10个月前被消灭的Emotet并没有死，它又卷土重来了！

（本文关键词：Emotet恶意软件 网络安全）

10个月前，通过多国联合执法行动，一款名为“Emotet”的恶意软件的基础设施被关闭。之后，Emotet的活动显著减少，曾一度销声匿迹。然而，最近多家安全公司相继曝出有关Emotet正在通过一款名为“TrickBot”的恶意软件复活的消息。

本文将带您了解Emotet从发展壮大，到毁灭，再到卷土重来的全过程，并揭秘其“不死”的真正原因。

图片来源于韩国安全新闻网站

发展篇：Emotet是如何发展壮大成为全球最大僵尸网络的？

Emotet是自2014 年首次出现以来十分活跃的一款恶意软件。据了解，其背后是一个名为TA542（又名Mummy Spider）的黑客组织。Emotet最初是一种银行木马病毒，2014年德国和奥地利银行的客户受到该木马病毒的影响，客户登录银行的凭证信息遭到窃取。在接下来的几年中，该恶意软件像计算机蠕虫病毒一样在全球范围内传播，一旦被感染就会试图渗透到网络中的其它计算机中。众所周知，Emotet会使用多种方法来骗过基本的防病毒程序并保持隐匿。

但随着不断地发展和演变，Emotet目前已经变成了传播其他恶意软件的下载器和僵尸网络。当Emotet的运营者意识到将Emotet租借给其他犯罪分子会更有利可图后，运营者似乎改变了他们的业务方向。

安全公司Proofpoint 的克里斯•道森（Chris Dawson）解释说：“从那时起，Emotet逐渐成为各种网络攻击的基础。也就是说，网络犯罪分子的攻击策略已经开始发生变化。首先使用Emotet进行渗透，然后再发动实际攻击，这已成为了基本模式。因此，在发生感染Emotet的地方，经常会发现其他窃取信息的恶意软件或勒索软件。”

在商业化的道路上，Emotet经历了多次升级，在网络空间上存在多个版本。最终，Emotet具备了模块结构，这使得Emotet更难被检测和阻止。 Emotet形成了一个巨大的僵尸网络，在全球各地设有数百个恶意服务器。这些服务器甚至具有不同的功能。比如，有的服务器负责将Emotet传播出去，不断加入新的感染设备；有的服务器负责管理现有感染设备；有的服务器专门用于租借给其他犯罪团伙等。运营商们更加积极地运营命令及控制（C&C）服务器，向不同版本发送必要的更新。在首次以多元化的 Emotet成功渗透后，运营者的主要业务项目是将安全的访问权限出售给其他犯罪分子。

对此，安全公司卡巴斯基的科特•鲍姆加特纳（Kurt Baumgartner）解释说：“对于网络犯罪者来说，最大的苦恼是‘首次渗透’，而Emotet运营者们很清楚这一点。可以说，当今是一个花钱就能购买各种武器的时代。然而，获得好武器和实际使用它们是完全不同的两个问题。特别是对于新手犯罪者来说，是Emotet帮助他们解决了这个难题，所以Emotet是非常具有威胁性的。”

Emotet主要的传播方式是通过钓鱼电子邮件传播。相关的电子邮件包含恶意链接或受感染的文档。如果您下载文档或打开链接，则其它恶意软件会自动下载到您的计算机上。这些电子邮件看起来非常真实，因此感染Emotet的受害者数量众多。据悉，世界各地受Emotet影响的计算机超过150万台，Emotet已成为过去六年全球规模最大最危险的僵尸网络

毁灭篇：多国联合执法捣毁Emotet僵尸网络

对于Emotet这个已经困扰互联网多年的僵尸网络，各国是深受其害，恨之入骨。根据美国国土安全部的估计，每次遭受Emotet感染，美国各州和地方政府都要花费超过100万美元进行清理。2018 年，德国菲尔斯滕费尔德布鲁克 （Fuerstenfeldbruck）医院在感染 Emotet后，不得不关闭 450 台计算机并从救援控制中心注销以控制感染。2019 年 9 月德国柏林高等法院受到Emotet病毒影响后，不得不彻底重建计算机系统。

