全視域洞察阻斷內(nèi)網(wǎng)威脅，360安全衛(wèi)士主防7.0構(gòu)筑“安全屏障”

相比于廣撒網(wǎng)式的盲目攻擊，針對(duì)政府、企業(yè)等高價(jià)值目標(biāo)進(jìn)行精準(zhǔn)打擊，成為當(dāng)下網(wǎng)絡(luò)攻擊演變的新趨勢(shì)。在此其中，“橫向滲透”這種攻擊方式因?yàn)榭梢栽跐B透目標(biāo)內(nèi)網(wǎng)之后，通過各種攻擊手段以點(diǎn)破面，最大限度獲取目標(biāo)資產(chǎn)的控制權(quán)，成為被眾多網(wǎng)絡(luò)黑客廣泛使用的“殺手锏”。

近期，360安全大腦監(jiān)測(cè)發(fā)現(xiàn)，因竊取銀行登錄憑據(jù)而臭名昭著的Emotet木馬，現(xiàn)在開始通過創(chuàng)建遠(yuǎn)程服務(wù)的手法進(jìn)行橫向滲透，成為了分發(fā)Qakbot、TrickBot等其他惡意軟件的Loader。

對(duì)該木馬進(jìn)行溯源并深入分析后，360安全大腦發(fā)現(xiàn)該木馬作者正在利用以“新型冠狀病毒”疫情為話題的釣魚郵件進(jìn)行傳播，當(dāng)木馬程序被啟動(dòng)后，最新的Emotet變種通過下發(fā)Qbot進(jìn)行橫向滲透。

目前，360安全大腦已針對(duì)此類木馬進(jìn)行了全方位的查殺和攔截，建議廣大用戶盡快下載安裝最新beta版360安全衛(wèi)士，打開【我的電腦 — 安全防護(hù)中心】，可有效抵御各種橫向滲透攻擊。

借疫情熱度釣魚郵件泛濫

多代碼混淆隱藏病毒母體

360安全大腦在溯源分析后發(fā)現(xiàn)，該木馬攻擊者會(huì)通過推送與新冠肺炎相關(guān)的釣魚郵件,并將郵件內(nèi)容包裝為當(dāng)?shù)卣P(guān)于新型管狀病毒肺炎疫情的相關(guān)通報(bào)信息，誘導(dǎo)用戶打開攜帶惡意宏病毒的木馬附件。

附件文檔包含一個(gè)高度混淆的宏病毒，當(dāng)用戶點(diǎn)擊啟用宏之后，會(huì)調(diào)用WMI啟動(dòng)PowerShell并下載銀行木馬Emotet，早期版本的Emotet木馬具有銀行盜號(hào)模塊，主要針對(duì)銀行進(jìn)行攻擊。最新版本的Emotet木馬則不再加載其自己的銀行木馬模塊，而是加載第三方惡意軟件。

此次Emotet木馬主要下發(fā)QBot木馬去竊取信息并進(jìn)行橫向滲透，QBot使用了多種代碼混淆技術(shù)隱藏真正的病毒母體，其解密并加載被混淆的惡意載荷相關(guān)代碼邏輯如下：

解密后的惡意載荷是一個(gè)PE文件，即QBot母體。QBot在竊密功能之外新增橫向滲透功能以此來(lái)感染局域網(wǎng)內(nèi)的其他計(jì)算機(jī)。QBot加載并解密資源‘307’，解密后得到一個(gè)動(dòng)態(tài)庫(kù)，該動(dòng)態(tài)庫(kù)即為QBot進(jìn)行橫向滲透的核心模塊。

Qbot通過枚舉域控服務(wù)器上的用戶賬戶，得到一個(gè)用戶名列表，配合弱口令字典對(duì)當(dāng)前計(jì)算機(jī)連接的遠(yuǎn)程機(jī)器進(jìn)行爆破，如果連接成功則調(diào)用OpenSCManagerW與遠(yuǎn)程計(jì)算機(jī)的服務(wù)控制管理器建立連接，并通過創(chuàng)建遠(yuǎn)程服務(wù)的方式橫向移動(dòng)到遠(yuǎn)程機(jī)器。

受到感染的遠(yuǎn)程機(jī)器也會(huì)進(jìn)一步去感染網(wǎng)段內(nèi)的其他機(jī)器，擴(kuò)大該病毒的傳播范圍。

Emotet木馬多年作惡加速演進(jìn)

360安全衛(wèi)士主防7.0打造“銅墻鐵壁”

值得一提的是，Emotet木馬是一款于2014年就被發(fā)現(xiàn)，且一直處于活躍狀態(tài)的惡意木馬家族。歷時(shí)多年，Emotet也已經(jīng)從簡(jiǎn)單的銀行木馬，逐漸演變成下發(fā)各種惡意軟件的木馬分銷商，并且以基礎(chǔ)設(shè)施即服務(wù)的模式出售Emotet僵尸網(wǎng)絡(luò)的訪問權(quán)限。

為擴(kuò)大其僵尸網(wǎng)絡(luò)的覆蓋面及影響力，Emotet木馬也在不斷進(jìn)化其傳播方式，從最初垃圾郵件到近期的橫向滲透，Emotet木馬持續(xù)嚴(yán)重威脅到企業(yè)數(shù)字資產(chǎn)安全。而在未來(lái)，Emotet背后團(tuán)伙絕不會(huì)止步于此，而是將會(huì)不斷研發(fā)和融合其他新的傳播手法，進(jìn)一步鞏固其僵尸網(wǎng)絡(luò)帝國(guó)的統(tǒng)治力。

面對(duì)升維的網(wǎng)絡(luò)威脅挑戰(zhàn)，在360安全大腦的極智賦能下，360安全衛(wèi)士主防7.0震撼上線，利用網(wǎng)絡(luò)側(cè)、終端側(cè)多維分析模型，通過網(wǎng)絡(luò)流量、終端日志、機(jī)器學(xué)習(xí)，以及現(xiàn)有安全基礎(chǔ)設(shè)施等手段，為用戶打造集"高級(jí)攻擊發(fā)現(xiàn)、橫向滲透防護(hù)、無(wú)文件攻擊防護(hù)、軟件劫持防護(hù)"于一體的全方位高級(jí)威脅防護(hù)壁壘。

另外，為全面保障政企機(jī)構(gòu)內(nèi)網(wǎng)安全，360安全大腦給出如下建議：

1、前往weishi.#，下載安裝最新beta版360安全衛(wèi)士，打開【我的電腦 — 安全防護(hù)中心】，即可有效對(duì)此類木馬進(jìn)行攔截查殺;

2、不要打開來(lái)歷不明的郵件，應(yīng)將此類郵件交由安全部門進(jìn)行排查，確認(rèn)安全后再打開。

3、對(duì)未知安全性文件，切勿點(diǎn)擊“啟用宏”按鈕，以防止宏病毒入侵。

（免責(zé)聲明：本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 ）