Emotet攻击正在持续大规模扩散

近期,全球各地又在扩散着Emotet方式的病毒垃圾邮件,其主要特征是带有一个.xlsm或经zip加密的.xlsm的恶意文件。当收件者不慎执行恶意xlsm宏,病毒就会被激活,并在终端后台盗取各类信息。

通过对实际案例的分析,研究人员发现攻击者依然利用早期获取的内部用户资讯,并通过全球各地弱账户平台,伪装为相关业务往来回复类邮件,诱导用户点击运行附件。

这种攻击会从.xlsm内纪录的URL列表尝试下载扩展名为.ocx文件(实为DLL的文件),并复制到用户目录(「AppData\Local\随机目录名称」)下,随机取名 xxxxxxx.yyy (x长度不定),通过执行 C:\Windows\system32\regsvr32.exe /s “C:\Users\用户名称\AppData\Local\随机目录名称下的恶意文件,并通过 registry 设定开机执行。

为了成功入侵,黑客攻击手法不断演化,发展出各种能够躲避侦测的攻击。值得留意的是第二波恶意文件攻击,直接以加密的手段躲避防毒机制的检查,而加密压缩文件内的.xlsm又以混淆手段,增加防毒系统的拦截难度。基础或只有防病毒功能的邮件防御,已无法对抗黑客日益精进的进阶攻击。

守内安建议企业用户尽快使用新一代防御技术,包括:拥有多层过滤机制对抗入侵,同时具有ADM (Advanced Defense Module) 高级防御机制;能自动解压文件并进行扫描;可发掘潜在危险代码、隐藏的逻辑路径及反编译代码,进一步对恶意软件进行比对;可深度防御鱼叉式攻击、汇款诈骗、APT攻击邮件、勒索病毒以及新型态攻击等邮件。

上一篇:Belden 3.5亿美元卖出Tripwire,HelpSystems接盘

下一篇:315“弹窗”乱象引关注 终端安全治理互联网“牛皮癣”