尤其是Emotet从银行木马病毒演变为了投放工具，这意味着，该木马病毒成为传播其它各种类型的恶意软件和勒索软件的媒介。全球的网络诈骗者和网络不法分子将Emotet用于一切网络犯罪活动，从网络钓鱼活动到将臭名昭著的Ryuk勒索软件分发给受害者。正如欧洲刑警组织所说，“Emotet实际上充当了全球计算机网络入侵的主要后门。”

在此背景下，2021年1月26日，来自美国、英国、法国、德国、荷兰、立陶宛、加拿大和乌克兰等8个国家的执法机构对Emotet展开了一次代号为“瓢虫行动”的清剿行动。通过此次联合执法行动，关闭并拆除了多处Emotet的基础设施并逮捕了多名犯罪嫌疑人，给Emotet的基础设施和运营团队以沉重的打击，使Emotet基本处于瘫痪状态。

事后，欧洲刑警组织（Europol）在一份声明中表示，调查人员已获得了对Emotet基础设施的控制权，并计划从内部将其捣毁——向受感染的设备分发Emotet“自毁模块”，该模块会帮助受感染设备在2021年4月25日自动卸载Emotet分发的恶意软件。

归来篇：10个月后Emotet死灰复燃

在多国联合执法后的很长一段时间，曾牢牢占据使用最广泛恶意软件排名第一的 Emotet的活动显着减少，曾一度销声匿迹。全世界的安全行业人员为Emotet的查封和没有再次出现而兴高采烈。然而好景不长，近期研究人员发现，受Trickbot感染的设备开始释放Emotet样本，这是自2021年1月Emotet消失以来的第一次。这被分析为试图通过利用 Trickbot 的基础设施来恢复 Emotet。

Emotet恶意软件又回来了，并且这次比以前更危险。据安全公司CheckPoint透露，大约10个月前被执法机构国际合作取缔的Emotet，11月15日又开始重新出现。与10个月前的鼎盛时期相比，Emotet的活动量已恢复至50%的水平，目前正在通过TrickBot和恶意垃圾邮件进行传播。

Check point公司的威胁情报主管罗特姆•芬克斯坦（LotemFinkelstein）表示：“Trickbot进入Emotet渗透的地方，并且再次下载勒索软件负载。数以万计的组织和商家在感染了Emotet后成为勒索软件的受害者。从2018年到2020年，Emotet一直推动着勒索软件的成功。2021年底Emotet复活，预示着2022年勒索软件攻击将更加活跃。”

即使在国际合作严重破坏Emotet基础设施之后，运营商们也没有放弃他们的“业务”。相反，他们在潜逃期间反而升级了Emotet。研究人员发现，在之前的版本中，Emotet使用RSA的加密算法，而在最新版本中搭载了椭圆曲线加密算法（ECC）。这使得解密Emotet的通信内容变得更加困难。

伪装成 Adobe PDF 软件的假冒安装程序 （图片来源于韩国安全新闻网站）

另外，Emotet还采取了以恶意windows应用安装程序包冒充合法软件的形式进行传播的新策略。目前，Emotet正伪装成Adobe PDF软件的假冒安装程序进行传播。当您尝试通过第3方渠道而非正常途径获取软件时，您可能会有感染Emotet恶意软件的风险。这种新攻击策略利用的是搭载在Windows 10和Windows 11上的安装应用程序（App Installer）功能。此功能也是攻击者最近经常用来传播恶意软件的一种方法。

附有恶意文件的钓鱼邮件 （图片来源于韩国安全新闻网站）

当然，Emotet的另一个主要传播途径与以前一样，就是通过钓鱼电子邮件传播。近期（11月17日），韩国安全响应中心（ESRC）发现Emotet恶意软件已经恢复了活动。相关钓鱼电子邮件是以流行病防范创新联盟（CEPI）为幌子发送给公职人员（@korea.kr） 用户。电子邮件中并没有其他内容，只包含附件 zip 文件的名称和密码。

