恶意软件Emotet卷土重来滥用.LNK文件进行攻击,你只需要一项技术就能有效保护组织

最新推荐文章于 2023-08-13 09:51:55 发布
最新推荐文章于 2023-08-13 09:51:55 发布
阅读量1.3k 收藏
点赞数
分类专栏: 网络安全 系统安全 邮件安全 文章标签: 网络安全 安全 系统安全 安全架构 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/OPSWAT/article/details/125679830
版权

Emotet 被认为是目前最普遍、最具破坏性和修复成本最高的恶意软件 (1) 它主要通过包含恶意连结或受感染文的网络钓鱼电子邮件进行传播。 一旦受害者下载文件或点击连接,附加的恶意软件就会自动下载到他们的设备上,然后在企业的网络中不断地复制、扩散

尽管由于国际执法和司法当局(1)的推动,它于20211月被大规模删除,但Emotet继续蓬勃发展,并以更复杂的技巧传播恶意软件。其中一种策略利用Windows快捷方式檔(.LNK)包含PowerShell命令,用于在受害者的设备上下载Emotet有效payload,我们在上一篇文章上中对此进行了分析。恶意软件作者进行了此调整,以规避 Microsoft 启动的 VBA 保护。

20224月,一项新的Emotet活动滥用压缩方式的LNK档被发现。在这篇文章中,我们分析了这个媒介,并演示如何使用OPSWAT MetaDefender来防止这些类型的恶意软件。

Emotet 传播链

Emotet 殭尸网络运营商通过垃圾邮件开始攻击,该垃圾邮件包含受密码保护的恶意 zip 文件,其中包含嵌入的快捷方式连结档 .LNK)。他们滥用快捷方式档,因为它很难区分。该文件伪装成带有图示的文件文件,默认情况下,扩展名在 Windows 中不显示。

在受害者提取 zip 档并执行 .LNK档,它会在其设备上的临时文件夹中删除有害的Microsoft VBScriptVisual Basic Script)。

这个被删除的 VBScript 执行后会从远程服务器下载 Emotet playload 一旦此二进制程序文件文件被下载后,它会将文件保存到 Windows 的临时目录并使用 regsvr32.exe 执行它。 一旦被感染,Emotet 会自我复制以传播到网络中的其他计算机上。
 

如何防止 Emotet 和类似的进阶攻击
 

全球政府机构和网络安全专家提供了许多建议和指导,以帮助用户识别和防御复杂的 Emotet 活动 (2),例如:

  • 不要打开可疑的电子邮件附件或点击电子邮件内文中的可疑连结。
  • 确保您的员工经过充分培训,能够识别可疑的电子邮件链接和附件
  • 使您的操作系统、应用程序和安全软件保持最新

借助 OPSWAT Email Gateway Security OPSWAT MetaDefender Core,您可以轻松全面地保护您的组织免受 Emotet 以及其他进阶具规避性的威胁。 我们市场领先的 Deep CDR(内容清洗和重建)禁用隐藏在文件中的已知和未知威胁。 根据我们的零信任理念,我们假设进入您网络的所有文件都是恶意的,因此我们会在每个文件到达您的用户之前对其进行扫描、清理和重建。 隐藏在文件中的所有活动内容都将被中和或删除,确保为您的组织提供无威胁的环境。

当前的 Emotet 威胁如何被阻止的状况如下:

  1. OPSWAT Email Gateway Security 隔离受密码保护的附件。
  2. 要下载附件,收件人需要向隔离系统提供文件密码。
  3. MetaDefender Core 使用我们称为 Metascan 多重扫描解决方案扫描文件以查找已知恶意软件。 如下图所示,11/16 引擎成功检测到威胁。
  4. MetaDefender Core 提取附件,并使用 Deep CDR 引擎递归清理每个嵌套档。下面的结果显示找到并删除了对象。在清理过程中,Deep CDR 将 .LNK 文件的恶意命令替换为 dummy.txt 以消除威胁。
  5. Email Gateway Security将带有无威胁附件的电子邮件释放给用户。以下是清理后文件的扫描结果。未检测到威胁。
  6. 用户现在可以在他们的机器上解压缩附件并生成 LNK 文件,而不必担心任何安全问题。 即使用户打开 LNK 文件,也不会下载到恶意软件,因为 LNK 文件的恶意命令已经被替换。

