恶意软件Emotet卷土重来滥用.LNK文件进行攻击,你只需要一项技术就能有效保护组织
Emotet 被认为是目前最普遍、最具破坏性和修复成本最高的恶意软件 (1)。 它主要通过包含恶意连结或受感染文件的网络钓鱼电子邮件进行传播。 一旦受害者下载文件或点击连接,附加的恶意软件就会自动下载到他们的设备上,然后在企业的网络中不断地复制、扩散。
尽管由于国际执法和司法当局(1)的推动,它于2021年1月被大规模删除,但Emotet继续蓬勃发展,并以更复杂的技巧传播恶意软件。其中一种策略利用Windows快捷方式檔(.LNK)包含PowerShell命令,用于在受害者的设备上下载Emotet有效payload,我们在上一篇文章上中对此进行了分析。恶意软件作者进行了此调整,以规避 Microsoft 启动的 VBA 保护。
2022年4月,一项新的Emotet活动滥用压缩方式的LNK档被发现。在这篇文章中,我们分析了这个媒介,并演示如何使用OPSWAT MetaDefender来防止这些类型的恶意软件。
Emotet 传播链
Emotet 殭尸网络运营商通过垃圾邮件开始攻击,该垃圾邮件包含受密码保护的恶意 zip 文件,其中包含嵌入的快捷方式连结档 (.LNK)。他们滥用快捷方式档,因为它很难区分。该文件伪装成带有图示的文件文件,默认情况下,扩展名在 Windows 中不显示。
在受害者提取 zip 档并执行 .LNK档,它会在其设备上的临时文件夹中删除有害的Microsoft VBScript(Visual Basic Script)。
这个被删除的 VBScript 执行后会从远程服务器下载 Emotet playload。 一旦此二进制程序文件文件被下载后,它会将文件保存到 Windows 的临时目录并使用 regsvr32.exe 执行它。 一旦被感染,Emotet 会自我复制以传播到网络中的其他计算机上。
如何防止 Emotet 和类似的进阶攻击
全球政府机构和网络安全专家提供了许多建议和指导,以帮助用户识别和防御复杂的 Emotet 活动 (2),例如:
- 不要打开可疑的电子邮件附件或点击电子邮件内文中的可疑连结。
- 确保您的员工经过充分培训,能够识别可疑的电子邮件链接和附件
- 使您的操作系统、应用程序和安全软件保持最新
借助 OPSWAT Email Gateway Security 和 OPSWAT MetaDefender Core,您可以轻松全面地保护您的组织免受 Emotet 以及其他进阶具规避性的威胁。 我们市场领先的 Deep CDR(内容清洗和重建)禁用隐藏在文件中的已知和未知威胁。 根据我们的零信任理念,我们假设进入您网络的所有文件都是恶意的,因此我们会在每个文件到达您的用户之前对其进行扫描、清理和重建。 隐藏在文件中的所有活动内容都将被中和或删除,确保为您的组织提供无威胁的环境。
当前的 Emotet 威胁如何被阻止的状况如下:
- OPSWAT Email Gateway Security 隔离受密码保护的附件。
- 要下载附件,收件人需要向隔离系统提供文件密码。
- MetaDefender Core 使用我们称为 Metascan 的多重扫描解决方案扫描文件以查找已知恶意软件。 如下图所示,11/16 引擎成功检测到威胁。
- MetaDefender Core 提取附件,并使用 Deep CDR 引擎递归清理每个嵌套档。下面的结果显示找到并删除了对象。在清理过程中,Deep CDR 将 .LNK 文件的恶意命令替换为 dummy.txt 以消除威胁。
- Email Gateway Security将带有无威胁附件的电子邮件释放给用户。以下是清理后文件的扫描结果。未检测到威胁。
- 用户现在可以在他们的机器上解压缩附件并生成 LNK 文件,而不必担心任何安全问题。 即使用户打开 LNK 文件,也不会下载到恶意软件,因为 LNK 文件的恶意命令已经被替换。
了解有关 OPSWAT Deep CDR 的更多信息或与我们联系了解最佳网络安全解决方案,以保护您的公司网络和用户免受危险和复杂的网络攻击。
参照
(1) CyberNews. 2022. 'World’s most dangerous malware' Emotet disrupted. [online] Available at: <'World’s most dangerous malware' Emotet disrupted>; [Accessed 9 June 2022].
