计算机网络后，需要花费156,000美元才能删除。

最佳措施

赛门铁克研究人员表示，为了避免遭遇Emotet，终端用户可以采用多个重叠、相互支持的防御系统来防范设备中的单点故障。包括部署端点，电子邮件和网关保护技术，以及防火墙和漏洞评估解决方案，始终将这些安全解决方案与最新的保护功能保持同步。

然而，尽管有这些缓解措施，研究人员仍旧认为Emotet将来会继续发展并发起修复代价高昂的攻击。