威胁告警:EMOTET恶意邮件攻击激增

2022-03-31 22:34:40 管理员 1137

网际思安麦赛安全实验室近期从各地蜜罐采集到大量EMOTET恶意邮件附件攻击,并监测到相关用户安全事件的增加。EMOTET攻击数量比2021年三月同期大幅度增长45%。请各个单位和企业注意,并及时采取专家建议的保护措施。


1. Emotet恶意威胁概述


恶意威胁名称:EMOTET恶意文档

恶意威胁类型:钓鱼邮件

威胁执行后果:远程控制;数据盗窃

恶意威胁级别

附件传播方式:1. Office办公文档的宏脚本;2. EXE可执行文档


2.  传播过程概述



图1. EMOTET传播过程


3.  威胁专家分析



  • 第一步,收到钓鱼邮件

员工会收到一封看似正常的邮件,邮件附件是正常的Word、 Excel、PPT文档。


  • 第二步,打开附件文档


当员工点击作为邮件附件的Office文档时,文档内容如下:

图2. EMOTET文档


  • 第三步,执行宏代码


与此同时,Office文档会提示宏命令执行风险警告。如果员工选择启用宏命令时,隐藏在Office宏中的VBA代码将被执行:


图3. 宏脚本中的VBA代码


  • 第四步,下载并执行木马


恶意文档被打开并允许执行宏脚本后,一个cmd.exe的子进程会被生成并执行如下的PowerShell命令:

图4. 下载木马的PowerShell命令


该PowerShell命令会尝试与多条互联网恶意链接的连通性,并从中下载可执行的木马程序放到C:\ProgramData\目录,然后调用rundll32.exe来执行已下载的木马程序:

图5. rundll32.exe执行木马程序


  • 第五步,链接僵尸网络


木马程序激活后,会尝试连接全球僵尸网络的服务器,进一步下载对主机进行攻击的黑客程序。


4.  建议防范措施


作为专注于邮件安全16年的匠人,基于服务3000+企业的经验,网际思安全新推出的新一代邮件安全网关,可如下图所示从威胁攻击链的每一个环节进行防范,从而实现对企业和单位的全方位邮件安全防护,真正做到将EMOTET恶意威胁拒之门外:

图6. MailSec多层次检测EMOTET威胁


首先,从网络收到邮件流量后,MailSec邮件安全网关从流量的连接层到应用层,进行多层次全面检测。综合使用包括RBL、SPF、DKIM、DMARK、内容检测、意图分析、URL解析等技术对流量进行深度检测,确保员工不会接收到恶意钓鱼邮件。

其次,MailSec邮件安全网关深度集成多重杀毒引擎,其中包括了世界级的杀毒头部品牌。通过全球病毒库的实时更新,和各类高级杀毒模块的交叉使用,确保构建出一个无法逃逸的病毒墙,彻底保证在恶意附件到达员工计算机之前被检测到。

另外,为了防止未知威胁(0-day攻击)从多重杀毒网络中逃逸,MailSec邮件安全网关采用了邮件沙箱技术,构建虚拟机模拟员工办公环境,并在虚拟机中模拟员工打开附件文档的操作,检测是否会触发恶意风险行为,从而准确判断一个附件文档是否为恶意攻击。通过动态检测技术(沙箱)与静态检测技术(病毒引擎)的结合,可对已知和未知威胁进行全面发现。


与此同时,网际思安构建了国内首个邮件安全威胁情报中心。麦赛安全实验室通过正在建设的遍布全球的邮件蜜罐网络对恶意的邮件样本、邮箱地址、URL、IP等进行检测和搜集,并与国内及全球专业机构进行情报互助交换,进一步丰富威胁情报数据的质量和覆盖率。MailSec新一代邮件安全网关可与威胁情报平台进一步联动,从而极大提高网关的检测能力和快速响应能力。


图7. MailSec多层次威胁文件检测



关于MailSec Lab


北京网际思安科技有限公司(MailSec.cn)麦赛安全实验室(MailSec Lab)专注于邮件安全领域的威胁情报及创新性技术研究工作。MailSec Lab依托于网际思安在邮件安全领域16年积累的丰富的产品研发与技术服务经验,汇集了一批10年+网络安全领域工作经验的行业专家,将积极开展全球电子邮件恶意威胁情报的发现、采集、分析与预警、响应等工作,并定期发布邮件安全领域的威胁趋势及邮件安全事件的深度分析报告;MailSec Lab还将结合企业数字化转型的时代背景,积极从事邮件系统安全防护、邮件数据安全治理、邮件数据价值保护、邮件安全应用与企业IT信息化深度融合等创新性技术研究。

麦赛安全实验室(MailSec Lab)设立初心是服务于网际思安“安邮天下、畅邮未来“的企业愿景,服务于网际思安“为邮件安全应用赋能、为用户建设最佳电子邮安全保障体系”的企业使命,麦赛安全实验室(MailSec Lab)愿意与国际和国内所有志同道合的信息安全组织机构、友商共同携手,积极广泛开展威胁情报互换、技术研究等合作,共同构建起坚实的邮件安全威胁防护体系。欢迎生态合作伙伴联系北京网际思安科技:400-099-6608。