久久一级毛片高清在线观看_亚洲欧美偷拍综合图区_日本久久久久久中文字幕_国产精品人人爽人人爽AV_国产亚洲日韩一区二区三区

Emotet 是一種惡意軟件，專(zhuān)為逃避偵測(cè)、深入宿主和自我繁殖而設(shè)計(jì)。由于不斷更新、模組化的多形態(tài)設(shè)計(jì)，以及可經(jīng)由網(wǎng)絡(luò)部署大量不同技術(shù)來(lái)進(jìn)行蠕蟲(chóng)攻擊的能力，該軟件很快成為一個(gè)動(dòng)態(tài)且不斷變形讓系統(tǒng)管理員及安全軟件疲于奔命的目標(biāo)。

在它出現(xiàn)五年以來(lái)，Emotet 已經(jīng)從一種木馬程序演變成一種非常復(fù)雜且能廣泛部署其他惡意軟件的平臺(tái)，特別是其他類(lèi)型的銀行木馬程序。

Emotet 會(huì)隨著惡意垃圾郵件活動(dòng)出現(xiàn)，并為任何愿意付錢(qián)的惡意軟件提供服務(wù)。今年到目前為止，它與 TrickBot 和 QBot 銀行木馬程序脫不了關(guān)系，也與 BitPaymer 有關(guān) (一種復(fù)雜的勒索軟件，勒索高達(dá)六位數(shù)的金額)。

2018 年 7 月，US-CERT (美國(guó)電腦應(yīng)急應(yīng)變小組) 發(fā)布警報(bào)，將 Emotet 描述為：

…對(duì) SLTT 政府機(jī)構(gòu) (州、地方、種族和地區(qū)) 最耗成本和最具破壞性的惡意軟件。其具有類(lèi)似蠕蟲(chóng)的特征，導(dǎo)致整個(gè)網(wǎng)絡(luò)內(nèi)的感染迅速蔓延，難以對(duì)抗。Emotet 感染致使 SLTT 政府機(jī)構(gòu)必須花費(fèi)多達(dá) 100 萬(wàn)美元補(bǔ)救每一次的事件。

Emotet 仍然是一種非常強(qiáng)大且擴(kuò)散中的威脅。對(duì)系統(tǒng)管理員和威脅處理專(zhuān)家來(lái)說(shuō)，它是最困難的挑戰(zhàn)之一。

為此，Sophos 全球惡意軟件專(zhuān)家 Peter Mackenzie 提供了以下打擊Emotet的建議：

1.保護(hù)所有的電腦

預(yù)防勝于治療。最佳預(yù)防措施之一，就是確保網(wǎng)絡(luò)上沒(méi)有任何不安全的電腦。

當(dāng)組織受到 Emotet 的攻擊時(shí)，感染來(lái)源通常就是一部網(wǎng)絡(luò)上未受保護(hù)的電腦。客戶(hù)通常不知道有這些設(shè)備存在，更不用說(shuō)躲藏在其中的惡意軟件。

使用免費(fèi)的網(wǎng)絡(luò)掃描工具取得網(wǎng)絡(luò)上每一個(gè)作用中裝置的列表，并將這份列表與安全管理主控臺(tái)中的名單進(jìn)行比對(duì)。如果發(fā)現(xiàn)任何未知裝置，請(qǐng)盡快為其安裝修補(bǔ)程序并執(zhí)行最新的端點(diǎn)保護(hù)。

未知且不安全的電腦，也是 Emotet 躲藏和適應(yīng)的溫床，使情況雪上加霜。

雖然其他電腦上的安全軟件會(huì)將它“困”在不安全的電腦上，但它會(huì)一直試圖掙脫。而且因?yàn)樗嵌嘈螒B(tài)的，所以更新非常頻繁 (有時(shí)一天多次)，此外它的有效裝載非常靈活，會(huì)不斷制造新的挑戰(zhàn)。

