头号僵尸网络Emotet被联手制裁后,终于在世界范围内“自我毁灭”

最新推荐文章于 2023-02-01 21:50:35 发布
最新推荐文章于 2023-02-01 21:50:35 发布
阅读量205 收藏
点赞数
分类专栏: 免费分享 新闻 文章标签: 网络 深度学习 物联网
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Appleteachers/article/details/116163551
版权

头号僵尸网络Emotet被联手制裁后,终于在世界范围内“自我毁灭”

在这里插入图片描述

Emotet僵尸网络自2014年被发现已来,作为网络安全最严重的威胁之一,已经活跃了近七年之久。
该僵尸网络的攻击方式通常是通过电子邮件恶意附件来分发传播TrickBot和Qbot等恶意软件。
Emotet的攻击通常会导致网络被全面破坏。据美国国土安全部的估计,每次遭受Emotet感染,美国各州和地方政府都要花费100万美元进行清理。此外,2019年,德国、柏林高等法院在遭遇Emotet袭击后彻底重建了计算机系统。
在所有受感染的系统上部署赎金软件的有效载荷,包括Qbot的ProLock或Egregor,以及TrickBot的Ryuk和Conti。
就在今年一月,欧洲刑警组织宣布他们已经捣毁了臭名昭著的Emotet,并且开始向受感染的设备分发Emotet“自毁模块”,该模块会帮助受感染设备在2021年4月25日自动卸载Emotet分发的恶意软件。
在4月25日,该“自毁模块”已经生效,全球范围内受Emotet影响的设备都已删除了僵尸网络所带来的恶意软件。
Emotet“自毁模块”如何工作
在1月,欧洲刑警组织以32位EmotetLoader.dll的形式分发了一个Emotet模块,该模块将在2021年4月25日自动卸载该恶意软件。
该模块被触发后,只删除相关的Windows服务、自动运行注册表键,然后退出该进程,被攻击设备上的其他一切都不会有影响。
1619423616_608671808ce60cf1104c9.png!small?1619423616845
被推迟的“自毁”程序
据悉,之所以没有在1月立马运行该“自毁模块”是因为警方希望收集证据以及为清理前的准备工作提供时间。
在清理之前,需要对受影响的系统进行识别,以便抓住证据并使有关用户能够进行全面的系统清理,防止进一步的犯罪。
为此,警方对软件的通信参数进行了调整,使受害者系统不再与犯罪者的基础设施进行通信,而是与为扣押证据而建立的基础设施进行通信。对于是否还有其他原因,警方表示不便透露更多细节。
目前尚不清楚Emotet是否会”死灰复燃“,或者换个”马甲“杀回来。