了解有关 OPSWAT Deep CDR 的更多信息或与我们联系了解最佳网络安全解决方案,以保护您的公司网络和用户免受危险和复杂的网络攻击。

参照

(1) CyberNews. 2022. 'World’s most dangerous malware' Emotet disrupted. [online] Available at: <'World’s most dangerous malware' Emotet disrupted>; [Accessed 9 June 2022].

(2) Ipa.go.jp. 2022. Emotet(エモテット)」と呼ばれるウイルスへの感染を狙うメールについて:IPA 独立行政法人 情报处理推进机构. [online] Available at: <「Emotet(エモテット)」と呼ばれるウイルスへの感染を狙うメールについて:IPA 独立行政法人 情報処理推進機構>; [Accessed 8 June 2022].

OPSWAT
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
记一次对恶意LNK文件的分析
NOSEC2019的博客
07-23 1044
恶意LNK(快捷方式)文件常常是电子调查取证的重点。从攻击者的角度来说,一个很小容量的文件既可直接进行各种攻击,又可引入其他恶意软件;从防御者的角度来说,其内含的信息对于攻击后溯源分析有很大的用处。对于攻击者制造恶意LNK文件,MITRE ATT&CK框架将其描述为“shortcut modification”(T1023),总结如下: 快捷方式是一种引用其他文件或程序的通用方法,在系统...
LNKUp:生成恶意的LNK文件有效载荷以进行数据泄露
02-06
LNKUp LNK数据泄漏有效载荷生成器 该工具将允许您生成LNK有效载荷。 在渲染或运行时,它们将泄漏数据。 信息 您对使用此工具执行的任何操作,我概不负责! 您可以通过打开问题或通过我的Twitter 与任何问题联系我。 已知陷阱 该工具在OSX或Linux计算机上不起作用。 它是专门针对目标窗口而设计的。 在某些情况下,图标缓存可能会出现问题。 如果您的有效负载在第一次之后没有执行,请尝试重新生成它。 您将需要运行响应器或服务器以捕获NTLM哈希。 要捕获环境变量,您需要运行网络服务器,如apache,nginx或什至仅 安装 使用安装要求pip install -r requir
Emotet恶意软件现在可以窃取您的电子邮件附件来攻击联系人
weixin_40344166的博客
07-29 812
Emotet恶意软件僵尸网络现在还使用被盗的附件来提高用于感染目标系统的垃圾邮件的真实性。 正如Binary Defense威胁研究员James Quinn对Bleeping Computer所说,这是僵尸网络第一次使用窃取的附件来增加邮件的可信度。根据 Marcus'MalwareTech'Hutchins的说法,附件盗窃程序代码是6月13日左右添加的。 这种新策略增加了Emotet团伙利用被劫持的电子邮件对话的手段,将一个恶意的URL或附件作为一种隐藏措施,包含在现有对话的新电子邮...
Emotet恶意软件深入分析
systemino的博客
06-16 1047
Emotet是一种主要通过垃圾邮件进行传播的木马。传播至今,已进行过多次版本迭代。早期版本中,它通过恶意JavaScript文件被投递。在后来的版本,演变为使用启用宏的Office文档从C2服务器下载后进行传播。 自Emotet首次被发现之后,FortiGuard Labs一直在对其追踪。在本博客中,我将对5月初发现的新Emotet样本进行深入分析。本篇分析主要包括:如何释放持久性pa...
分析一个嵌入payload的恶意.lnk文件
weixin_30555125的博客
02-25 234
原文:https://isc.sans.edu/diary/Analyzis+of+a+Malicious+.lnk+File+with+an+Embedded+Payload/20763 We received some feedback today from Nick, aSANS ISC reader who detected an interesting phishing cam...
