打击 Emotet：来自一线的经验

■ 潘自强

Emotet是一种恶意软件，专为逃避侦测、深入宿主和自我繁殖而设计。Emotet会随着恶意垃圾邮件活动出现，并为任何愿意付钱的恶意软件提供服务。今年到目前为止，它与TrickBot和QBot银行木马程序脱不了关系，也与BitPaymer有关(一种复杂的勒索软件，勒索高达六位数的金额)。

Emotet是一种恶意软件，专为逃避侦测、深入宿主和自我繁殖而设计。由于不断更新、模组化的多形态设计，以及可经由网络部署大量不同技术来进行蠕虫攻击的能力，该软件很快成为一个动态且不断变形让系统管理员及安全软件疲于奔命的目标。

在它出现五年以来，Emotet已经从一种木马程序演变成一种非常复杂且能广泛部署其他恶意软件的平台，特别是其他类型的银行木马程序。

Emotet会随着恶意垃圾邮件活动出现，并为任何愿意付钱的恶意软件提供服务。今年到目前为止，它与TrickBot和QBot银行木马程序脱不了关系，也与BitPaymer有关(一种复杂的勒索软件，勒索高达六位数的金额)。

2018年 7月，USCERT(美国电脑应急应变小组)发布警报，将Emotet描述为：

…对SLTT政府机构(州、地方、种族和地区)最耗成本和最具破坏性的恶意软件。其具有类似蠕虫的特征，导致整个网络内的感染迅速蔓延，难以对抗。Emotet感染致使SLTT政府机构必须花费多达100万美元补救每一次的事件。

Emotet仍然是一种非常强大且扩散中的威胁。对系统管理员和威胁处理专家来说，它是最困难的挑战之一。

为此，全球恶意软件专家Peter Mackenzie提供了以下打击Emotet的建议：

1.保护所有的电脑

预防胜于治疗。最佳预防措施之一，就是确保网络上没有任何不安全的电脑。

当组织受到Emotet的攻击时，感染来源通常就是一部网络上未受保护的电脑。客户通常不知道有这些设备存在，更不用说躲藏在其中的恶意软件。

使用免费的网络扫描工具取得网络上每一个作用中装置的列表，并将这份列表与安全管理主控台中的名单进行比对。如果发现任何未知装置，请尽快为其安装修补程序并执行最新的端点保护。

未知且不安全的电脑，也是Emotet躲藏和适应的温床，使情况雪上加霜。

虽然其他电脑上的安全软件会将它“困”在不安全的电脑上，但它会一直试图挣脱。而且因为它是多形态的，所以更新非常频繁(有时一天多次)，此外它的有效装载非常灵活，会不断制造新的挑战。

这些动作进行的时间越久，风险越大。更新或改变装载后的Emotet会在用户的防护中找到一个缝隙，然后突破并通过用户的网络继续扩散。

用户无法预测会出现什么缝隙——也许是一个新的漏洞利用，或者是暂时将Emotet躲开基于签名的反病毒的变种——所以深度防御至关重要。如深度学习、漏洞利用防御和EDR等进阶防恶意软件功能，可提供控制爆发和寻找威胁来源的显著优势。

2.尽早且频繁地修补

Emotet是其他恶意软件的门户，因此遏阻Emotet不只是能防御Emotet，还阻挡掉它带来的任何威胁。既然无法知道什么威胁会随它而来，只能采取最佳的预防措施。在这份预防措施的清单 (是一份很长的清单)中，最优先的项目是修补已知的漏洞。

听起来像是天底下最不稀奇的安全建议，但它却是清单中的必要项目。在现实环境中，未修补的软件将使Emotet疫情更加严重，并且难以控制。

其运作原理可参考EternalBlue，以及 2017年利用SMB漏洞而声名大噪的 WannaCry和 NotPetya。令人难以置信的是，尽管新闻媒体大肆报道，而且微软已经发布安全公告MS17-010和修补程序差不多两年了，恶意软件仍然成功通过漏洞利用大肆赚钱。其中一个恶意软件是TrickBot，这是Emotet最常夹带的装载。

尚未将修补作业视为优先项目的读者，请不要成为报导中受害者。

3. 默 认 阻 挡PowerShell

Emotet通常以恶意电子邮件附件的形式出现。攻击大多是如此开始：使用者收到附带Word文件的电子邮件。

1.使用者开启Word文件。

2.并被诱骗执行巨集。

3.巨集会触发下载Emotet的 PowerShell。

4.Emotet感染开始了。

显然，使用者一定做错了一些事才让病毒得手，所以最后的建议，就是请“训练员工不要打开有问题的电子邮件或执行巨集”。虽然这项提醒是老生常谈，但它是一个好主意，因为只要失败一次就前功尽弃。

虽然也有其他方式可以减缓通过电子邮件传播的Emotet，但系统管理员最简单的作法就是预设阻止使用者使用PowerShell。

我们并不是要阻止所有人(有些人需要PowerShell)，我们只是假设没有人需要它(包括系统管理员)，然后只为真正可证明有需要的人解锁。

当我们说阻挡时，我们的意思是阻碍，而不是设定一个禁用它的政策。因为政策可以被绕过。PowerShell应该被列入黑名单。