来自 资讯 2022-05-24 10:50 的文章

防ddos_高防御虚拟主机_3天试用

防ddos_高防御虚拟主机_3天试用

Emotet再次出现,成功防御ddos,这一次,有更多的故事

运行时间最长、更致命的恶意软件再次出现在现场。名为Emotet,它最初是一个简单的银行特洛伊木马,由一个名为TA542、粉蚧和木乃伊蜘蛛的黑客组织于2014年创建。研究人员跟踪了它的历史,如Proofpoint的时间线:

如你所见,信用:Proofpoint,它经过了多次增强和改进。到2017年,其创造者已将其攻击扩展到传送各种银行特洛伊木马(包括Qakbot和TrickBot)和窃取浏览器存储的密码。受损的PC将被招募来帮助形成僵尸网络,然后用于发起额外的网络钓鱼攻击。2019年6月,溴元素公司发布了一份报告,及时追踪了溴元素的演变过程。该报告记录了Emotet的所有者或运营商如何将他们的策略从窃取大量数据转变为将其恶意软件作为服务出售给其他人进行交易。

使Emotet感兴趣的是其精心制作的混淆方法。它是早期恶意软件样本之一,部署多态代码以改变其大小和附件,这意味着它将改变其形式和过程以逃避检测。它还使用了多状态安装程序和加密通信通道。多年来,它有一些非常聪明的诱饵,比如发送包含URL或附件的垃圾邮件,并声称发送一个文档来回复现有的电子邮件线程。IBM的X-Force发现了一种变异,ddos防御额外带宽,它使用新冠病毒-19作为其网络钓鱼诱饵的一部分。

随着时间的推移,Emotet已经扩展到包括三种不同的僵尸网络基础设施,再次使其更难抵御。为了使他们的网络钓鱼诱饵更加可信,他们将翻译他们的信息主题、文件名和内容,以匹配目标的目的地国家,不仅制作英文版本,还制作德文、中文和西班牙文版本。今年早些时候,研究人员发现了一个新模块,该模块允许恶意软件找到附近WiFi网络的开放(或容易猜到的密码)进行感染(见下图。)

信用:BinaryDefense

我们最近在2018年末介绍了Emotet。现在,它似乎重新投入使用。今年早些时候,它连续五天发送了近200万封网络钓鱼电子邮件。7月份,哪些无法防御ddos,观察到另一种变化,即至少发送了250000个钓鱼诱饵,主要针对美国和英国用户。Malwarebytes有使用过的电子邮件样本和更多操作细节。它似乎使用了一个新的单词模板来表示其受感染的附件,但除此之外没有什么其他内容。

鉴于其悠久的历史——正如恶意软件家族所经历的那样——防御者联合起来试图阻止其传播并不奇怪。这群大约二十几名白帽黑客的第一次努力称自己为Cryptolaemus。该小组由来自竞争对手的安全研究人员、IT专业人员和其他恶意软件猎手组成。他们定期在松弛的电报渠道上举行虚拟会议,以分配具体任务并分享最佳实践。这一努力源于一次悲惨的经历,三年前,一名成员受到恶意软件的攻击。

他们每天都在网站上发布数百个Emotet命令服务器IP地址、典型的钓鱼主题行和文件哈希的通知(它们的名字来源于一种以粉蚧为食的甲虫,这是Emotet开发小组的名字之一。)每日帖子的结尾还包括新闻注释和其他对病毒猎手有用的信息。向下滚动此数据转储显示Emotet仍然非常活跃和有效。"我们已经看到Emotet的创建者在发布我们的报告后几分钟内改变了策略,"一名成员说,

似乎这还不够,不过,一名新的义务警员已经被发现。这个人已经用名人的无害动画礼物毒害了大约四分之一的Emotet下载文件。这可以防止恶意软件感染任何端点,首次出现在7月底。上面链接的ZDnet帖子将引导您了解义务警员是如何修改Emotet恶意软件并进行替换的。该义务警员的身份仍然未知,尽管一些研究人员推测它可能是恶意软件的竞争对手。

到目前为止,大多数流行的端点保护产品都可以识别和阻止Emotet,包括Avast的防病毒工具。这并不意味着Emotet的开发人员不努力想办法解决这个问题——如果你审视Emotet的历史,你可以发现它在试图隐藏中的演变。

美国CISA在2020年1月发布了一份警报,其中描述了你可以用来试图避开其邪恶意图的各种策略。这包括添加组策略对象和防火墙规则来阻止它,以及适当的网络分段,ddos防御网站,并在公司域上使用邮件身份验证技术,如DMARC和SPF。考虑到查找附近WiFi接入点的最新发展,cf防御cc,您应该确保已更改自己无线网络的默认设置,并使用足够复杂的密码。如果您可以禁用Word和其他Office宏以从电子邮件附件自动执行,这也会有所帮助,这是一种常见的恶意软件伎俩,并非Emotet独有。你可以在谷歌文档中安全地打开这些文档作为替代。

从二月份开始,Binary Defense开发了两个版本的killswitch,利用Emotet代码中发现的不同弱点。他们与各种安全研究人员私下分享,以尽可能长时间地阻止Emotet开发人员了解它。但他们最终找到了答案,并在本月早些时候更新了代码,以消除killswitch。该链接还介绍了有关恶意软件开发人员在今年早些时候如何操作的其他见解。