色自拍_免费看的一级毛片_欧美日韩国产二区_99精品免费视频_www.久久久_久久久女人

火絨安全|成都火影科技|火絨

西南——火絨Emotet木馬病毒死灰復燃 瞄準企業用戶發起攻擊

發布時間:2021-12-06 10:59

近期,火絨監測到Emotet木馬病毒再次大規模爆發,主要通過魚叉郵件方式進行傳播。當用戶點擊運行郵件附件后,病毒就會被激活,并在終端后臺盜取各類隱私信息,由于魚叉郵件主要針對特定用戶、組織或企業,嚴重威脅企業信息安全,火絨在此緊急提示廣大企業用戶注意防范?;鸾q用戶無需擔心,火絨已對Emotet木馬病毒進行查殺。

 

Image-4.png

查殺圖

 

根據“火絨威脅情報中心”監測和評估,本次Emotet木馬病毒來勢洶洶,在11月份快速增長,并于中下旬集中爆發。

 

Image-5.png

Emotet近期增長趨勢

 

Emotet曾是自2014年至今全球規模最大的僵尸網絡之一,該僵尸網絡在2021年1月被歐洲刑警組織查獲,并于4月25日下發“自毀模塊”后被徹底搗毀。主要通過魚叉郵件進行傳播的Emotet木馬病毒,在過去的7年時間里,給社會帶來了極大損失和影響。

 

火絨曾在《全球最大僵尸網絡自毀 火絨起底Emotet與安全軟件對抗全過程》一文中,詳細分析了Emotet通過不斷更換外層混淆器,調整自身的代碼邏輯和更新C&C服務器,瘋狂的與安全軟件進行對抗的過程。

 

 

火絨再次提醒廣大用戶,尤其企業用戶,請及時做好排查工作,發現可疑郵件可聯系專業人員查看。也可以安裝火絨安全軟件,通過【文件實時監控】、【郵件監控】、【應用加固】和【系統加固】等關鍵性防護功能,避免遭受Emotet木馬病毒威脅,保護終端網絡安全。

 

 

 

一、詳細分析

魚叉郵件中會將惡意文檔(通常為doc、docx、xls、xlsx等)偽裝為企業內部業務相關的溝通信息文檔,從而誘導用戶打開。惡意文檔內的宏腳本被激活后,會啟動powershell下載Emotet木馬病毒,再由rundll32加載執行。Emotet最終會下載執行實質惡意模塊(報告中僅以間諜木馬模塊為例,主要惡意行為為盜取用戶數據)。病毒惡意代碼執行流程,如下圖所示:

 

Image-6.png

病毒惡意代碼執行流程

 

用于病毒傳播的魚叉郵件內容,如下圖所示:

 

Image-7.png

魚叉郵件內容

 

本次用作Emotet木馬病毒傳播的惡意文檔內容,如下圖所示:

 

Image-8.png

惡意文檔內容

 

Emotet木馬病毒執行后會盜取用戶數據,以盜取郵件客戶端工具<Mozilla Thunderbird>數據文件為例,相關行為如下圖所示:

 

Image-9.png

相關惡意行為

 

盜取郵件客戶端工具<Mozilla Thunderbird>數據文件代碼,如下圖所示:

 

Image-10.png

盜取Thunderbird數據文件代碼


二、同源性分析

經分析發現,該病毒的傳播途徑、惡意行為代碼與之前分析的Emotet病毒具有一定的相似性。以下為該病毒樣本與2021年1月份捕獲到的Emotet樣本在關鍵解密函數的代碼對比圖:

 

Image-11.png

 

此前報告中Emotet關鍵代碼與當前Emotet關鍵代碼同源性對比

標簽:Emotet木馬火絨終端安全管理系統四川火絨總代理西南火絨成都火絨

掃一掃在手機上閱讀本文章

版權所有? 火絨安全|成都火影科技|火絨    技術支持: 響應式網站建設
主站蜘蛛池模板: 亚洲国产精品一区二区久久 | 图片区 国产 欧美 另类 在线 | 日本aⅴ毛片成人实战推荐 成人免毛片 | 欧美精品免费在线 | 国产精品美女久久久 | 银杏成人影院在线观看 | 久久99精品久久久 | 在线观看成人 | 成人在线免费网站 | 久久精品国产精品青草 | 国产一二三区在线观看 | 国产精品乱码一区二区三区 | 我要看黄色一级大片 | 欧美成人精品一区 | 色婷婷av久久久久久久 | 亚洲一区电影 | 欧美精品欧美精品系列 | 在线观看亚洲一区二区 | 精品成人在线视频 | 黄色毛片免费看 | 青青草视频免费观看 | 午夜在线观看视频网站 | 一级免费片 | 韩国精品一区二区 | 成年无码av片在线 | 久久精品伊人 | 欧美日韩在线一 | 日韩一区二区三区在线观看 | 在线国产一区二区 | 91成人精品 | 黑人xxx视频 | www.久久.com| 性人久久久 | 色婷婷国产精品免费网站 | 亚洲福利一区 | 伊人网亚洲| 亚洲成人精品在线观看 | 日本不卡高字幕在线2019 | 成人狠狠干| 成人亚洲| 亚洲精品一区中文字幕乱码 |