ملخص
يعتبر Emotet أكثر البرامج الضارة شيوعا وأكثرها تدميرا وتكلفة في المعالجة حاليا (1). ينتشر بشكل أساسي من خلال رسائل البريد الإلكتروني الاحتيالية التي تحتوي على رابط ضار أو مستند متضرر. بمجرد تنزيل الضحايا للملف أو النقر على الرابط ، يتم تنزيل برامج ضارة إضافية تلقائيا على أجهزتهم ثم تتضاعف داخل شبكة المؤسسة.
على الرغم من إزالتها الهائلة في يناير 2021 بفضل سلطات إنفاذ القانون والسلطات القضائية الدولية (1) ، تواصل Emotet الازدهار وتثبيت البرامج الضارة بحيل أكثر تطورا. يستخدم أحد التكتيكات ملف اختصار Windows (. LNK) التي تحتوي على أوامر PowerShell لتنزيل حمولة Emotet على جهاز الضحايا التي قمنا بتحليلها في مدونتنا الأخيرة. قام مؤلف التهديد بإجراء هذا التعديل استجابة لحماية VBA التي أطلقتها Microsoft.
في أبريل 2022 ، حملة Emotet جديدة تسيء استخدام zip . تم رصد ملفات LNK في البرية. في هذه المدونة ، نقوم بتحليل هذا المتجه ونوضح كيف يمكنك منع هذه الأنواع من البرامج الضارة باستخدام OPSWAT MetaDefender.
سلسلة عدوى Emotet
يبدأ مشغلو Emotet botnet الهجوم برسالة بريد إلكتروني غير مرغوب فيها تحتوي على ملف مضغوط ضار محمي بكلمة مرور مع ملف ارتباط اختصار مضمن (. LNK). يسيئون استخدام ملف الاختصار لأنه من الصعب التمييز. يتم إخفاء الملف كملف مستند برمز ولا يتم عرض الملحق افتراضيا في Windows.
مباشرة بعد الضحايا استخراج ملف مضغوط وتنفيذ ملف . LNK ، فإنه يسقط Microsoft VBScript ضار (Visual Basic Script) في المجلد المؤقت على أجهزتهم.
يقوم VBScript الذي تم إسقاطه بتنفيذ وتنزيل حمولة Emotet من خادم بعيد. بمجرد تنزيل الملف الثنائي ، فإنه يحفظ الملف في دليل Windows المؤقت وينفذه باستخدام regsvr32.exe. بمجرد الإصابة ، يكرر Emotet نفسه لينتشر إلى أجهزة الكمبيوتر الأخرى في الشبكة.
كيفية منع Emotet والهجمات المتقدمة المماثلة
هناك الكثير من التوصيات والتوجيهات من الوكالات الحكومية وخبراء الأمن السيبراني في جميع أنحاء العالم لمساعدة المستخدمين على التعرف على حملات Emotet المتطورة والدفاع عنها (2) ، مثل:
• لا تفتح مرفقات البريد الإلكتروني المشكوك فيها أو تنقر على الروابط المشبوهة في نص البريد الإلكتروني.
• تأكد من أن موظفيك مدربون بشكل كاف لتحديد روابط البريد الإلكتروني والمرفقات المشبوهة
• حافظ على تحديث نظام التشغيل والتطبيقات وبرامج الأمان.
It is easy for you to comprehensively protect your organization from Emotet as well as other advanced evasive threats with OPSWAT Email Gateway Security and OPSWAT MetaDefender Core. Our market-leading Deep CDR™ Technology (Content Disarm and Reconstruction) disables both known and unknown threats concealed inside files. Per our zero-trust philosophy, we assume all files entering your network are malicious, so we scan, sanitize, and rebuild every file before it reaches your users. All active content concealed in files is neutralized or removed ensuring a threat-free environment for your organization.
يتم منع تهديد Emotet الحالي على النحو التالي:
1.OPSWAT Email Gateway Security عزل المرفقات المحمية بكلمة مرور.
2. لتنزيل المرفق ، يحتاج المستلمون إلى توفير كلمة مرور الملف للنظام المعزول.
3.MetaDefender Core يفحص الملف بحثا عن البرامج الضارة المعروفة باستخدام حل المسح المتعدد الخاص بنا المسمى Metascan. كما هو موضح أدناه ، نجحت محركات 11/16 في اكتشاف التهديد.
4. MetaDefender Core extracts the attachment and recursively sanitizes every nested file using the Deep CDR™ Technology engine. The result below shows that an object was found and removed.
During the sanitization process, Deep CDR™ Technology replaced the malicious command of the .LNK file with dummy.txt to neutralize the threat.
5.Email Gateway Security يحرر البريد الإلكتروني مع مرفق خال من التهديدات للمستخدمين. ها هي نتيجة فحص الملف بعد التعقيم. لم يتم الكشف عن أي تهديد.
6. يمكن للمستخدمين الآن فك ضغط المرفق على أجهزتهم وإنشاء ملف LNK دون القلق بشأن أي مشكلات تتعلق بالسلامة. حتى إذا فتح المستخدمون ملف LNK ، فلن يتم تنزيل أي برامج ضارة لأنه يتم استبدال الأمر الضار لملف LNK.
Learn more about Deep CDR™ Technology or get in touch with us to discover the best security solutions to protect your corporate network and users from dangerous and complex cyberattacks.
مرجع
(1) CyberNews. 2022. 'World’s most dangerous malware' Emotet disrupted. [online] Available at: <https://cybernews.com/news/worlds-most-dangerous-malware-emotet-disrupted>; [Accessed 9 June 2022].
(2) Ipa.go.jp. 2022. 「Emotet(エモテット)」と呼ばれるウイルスへの感染を狙うメールについて:IPA 独立行政法人 情報処理推進機構. [online] Available at: <https://www.ipa.go.jp/security/announce/20191202.html#L20%3E>; [Accessed 8 June 2022].