(2) Ipa.go.jp. 2022. 「Emotet(エモテット)」と呼ばれるウイルスへの感染を狙うメールについて:IPA 独立行政法人 情报处理推进机构. [online] Available at: <「Emotet(エモテット)」と呼ばれるウイルスへの感染を狙うメールについて:IPA 独立行政法人 情報処理推進機構>; [Accessed 8 June 2022].
恶意软件Emotet卷土重来滥用.LNK文件进行攻击,你只需要一项技术就能有效保护组织相关推荐
- 记一次对恶意LNK文件的分析
恶意LNK(快捷方式)文件常常是电子调查取证的重点.从攻击者的角度来说,一个很小容量的文件既可直接进行各种攻击,又可引入其他恶意软件:从防御者的角度来说,其内含的信息对于攻击后溯源分析有很大的用处.对 ...
- [译] APT分析报告:04.Kraken - 新型无文件APT攻击利用Windows错误报告服务逃避检测
这是作者新开的一个专栏,主要翻译国外知名的安全厂商APT报告文章,了解它们的安全技术,学习它们溯源APT组织的方法,希望对您有所帮助.前文分享了APT组织Fin7 / Carbanak的Tirion恶 ...
- php远程文件包含攻击,利用SMB共享来绕过php远程文件包含的限制
在这篇博文中,我将为大家演示如何利用PHP应用中的远程文件包含漏洞的技术.我们将绕过php远程文件包含的限制,并执行RFI的利用,即使PHP环境被配置为不包含来自远程HTTP/FTP URL的文件. ...
- linux运行lnk,LNK 文件扩展名: 它是什么以及如何打开它?
LNK 问题的来源 打开 LNK 文件的麻烦 Microsoft Windows 不在 尝试打开 LNK 文件时,您收到错误 "无法打开 LNK 文件类型". 通常情况下,这意味着 ...
- linux中删除.lnk文件,LNK 文件扩展名: 它是什么以及如何打开它?
LNK 问题的来源 打开 LNK 文件的麻烦 Microsoft Windows 不在 尝试打开 LNK 文件时,您收到错误 "无法打开 LNK 文件类型". 通常情况下,这意味着 ...
- linux编辑lnk文件,如何打开和编辑Windows .lnk快捷方式文件? | MOS86
大多数人永远不会需要打开.lnk文件进行编辑,当有必要或需要的时候可能会有极少的情况.但是如何打开和编辑快捷方式文件?今天 今天的问题 问题 SuperUser读者Jez想知道如何打开.lnk文件查看 ...
- linux获取lnk文件的源目标路径,通过快捷方式lnk获得文件真实路径
通过快捷方式.lnk获得文件真实路径 前提 最近开发资源管理,需要预先上传大量资源,负责整理资源的同学因为空间不足,直接用快捷键方式整理视频资源OTZ,所以只能想办法通过.lnk文件获得文件的真实地址 ...
- 通过LNK文件(快捷方式)解析出目标文件的路径
转载自:https://blog.csdn.net/yoie01/article/details/8688686 尼玛的~网上找了一堆资料都是有问题的代码,各种转发,错的东西传来传去,误人子弟!!! ...
- 记录QFileInfo::size()对.lnk文件获取大小出错的一个坑
Qt文档中说到,在Windows系统下,对.lnk获取大小得到的是.lnk文件自身的大小,而不是其链接目标的大小. 但是,实际程序获取到的却是其链接目标的大小. 那么,如何获取.lnk文件本身的大小呢 ...
最新文章
- How to consume AIF service(即WCF service) in SSIS project
- 基础三:控制执行流程
- 谈谈你的GC调优思路?
- 紫光物联linux登录账号,紫光展锐打造操作系统生态,赋能万物互联智能时代
- 14工厂方法模式(Factory Method)
- mysql 四叉树的应用_游戏算法(2):查找优化之四叉树的应用
- Scrapy读取设置文件(settings.py)
- HOOK使用:全局键盘钩子
- FPGA中亚稳态相关问题及跨时钟域处理
- rabbitmq的exclusive 排他队列
- Cmake传入项目版本号
- 如何卸载Win10关键更新(右键不显示卸载)
- Filament旋转3D文件
- Stack Overflow简单介绍
- 最新在Anaconda环境下安装pytorch以及cuda!!!
- pytorch之词嵌入(三)
- R语言环境及平台配置
- C语言三角分解非奇异矩阵为L、U矩阵
- 安装OBS搭建录屏和直播间遇到的问题及处理解决(版本24.0.3)汇总
- Android 微博水印的制作