趋势科技上周公布了知名银行木马Emotet的踪迹,发现它在今年6月1日到9月15日之间,于全球具备721个命令暨控制(C&C)服务器,采用8,528个独立的URL,使用5,849个文件Dropper以及571个执行档案。2014年被发现的Emotet是个模块化的先进银行木马程序,其主要功能就是作为一个可下载其它木马程序的Dropper,同时它也是个多态(Polymorphic)银行木马,能够闪过传统的病毒特征侦测机制,并藉由各种方式来维持自身的存在。Emotet通常透过垃圾电子邮件进行散布及感染,例如于假冒来源的电子邮件中嵌入恶意的附加档案或连结,只要受害者开启或下载恶意的PDF或Word档案,Emotet就能常驻于受害者的计算机上,进而下载其它的恶意模块,或是伺机感染网络上的其它装置。趋势科技针对Emotet展开全面性的研究,发现它至少有两个平行运作的架构,猜测它们也许具备不同的目的与功能,或者只是为提高被追踪的难度,以及最小化失败的可能性。此外,在这3个半月间,研究人员就已搜集到Emotet的571个执行样本,并发现这些执行样本中内建了721个C&C服务器,显示平均每个执行样本含有39个C&C服务器。
大多数的C&C服务器座落在美国,占了总数的45.35%,墨西哥占了8.04%,加拿大占了7.49%。趋势科技之所以认为Emotet至少已建立两个独立架构的原因之一为:这两个架构所使用RSA密钥与C&C服务器是有区隔的。另一资安业者赛门铁克的分析则显示,既有的Emotet版本能够下载各种不同的恶意模块,包括可用来窃取金融信息的银行木马、可窃取电子邮件凭证的模块、可窃取浏览器历史纪录或所储存密码的模块,以及可发动分布式阻断服务攻击的DDoS模块。有鉴于美国是Emotet灾情最惨重的地区,美国计算机紧急事件应变小组(United States Computer Emergency Readiness Team,US-CERT)也曾在今年中把Emotet列为最具破坏力及成本最高的恶意软件之一,并说每次的Emotet感染事件平均要花费100万美元来摆平。US-CERT建议各组织应设置防火墙,使用防病毒软件,定期修补系统及软件,过滤邮件,进行攸关网钓手法的员工训练,也可考虑直接封锁可能有害的邮件附加文件格式。