Emotet僵尸网络活动预警

      一、 基本情况

Emotet僵尸网络活动卷土重来，大量垃圾邮件被投放。攻击者通过诱导受害用户点击运行附件中恶意宏，然后下载并执行emotet。在此提醒广大用户不要轻易打开未知邮件，提高安全意识。

      二、 攻击原理

Emotet最初是由2014在野外被发现，其最初被设计为银行木马窃取用户敏感信息和重要数据，早期的Emotet分发方式单一化，仅仅通过JS恶意代码进行传播，最近几年，Emotet经过若干个版本的迭代之后，分发渠道越来越规范化，组织化，体系化：通过商贸信，漏洞，或者伪装成正规软件并上传到第三方下载站诱导用户下载等等，代码功能也发生了重大的变化，从原来的银行木马变成了恶意软件分发商，通过内置的RSA公钥从C&C服务器下载其他的恶意软件如PandaBanker、TrickBot银行木马或者Ryuk勒索病毒。同时受害者分布也从早期的欧美国家扩大到亚太地区。

如果你注意到最近收到的垃圾邮件中有知道你的真实姓名或者引用了你过去通信过的真实邮件地址， 这可能就是 Emotet 造成的。Emotet 是世界上成本最高，破坏性也最大的僵尸网络（botnet），它刚从将近四个月的中断中苏醒。

Emotet 所发送的垃圾邮件通常显示来自过去的联系人，并且邮件中会引用之前双方都参与过的邮件主题和内容。Emotet 通过搜索受感染计算机的联系人列表和邮件收件箱来获取这些信息，然后直接引用最近一封电子邮件的正文，并且添加恶意附件。结果：这样的恶意邮件对于邮件过滤程序和人类都难以辨别。引用上一封邮件正文的做法并不新鲜，Emotet 在今年6月短暂消失之前就用过相同的方法，但随着这次卷土重来，Emotet 更加依赖于这种技巧，本周 Emotet 所发送的25%的垃圾邮件都引用了用户之前的真实邮件正文，这个比例在4月时仅占8%。

为了更容易地发送垃圾邮件，Emotet 同样还窃取了发送邮件服务器的用户名与密码，这些密码随后被转移到 Emotet 控制服务器所指定的，作为垃圾邮件发射器的受感染计算机上。

Emotet 卷土重来所带回来的策略就是在邮件主题行中对被感染机器用户直呼其名，一旦用户打开邮件，附件中的文档会声称自从2019年9月20日后，用户必须要同意来自 Microsoft Word 的一项许可协议后才能阅读文档内容。而要做到这一点，用户必须通过点击启用内容的按钮，打开 Word 中的宏。

一旦 Office 宏被启用，Emotet 将从五个不同地点服务器中的一个下载可执行文件。这些可执行文件在被运行时，会启动一项服务在查找相同网络上的其它计算机。随后 Emotet 下载一个更新的二进制文件，如果地理位置或其它组织标准符合其条件，它则进一步获取 TrickBot。

      三、 影响范围

此僵尸网络影响范围广泛，请广大用户提高警惕，切勿轻易打开不明邮件。

      四、 处置建议

目前尚未发布关于Emotet僵尸网络的有效措施，临时措施：

1）请持续关注国内外厂商对Emotet僵尸网络的追踪和预警。

2）不要打开任何未知来源的电子邮件，尤其是不要打开附件。

      五、 参考链接

https://www.freebuf.com/column/215015.html