這些動(dòng)作進(jìn)行的時(shí)間越久，風(fēng)險(xiǎn)越大。更新或改變裝載后的 Emotet 會(huì)在用戶(hù)的防護(hù)中找到一個(gè)縫隙，然后突破并通過(guò)用戶(hù)的網(wǎng)絡(luò)繼續(xù)擴(kuò)散。

用戶(hù)無(wú)法預(yù)測(cè)會(huì)出現(xiàn)什么縫隙 ─ 也許是一個(gè)新的漏洞利用，或者是暫時(shí)將 Emotet 躲開(kāi)基于簽名的反病毒的變種 ─ 所以深度防御至關(guān)重要。如深度學(xué)習(xí)、漏洞利用防御和 EDR 等進(jìn)階防惡意軟件功能，可提供控制爆發(fā)和尋找威脅來(lái)源的顯著優(yōu)勢(shì)。

2.盡早且頻繁地修補(bǔ)

Emotet 是其他惡意軟件的門(mén)戶(hù)，因此遏阻 Emotet 不只是能防御 Emotet，還阻擋掉它帶來(lái)的任何威脅。既然無(wú)法知道什么威脅會(huì)隨它而來(lái)，只能采取最佳的預(yù)防措施。在這份預(yù)防措施的清單 (是一份很長(zhǎng)的清單) 中，最優(yōu)先的項(xiàng)目是修補(bǔ)已知的漏洞。

聽(tīng)起來(lái)像是天底下最不稀奇的安全建議，但它卻是清單中的必要項(xiàng)目。在現(xiàn)實(shí)環(huán)境中，未修補(bǔ)的軟件將使 Emotet 疫情更加嚴(yán)重，并且難以控制。

其運(yùn)作原理可參考 EternalBlue，以及 2017 年利用 SMB 漏洞而聲名大噪的 WannaCry 和 NotPetya。令人難以置信的是，盡管新聞媒體大肆報(bào)導(dǎo)，而且微軟已經(jīng)發(fā)布安全公告 MS17-010 和修補(bǔ)程序差不多兩年了，惡意軟件仍然成功通過(guò)漏洞利用賺錢(qián)。其中一個(gè)惡意軟件是TrickBot，這是 Emotet 最常夾帶的裝載。

尚未將修補(bǔ)作業(yè)視為優(yōu)先項(xiàng)目的讀者，請(qǐng)不要成為報(bào)導(dǎo)中受害者。

3.默認(rèn)阻擋 PowerShell

Emotet 通常以惡意電子郵件附件的形式出現(xiàn)。攻擊大多是如此開(kāi)始：使用者收到附帶 Word 文件的電子郵件。

1. 使用者開(kāi)啟 Word 文件。

2. 并被誘騙執(zhí)行巨集。

3. 巨集會(huì)觸發(fā)下載 Emotet 的 PowerShell。

4. Emotet 感染開(kāi)始了。

顯然，使用者一定做錯(cuò)了一些事才讓病毒得手，所以最后的建議，就是請(qǐng)“訓(xùn)練員工不要打開(kāi)有問(wèn)題的電子郵件或執(zhí)行巨集”。雖然這項(xiàng)提醒是老生常談，但它是一個(gè)好主意，因?yàn)橹灰∫淮尉颓肮ΡM棄。

雖然也有其他方式可以減緩?fù)ㄟ^(guò)電子郵件傳播的 Emotet，但系統(tǒng)管理員最簡(jiǎn)單的作法就是預(yù)設(shè)阻止使用者使用 PowerShell。

我們并不是要阻止所有人 (有些人需要 PowerShell)，我們只是假設(shè)沒(méi)有人需要它 (包括系統(tǒng)管理員)，然后只為真正可證明有需要的人解鎖。

當(dāng)我們說(shuō)阻擋時(shí)，我們的意思是阻礙，而不是設(shè)定一個(gè)禁用它的政策。因?yàn)檎呖梢员焕@過(guò)。PowerShell 應(yīng)該被列入黑名單 (Sophos 對(duì)應(yīng)的功能稱(chēng)為 Application Control )。