在所附的压缩文件中，附有一个包含恶意宏的word文件。如果您输入电子邮件中写入的密码并解压缩文件，然后运行 word 文件，则会显示一条消息，指出为保护文档无法进行预览，并提示用户单击“使用内容”按钮。

然而，即使用户按下内容使用按钮，从用户的角度看到的屏幕也是一样的，但与此同时其中包含的恶意宏已被启动。word文件中存在的恶意VBA宏被混淆处理，通过cmd运行powershell，通过7个URL中的可链接URL下载Emotet恶意代码。

Emotet先将下载的文件下载到C:\ProgramData文件夹中，然后在用户的AppData\Local文件夹下创建一个随机名称的文件夹并将下载文件移动至此。此外，它还会在运行注册表中注册，以便在重新启动时自动运行。

对此，安全专家建议不要阅读来源不明的电子邮件，也不要执行不熟悉的文档文件的宏。

除了Checkpoint公司之外，网络安全公司Deep Instinct和英特尔471（Intel 471）也相继发布了Emotet带着新功能回归的消息。英特尔471还发现，Emotet通过名为Epoch4和Epoch5的僵尸网络进行传播。以前，这些基础设施与Emotet并没有直接联系。一个名为“Cryptolaemus”的安全团队也跟踪了Emotet，并查明了它正在植入Cobalt Strike的Beacon模块的事实。这使攻击者可以直接访问受害者的网络，意味着Emotet勒索软件攻击可以更快、更直接地进行。

另外，对于目前Emotet的运营团队，Check point公司的罗特姆•芬克斯坦表示：“没有证据证明Emotet的运营团队已经更换。从目前所有情况来看，以前的运营团队再次出现了。即使新的运营团队是幕后主使，但可以肯定的是一部分是以前的运营团队成员。因为他们正确地找出了以前Emotet中存在不足的部分和可以被视为错误的部分，并进行了改进。这可以解释为，他们非常了解自己制造和使用的工具。”

揭秘篇：Emotet“不死”的原因

Emotet的复活再次证明，即使多个国家的执法机构同时采取围剿行动，使用关闭基础设施、逮捕运营人员、使用寻找并清除Emotet的软件等手段，受攻击的基础设施或恶意软件也可以重新复活。因为无论有多少国家参与行动，世界某一个角落的攻击基础设施都可能会被遗漏而能够完整保存下来。只要不是100%的清除，总有一天它会死灰复燃，这也是恶意软件的一个的特征。

图片来源于thehackernews网站

此外，Emotet之所以能够在如此短时间内复活，还要“归功于”它的亲密伙伴——Trickbot。Trickbot是2016 年首次出现的一种银行木马病毒。它具有模块化配置，可以根据攻击者的需要灵活扩展功能，因此它作为一种投放其他恶意软件的工具而广受欢迎。

2020年10月，微软和几个执法机构共同努力试图消灭Trickbot。当时，微软宣布已通过与世界各地的合作伙伴合作，成功地清除了Trickbot主要的攻击基础设施，它已无法造成新的损害或启动勒索软件。然而，仅仅过了4个月，Trickbot似乎又恢复了往日的力量，更是在2021年5月、6月和10月重新占据了最流行恶意软件家族中排行第一的位置。据悉在过去的11个月里Trickbot在全球范围内感染了超过14万个系统。

对此，罗特姆•芬克斯坦表示：“Emotet和Trickbot的关系就像针和线一样。彼此将对方植入受害者的系统中，从而达到自己的目的。毕竟，他们这种伙伴关系也是两者的商业模式。只要一方还活着，另一方就可以继续复活，因此我认为只有将两者全部消灭，才能消除Emotet和Trickbot的存在。”

（资料来源：韩国安全新闻网站、thehackernews网站等相关文章。本文参考内容均来源于网络，仅供读者了解和掌握相关情况参考，不用于任何商业用途。如果相关作者认为摘选不妥，请联系我们删除。）