ملخص
يعتبر Emotet أكثر البرامج الضارة شيوعا وأكثرها تدميرا وتكلفة في المعالجة حاليا (1). ينتشر بشكل أساسي من خلال رسائل البريد الإلكتروني الاحتيالية التي تحتوي على رابط ضار أو مستند متضرر. بمجرد تنزيل الضحايا للملف أو النقر على الرابط ، يتم تنزيل برامج ضارة إضافية تلقائيا على أجهزتهم ثم تتضاعف داخل شبكة المؤسسة.
على الرغم من إزالتها الهائلة في يناير 2021 بفضل سلطات إنفاذ القانون والسلطات القضائية الدولية (1) ، تواصل Emotet الازدهار وتثبيت البرامج الضارة بحيل أكثر تطورا. يستخدم أحد التكتيكات ملف اختصار Windows (. LNK) التي تحتوي على أوامر PowerShell لتنزيل حمولة Emotet على جهاز الضحايا التي قمنا بتحليلها في مدونتنا الأخيرة. قام مؤلف التهديد بإجراء هذا التعديل استجابة لحماية VBA التي أطلقتها Microsoft.
في أبريل 2022 ، حملة Emotet جديدة تسيء استخدام zip . تم رصد ملفات LNK في البرية. في هذه المدونة ، نقوم بتحليل هذا المتجه ونوضح كيف يمكنك منع هذه الأنواع من البرامج الضارة باستخدام OPSWAT MetaDefender.
سلسلة عدوى Emotet
يبدأ مشغلو Emotet botnet الهجوم برسالة بريد إلكتروني غير مرغوب فيها تحتوي على ملف مضغوط ضار محمي بكلمة مرور مع ملف ارتباط اختصار مضمن (. LNK). يسيئون استخدام ملف الاختصار لأنه من الصعب التمييز. يتم إخفاء الملف كملف مستند برمز ولا يتم عرض الملحق افتراضيا في Windows.
مباشرة بعد الضحايا استخراج ملف مضغوط وتنفيذ ملف . LNK ، فإنه يسقط Microsoft VBScript ضار (Visual Basic Script) في المجلد المؤقت على أجهزتهم.
يقوم VBScript الذي تم إسقاطه بتنفيذ وتنزيل حمولة Emotet من خادم بعيد. بمجرد تنزيل الملف الثنائي ، فإنه يحفظ الملف في دليل Windows المؤقت وينفذه باستخدام regsvr32.exe. بمجرد الإصابة ، يكرر Emotet نفسه لينتشر إلى أجهزة الكمبيوتر الأخرى في الشبكة.
كيفية منع Emotet والهجمات المتقدمة المماثلة
هناك الكثير من التوصيات والتوجيهات من الوكالات الحكومية وخبراء الأمن السيبراني في جميع أنحاء العالم لمساعدة المستخدمين على التعرف على حملات Emotet المتطورة والدفاع عنها (2) ، مثل:
• لا تفتح مرفقات البريد الإلكتروني المشكوك فيها أو تنقر على الروابط المشبوهة في نص البريد الإلكتروني.
• تأكد من أن موظفيك مدربون بشكل كاف لتحديد روابط البريد الإلكتروني والمرفقات المشبوهة
• حافظ على تحديث نظام التشغيل والتطبيقات وبرامج الأمان.
من السهل عليك حماية مؤسستك بشكل شامل من فيروس «إيموتيت» وكذلك من التهديدات المتطورة الأخرى التي تتسم بالقدرة على التهرب من خلال OPSWAT Email Gateway Security و OPSWAT MetaDefender Core. تعمل تقنية Deep CDR™ (إبطال مفعول المحتوى وإعادة بنائه) الرائدة في السوق على تعطيل التهديدات المعروفة وغير المعروفة المخبأة داخل الملفات. وفقًا لفلسفتنا القائمة على عدم الثقة، نفترض أن جميع الملفات التي تدخل شبكتك ضارة، لذلك نقوم بفحص كل ملف وتطهيره وإعادة بنائه قبل وصوله إلى المستخدمين. يتم تحييد أو إزالة جميع المحتويات النشطة المخبأة في الملفات، مما يضمن بيئة خالية من التهديدات لمؤسستك.
يتم منع تهديد Emotet الحالي على النحو التالي:
1.OPSWAT Email Gateway Security عزل المرفقات المحمية بكلمة مرور.
2. لتنزيل المرفق ، يحتاج المستلمون إلى توفير كلمة مرور الملف للنظام المعزول.
3.MetaDefender Core يفحص الملف بحثا عن البرامج الضارة المعروفة باستخدام حل المسح المتعدد الخاص بنا المسمى Metascan. كما هو موضح أدناه ، نجحت محركات 11/16 في اكتشاف التهديد.
4. Core MetaDefender Core المرفق وتطهير كل ملف متداخل بشكل متكرر باستخدام محرك تقنية Deep CDR™. توضح النتيجة أدناه أنه تم العثور على كائن وإزالته.
خلال عملية التطهير، استبدلت تقنية Deep CDR™ الأمر الخبيث الموجود في ملف .LNK بملف dummy.txt لتحييد التهديد.
5.Email Gateway Security يحرر البريد الإلكتروني مع مرفق خال من التهديدات للمستخدمين. ها هي نتيجة فحص الملف بعد التعقيم. لم يتم الكشف عن أي تهديد.
6. يمكن للمستخدمين الآن فك ضغط المرفق على أجهزتهم وإنشاء ملف LNK دون القلق بشأن أي مشكلات تتعلق بالسلامة. حتى إذا فتح المستخدمون ملف LNK ، فلن يتم تنزيل أي برامج ضارة لأنه يتم استبدال الأمر الضار لملف LNK.
تعرف على المزيد حول تقنية Deep CDR™ أو تواصل معنا لاكتشاف أفضل حلول الأمنية حلول شبكة شركتك ومستخدميها من الهجمات الإلكترونية الخطيرة والمعقدة.
مرجع
(1) CyberNews. 2022. 'World’s most dangerous malware' Emotet disrupted. [online] Available at: <https://cybernews.com/news/worlds-most-dangerous-malware-emotet-disrupted>; [Accessed 9 June 2022].
(2) Ipa.go.jp. 2022. 「Emotet(エモテット)」と呼ばれるウイルスへの感染を狙うメールについて:IPA 独立行政法人 情報処理推進機構. [online] Available at: <https://www.ipa.go.jp/security/announce/20191202.html#L20%3E>; [Accessed 8 June 2022].
