銀行木馬Emotet已在全球建立了721個C&C伺服器
https://www.ithome.com.tw/news/127157
趨勢科技指出銀行木馬程式Emotet已在全球建立了721個C&C伺服器, 蒐集分析惡意程式樣
本,Emotet至少有兩個平行運作架構,可能具備不同的目的及功能,或是提高被追蹤的難
度。
文/陳曉莉 | 2018-11-20發表
趨勢科技上周公布了知名銀行木馬Emotet的蹤跡,發現它在今年6月1日到9月15日之間,
於全球具備721個命令暨控制(C&C)伺服器,採用8,528個獨立的URL,使用5,849個文件
Dropper以及571個執行檔案。
2014年被發現的Emotet是個模組化的先進銀行木馬程式,其主要功能就是作為一個可下載
其它木馬程式的Dropper,同時它也是個多態(Polymorphic)銀行木馬,能夠閃過傳統的
病毒特徵偵測機制,並藉由各種方式來維持自身的存在。
Emotet通常透過垃圾電子郵件進行散布及感染,例如於假冒來源的電子郵件中嵌入惡意的
附加檔案或連結,只要受害者開啟或下載惡意的PDF或Word檔案,Emotet就能常駐於受害
者的電腦上,進而下載其它的惡意模組,或是伺機感染網路上的其它裝置。
趨勢科技針對Emotet展開全面性的研究,發現它至少有兩個平行運作的架構,猜測它們也
許具備不同的目的與功能,或者只是為提高被追蹤的難度,以及最小化失敗的可能性。
此外,在這3個半月間,研究人員就已蒐集到Emotet的571個執行樣本,並發現這些執行樣
本中內建了721個C&C伺服器,顯示平均每個執行樣本含有39個C&C伺服器。
大多數的C&C伺服器座落在美國,佔了總數的45.35%,墨西哥佔了8.04%,加拿大佔了
7.49%。趨勢科技之所以認為Emotet至少已建立兩個獨立架構的原因之一為:這兩個架構
所使用RSA金鑰與C&C伺服器是有區隔的。
另一資安業者賽門鐵克的分析則顯示,既有的Emotet版本能夠下載各種不同的惡意模組,
包括可用來竊取金融資訊的銀行木馬、可竊取電子郵件憑證的模組、可竊取瀏覽器歷史紀
錄或所儲存密碼的模組,以及可發動分散式阻斷服務攻擊的DDoS模組。
有鑑於美國是Emotet災情最慘重的地區,美國電腦緊急事件應變小組(United States
Computer Emergency Readiness Team,US-CERT)也曾在今年中把Emotet列為最具破壞力
及成本最高的惡意程式之一,並說每次的Emotet感染事件平均要花費100萬美元來擺平。
US-CERT建議各組織應設置防火牆,使用防毒軟體,定期修補系統及軟體,過濾郵件,進
行攸關網釣手法的員工訓練,也可考慮直接封鎖可能有害的郵件附加檔案格式。