勒索软件好多都使用恶意LNK链接文件欺骗用户 来看趋势科技分析新型LNK-PowerShell攻击...
weixin_34090562的博客
09-01 857
当你在桌面或者邮件中看到一个熟悉的图标快捷方式,你估计不会想到一个1、2K的文件,就足以让你中招勒索软件。本文就是给你展示这么小的文件中,会包含多少恶意信息。在文章的开头,先让我们来看两个概念,Lnk文件说明是小编加的(具体分析看原文),其它保持文章原有内容。 Powershell是什么 PowerShell是微软公司开发的一种通用命令行和Shell脚本...
杀毒后报错c:\testoutput\inde.lnk,杀毒前按空格或回车enter就自动关闭无线wifi的问题修复工具
07-14
标题中的“杀毒后报错c:\testoutput\inde.lnk”揭示了用户在执行杀毒操作后遇到了一个特定的问题,即系统报告错误与文件“inde.lnk”有关。这通常意味着病毒或恶意软件可能已经感染了这个快捷方式文件,导致了不正常...
LinkSeek:查找 Windows 快捷方式 (.lnk) 文件及其键盘激活器。-开源
07-18
查找 Windows 快捷方式 (.lnk) 文件。 选项是搜索用户桌面、开始菜单和任务栏中的所有文件夹,或仅搜索具有有效热键 (Ctrl-Alt-) 激活器的文件夹; 并显示找到的所有 .lnk 文件,或仅显示那些带有热键激活器的文件
Windows找不到文件 Server Manager.lnk 服务器管理器
03-18
Windows找不到文件“C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools\Server Manager.lnk”。请确定文件名是否正确,再试一次。 的错误。 只要把Server Manager.lnk文件复制到:控制...
lnk木马专杀软件(压缩包)
07-13
专门查杀lnk木马的一小工具 占用系统资源小好用方便.本人用过360不报毒 可放心使用
从恶意程序对LNK格式的利用方法看防护趋势
KD的疯狂实验室
08-25 1924
LNK文件简介#LNK在恶意程序中的利用方式*1曾经的LNK漏洞*2隐藏链接真实对象*3辅助恶意程序运行#博弈趋势利用移动存储设备进行传播的恶意程序与杀软博弈趋势分析
Virus_lnk
ahoo110的博客
08-14 1826
本篇讲常见的lnk样本.
LNK恶意软件兴起
最新发布
Innocence_0的博客
08-13 258
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
文件攻击与病毒样本分析-1-5-2-无文件攻击之本地程序交互:LNK文件攻击
不忘初心,护天下安全!
07-15 268
利用lnk快捷方式文件执行无文件攻击
lnk漏洞及其解决办法
王雅瑾---上善若水,水善利万物而不争
11-29 2216
生活情景:一打开网页,突然弹出好多乱七八糟的网页,可之后就发现我电脑上的好多的图标都变成了快捷方式。一打开,就是用网页打开的,不断闪烁,什么都不能显示,任务管理器都失灵了。 知识补充:.lnk”是WINDOWS系统默认的快捷方式的扩展名,如果“文件夹选项”下设置为“隐藏已知文件类型的扩展名”,正常情况下“.lnk”是不显示的。你的快捷方式的扩展名显现出来,证明WINDOWS设置被中断,快捷方式为
LNK图标漏洞木马出现新变种 可利用快捷方式远程攻击
keniushadu的专栏
07-26 808
微软近日曝出“LNK图标漏洞”,引发2010年来安全领域最大的震荡,可牛安全中心在17日率先在国内截获利用“LNK图标漏洞”传播的木马样本并发布了对应的免疫方案和应急修复补丁。但是,距离微软发布正式补丁还有二十天,木马制作者的攻击手段还在不断的翻新。
2022钓鱼利器,LNK文件攻击为何广受青睐
shandongjiushen的博客
03-21 931
恶意LNK文件活动增多
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值