全球最大僵尸网络自毁火绒起底Emotet与安全软件对抗全过程

2022-2-27 12:10| 发布者: admin| 查看: 306| 评论: 0|原作者: 火绒企业安全

摘要: 了解全球最大僵尸网络Emotet的自毁过程，以及火绒等安全软件如何与其对抗的详细全过程。

点击上方蓝字关注我们

近日，僵尸网络Emotet终于“自我毁灭”。这个自2014年出现的病毒，当时还是一个仅用于窃取财物数据的银行木马，在7年的时间里，演变成一个被全球通缉的僵尸网络，于今年1月被欧洲刑警组织捣毁，其“自毁模块”也于4月25日已生效。

事实是，近几年来，Emotet通过不断更换外层混淆器，调整自身的代码逻辑和更新C&C服务器，疯狂的与安全软件进行对抗。仅在去年7月，Emotet通过传播钓鱼邮件窃取银行账户并在目标网络内部传播，短时间内袭击了全球5％的企业和组织，破坏力极其之大。美国国土安全部曾公开表示：“Emotet对州、地方、地区各级政府、私有部门和公共部门产生影响”。

对此，火绒工程师深度分析并起底Emotet与安全软件的对抗过程，并发布专业分析报告，以此作为重要参考依据，应对未来出现的其他病毒家族样本。报告还原了Emotet具体执行流程；分析梳理了Emotet通过更换外层混淆器和内层恶意代码，在各阶段对抗安全软件的手段；同时还深入剖析了Emotet同源样本——Cridex。欢迎点击下方链接查看详细的报告内容。

查杀图

尽管在全球范围内，Emotet将成为过去式，但是依旧有其他僵尸网络家族层出不穷，给社会带来了极大损失和影响。黑客利用僵尸程序，感染庞大的网络平台，并有针对性的发起各式各样的攻击行为，或造成大量机密和个人隐私泄漏，或导致整个基础信息网络瘫痪，甚至从事网络欺诈等其他违法犯罪活动。

僵尸网络形成过程图

根据火绒处理过的有关僵尸网络的案例，除了Emotet之外，还有Qakbot，Trickbot等病毒攻击的情况，由于僵尸网络攻击往往呈现大面积攻击态势，且擅于利用横向渗透等方式造成更大的影响，对企业用户危害更大。为此，火绒在最近公测的企业版2.0中上线了【僵尸网络防护】功能，可以帮助用户拦截“僵尸程序”执行远程命令，从而阻止网络黑客对终端设备的控制。

此外，火绒企业版2.0新增【应用加固】、【Web扫描】、【暴破攻击防护】、【Web服务保护】等关键性防护功能，从而与原有的企业防护功能共同构建集威胁检测、洞察发现、系统保护、病毒查杀于一体的网络安全防御纵深，帮助企业避免遭受僵尸网络、勒索病毒、黑客攻击等常见网络威胁。