你永远不了解Thrash的魅力
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
正义黑客出击破坏Emotet僵尸网络
blackorbird的博客
07-25 241
Emotet银行木马,作为一个历史悠久的恶意软件家族,其一直以金融、外贸业为目标进行钓鱼攻击,属于"商贸信"攻击活动。据网上资料显示,Emotet僵尸主机已经达到百万量级...
不在沉默中爆发就在沉默中死亡,处于沉寂状态的 Emotet 僵尸网络是怎样卷土重来的?(一)
systemino的博客
11-18 488
在 2019年大部分时间里处于沉寂状态的 Emotet 僵尸网络又重新爆发了! 研究人员认为,Emotet 可能正是在这段沉寂期间进行的基础设施维护和升级,只要它的服务器重新启动并运行,Emotet 便会携全新增强型威胁函数强势回归。 Emotet感染链分析 有证据表明,Emotet背后的运营团队Mealybug已经从维护自己的自定义银行木马发展成为了其他组织的恶意软件的分销商。在过去的一两个...
Emotet***病毒升级,对抗杀毒软件的能力再次增强
weixin_34279579的博客
02-19 532
美国网络安全公司Menlo Security在上周发文称,该公司在今年1月份发生的恶意网络***活动中发现了一个新的Emotet***病毒变种。通过将用于释放主有效载荷的XML文件伪装成Word文档,新的Emotet变种变得更加难以检测。什么是Emotet***病毒?Emotet(也被称为Geodo或Heodo),一种模块化***病毒,据称是由***组织Mealybug于20...
Emotet 攻击行动加剧,对抗手段继续升级
小王的储物间
02-01 200
近期,鹰眼情报中心(
Emotet恶意软件深入分析
systemino的博客
06-16 1030
Emotet是一种主要通过垃圾邮件进行传播的木马。传播至今,已进行过多次版本迭代。早期版本中,它通过恶意JavaScript文件被投递。在后来的版本,演变为使用启用宏的Office文档从C2服务器下载后进行传播。 自Emotet首次被发现之后,FortiGuard Labs一直在对其追踪。在本博客中,我将对5月初发现的新Emotet样本进行深入分析。本篇分析主要包括:如何释放持久性pa...
海通证券·VR-虚拟世界的“头号玩家
04-02
海通证券·VR-虚拟世界的“头号玩家
vr产业深度报告:虚拟世界的“头号玩家”.zip
10-04
vr产业深度报告:虚拟世界的“头号玩家”.zip
vr产业深度报告:虚拟世界的“头号玩家”.pdf
09-26
vr产业深度报告:虚拟世界的“头号玩家”
Emotet分析报告
楠木种子的三亩地
06-30 1336
Emotet,是一种计算机恶意软件程序,最初是作为一种银行木马病毒开发的。其目的是访问外部设备并监视敏感的私有数据。Emotet 会骗过基本的防病毒程序并保持隐匿。一旦被感染,该恶意软件会像计算机蠕虫病毒一样传播,并试图渗透到网络中的其他计算机。 其中本样本在虚拟环境当中,不能直接运行,因为存在多种反逆向工程、反调试、反虚拟机技术,因此我们借助强大的第三方网站来帮助我们分析这个样...
Emotet恶意软件回归、黑客入侵FBI电子邮件系统|11月16日全球网络安全热点
qcloud_security的博客
11-16 1811
安全资讯报告 Emotet恶意软件回归,并通过TrickBot重建其僵尸网络 Emotet恶意软件过去被认为是传播最广泛的恶意软件,它使用垃圾邮件活动和恶意附件来分发恶意软件。Emotet会使用受感染的设备来执行其他垃圾邮件活动并安装其他有效负载,例如QakBot(Qbot)和Trickbot恶意软件。然后,这些有效载荷将用于向威胁参与者提供部署勒索软件的初始访问权限,包括Ryuk、Conti、ProLock、Egregor等。 今年年初,由欧洲刑警组织和欧洲司法组织协调的一项国际执...
2021 年 12 月头号恶意软件:Trickbot、Emotet 和 Log4j 攻击
m0_61093267的博客
01-17 2
2022 年 1 月-- 全球领先的网络安全解决方案提供商 Check Point® 软件技术有限公司(纳斯达克股票代码:CHKP)的威胁情报部门 Check Point Research发布了其 2021 年 12 月最新版《全球威胁指数》报告。在 Apache Log4j 漏洞席卷整个互联网的一个月内,研究人员报告称,Trickbot 依然是最猖獗的恶意软件,尽管占比略有回落,但仍影响了全球 4% 的企业与机构(11 月为 5%)。最近卷土重来的 Emotet 已经从第七位迅速跃升到第二位。CPR 还指
Emotet进化史:从银行木马到恶意软件分发器
systemino的博客
11-24 558
