今年二月,歐洲刑警組織EUROPOL結合八國警方於烏克蘭破獲史上最危險駭客網路Emotet的關鍵設施,而資安專家發現Emotet的活動導入了敏捷開發思維,藉由快速的改版交付,令惡意程式日新月異,擴大災害規模。Emotet除了敏捷開發外,也藉由高度自動化的惡意程式散布方式,加上惡意檔案的精巧包裝,能主動刺探漏洞,並誘使使用者開啟惡意郵件觸發惡意程式,為有史以來最縝密、最組織化的駭客活動之一。
Emotet的敏捷化作業模式
根據破獲Emotet關鍵設施的歐洲刑警組織表示,Emotet藉由頻繁更新惡意程式碼來規避防毒程式的特徵比對,並能以Word、Excel等文件作偽裝,藉由巨集來觸發惡意程式。另根據ITHome資安主筆黃彥棻(2021)對趨勢科技專家Fyodor Yarochkin、Fox-IT安全公司專家吳宗育的專訪表示,兩位專家觀察到Emotet幕後團隊採敏捷式作業,並能夠針對惡意程式的自身漏洞進行改版、自動化部署,可謂道高一尺、魔高一丈,令防毒軟體趕不上惡意程式的變化而窮於應付。
Emotet惡意程式運作方式
根據歐洲刑警分析,Emotet的散布方式為常見的網路釣魚郵件,將惡意程式以巨集隱身在Word、Excel等電郵附件,一旦被使用者觸發就會自動執行惡意巨集,搜尋受害電腦的漏洞並加以利用、奪取,變成Emotet殭屍網路的傀儡與跳板。
資料來源: (Europol, 2021)
圖1:Emotet運作機制
根據資安顧問公司Cofense(2020)分析,Emotet惡意程式利用了「指揮與控制」的機制,可將受害電腦與攻擊者串接起來,而被攻擊者利用,刺探電腦弱點與使用者機敏資訊,讓使用者受害後對此束手無策。
小結
由於Emotet的幕後黑手採組織化的縝密作業,方能進行惡意程式的敏捷化改版和自動化散布;而且Emotet的幕後黑手也對防毒軟體的情報了解透徹,並能針對有漏洞的軟體和電腦進行外科手術般的精準打擊。
即使Emotet的惡意軟體以敏捷化改版,終究是個人為被動觸發的惡意軟體,因此人員的安全知識和安全作法的培養為根本預防之道,必須要對社交工程可以信件和附件提高警覺、不輕易觸發,才能遏止Emotet等殭屍網路的滲透和掌握。
參考資料