Emotet在2014年出现时只是一款银行木马,经过近几年的发展,Emotet的功能不断扩展,已经进化成为完整的恶意软件分发服务。 Emotet发展史 Emotet 恶意软件第一个版本出现于2014年,通过拦截互联网流量来窃取银行凭证信息。当时,Emotet恶意软件的攻击目标是德国和奥地利的银行奇热。 很快,第二个版本出现了,并增加了一些额外的模块,比如转账、垃圾邮件、DDoS和地址簿窃取模块。Emotet 第三版出现于2015年,主要升级了反绕过功能,并将瑞士的银行加入了潜在攻击目标列表。 ..
Emotet加入新的绕过技术和代理C2服务器
systemino的博客
04-27 625
自2014年首次被发现至今,Emotet银行木马不断地发展。美国政府估计Emotet事件需要花费一个企业100万美元来修复。Emotet是一款广泛传播的恶意软件,而且其开发者也在不断地加入新的功能、传播方法等。 通过对Emotet的流量分析可以看出新样本使用的是与之前样本不同的后感染流量。恶意软件尝试使用被黑的互联网设备作为代理C2服务器以重定向到真实的C2服务器。这些变化带来的C2流量复杂性的...
Emotet银行木马分析
信息安全
02-28 2303
文章目录前言样本运行流程样本分析宏文档分析恶意downloader分析窃密程序分析yara规则IOC 前言 Emotet是现如今流行的银行木马之一,变种极多,使用的混淆器也各不相同。Emotet主要以垃圾邮件传播,邮件中的宏文档是被用作后续下载Emotet进行持久化攻击的Downloader。此文是以1月份获取的变种样本进行分析。 样本运行流程 样本分析 宏文档分析 打开文档,文档中的图片诱导用...
记一次Emotet木马处理案例
06-30 965
0x00、前言 用户的安全意识相对薄弱,面对来历不明的链接和附件,容易被诱导从而遭受木马的入侵。在日常使用过程中,有时电脑中病毒后会遇到木马查杀不掉的情况,应该是如何处理呢?下面分享一个Emotet木马处理的案例,希望对你有所帮助。 0x01、案例说明 从流量侧监控到多个用户终端频繁发送邮件,涉及大量收件人与发件人并带有附件,疑似感染木马,用户手动杀软查杀无果。 0x02、原因分析 既然杀软无法......
揭秘Emotet恶意软件新变种幕后攻击者的运营模式
systemino的博客
11-18 1312
概述 本文是FortiGuard SE团队关于Emotet威胁攻击者的最新研究成果,Emotet是当前网络环境中威胁较大的一个恶意组织。我们与网络威胁联盟的成员共同编写了一系列关于攻击者的手册,要查看更多信息,可以参考《网络威胁联盟手册》白皮书。此外,在FortiGuard Playbook Viewer中可以详细了解相关恶意活动,并查看MITRE的对抗策略、技术和常识(ATT&CK)模...
安卓银行木马新增“keylogger”功能,攻击能力倍增
weixin_34239592的博客
09-13 318
本文讲的是安卓银行木马新增“keylogger”功能,攻击能力倍增, 网络犯罪者们在实施犯罪时,已经变得越来越熟练,攻击也越来越隐秘,攻击方式也越来越新颖。现如今,他们正在慢慢的从传统攻击方式向隐秘性攻击技术转变,需要的攻击载体越来越少,攻击更难被检测。 上个月中旬,卡巴斯基实验室高级恶意软件分析师RomanUnuchek发现,著名的安卓银行木马Svp...
Emotet的CMD混淆方法
摔不死的笨鸟的博客
11-16 432
CMD的混淆是JS、VBA、powershell等混淆语言中最难解的,因为对于CMD来说是没有公开的调试器的,需要去了解繁杂众多的CMD语法。CMD为了使用方得便,命令中有很多容错率,从而也导致BAT脚本可以被混淆得很厉害。 以下是CMD中容易使用用来混淆的字符: 语法符号 功能作用 >、>> 重定向 竖杠 管道 &&、&、双竖杠 语句连接 ^ 转义字符,该字符不影响命令的执行 ,和 ; 这两个符号可以互换,可以取代命令中的合法空格
谁动了你的网银?小心恶意软件窃取账户信息!
亚信安全-云安全博客
07-28 3481
随着越来越多的用户开始使用网银,各类针对网银的恶意软件也是层出不穷。最近被趋势科技发现的这个网银恶意软件名为EMOTET,它会以窃听的方式来将数据偷走。 EMOTET变种一般会通过垃圾邮件进行传播,而内容通常和银行转账或快递单有关。 (图一、垃圾邮件样本) (图二、垃圾邮件样本) 一旦点击邮件内的链接,EMOTET变种就会被偷偷下载到系统里并偷取系统内的文件。就像D
头号玩家》中的虚拟现实游戏世界
最新发布
04-05
头号玩家》中的虚拟现实游戏世界是一个名为“绿洲”的虚拟世界,它是由一位名叫詹姆斯·哈利迪(James Halliday)的天才游戏设计师创建的。这个虚拟世界是一个高度互动的环境,其中包括数字化的城市和地标建筑、...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值