結合敏捷開發的完美駭客活動：以Emotet為例

 

今年二月，歐洲刑警組織EUROPOL結合八國警方於烏克蘭破獲史上最危險駭客網路Emotet的關鍵設施，而資安專家發現Emotet的活動導入了敏捷開發思維，藉由快速的改版交付，令惡意程式日新月異，擴大災害規模。Emotet除了敏捷開發外，也藉由高度自動化的惡意程式散布方式，加上惡意檔案的精巧包裝，能主動刺探漏洞，並誘使使用者開啟惡意郵件觸發惡意程式，為有史以來最縝密、最組織化的駭客活動之一。

 

Emotet的敏捷化作業模式

根據破獲Emotet關鍵設施的歐洲刑警組織表示，Emotet藉由頻繁更新惡意程式碼來規避防毒程式的特徵比對，並能以Word、Excel等文件作偽裝，藉由巨集來觸發惡意程式。另根據ITHome資安主筆黃彥棻（2021）對趨勢科技專家Fyodor Yarochkin、Fox-IT安全公司專家吳宗育的專訪表示，兩位專家觀察到Emotet幕後團隊採敏捷式作業，並能夠針對惡意程式的自身漏洞進行改版、自動化部署，可謂道高一尺、魔高一丈，令防毒軟體趕不上惡意程式的變化而窮於應付。

 

Emotet惡意程式運作方式

根據歐洲刑警分析，Emotet的散布方式為常見的網路釣魚郵件，將惡意程式以巨集隱身在Word、Excel等電郵附件，一旦被使用者觸發就會自動執行惡意巨集，搜尋受害電腦的漏洞並加以利用、奪取，變成Emotet殭屍網路的傀儡與跳板。

 

 

資料來源： (Europol, 2021)

圖1：Emotet運作機制

 

根據資安顧問公司Cofense（2020）分析，Emotet惡意程式利用了「指揮與控制」的機制，可將受害電腦與攻擊者串接起來，而被攻擊者利用，刺探電腦弱點與使用者機敏資訊，讓使用者受害後對此束手無策。

 

 

小結

由於Emotet的幕後黑手採組織化的縝密作業，方能進行惡意程式的敏捷化改版和自動化散布；而且Emotet的幕後黑手也對防毒軟體的情報了解透徹，並能針對有漏洞的軟體和電腦進行外科手術般的精準打擊。

即使Emotet的惡意軟體以敏捷化改版，終究是個人為被動觸發的惡意軟體，因此人員的安全知識和安全作法的培養為根本預防之道，必須要對社交工程可以信件和附件提高警覺、不輕易觸發，才能遏止Emotet等殭屍網路的滲透和掌握。

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

參考來源：

 

參考資料

1. (2021, January 27). World's Most Dangerous Malware Emotet Disrupted Through Global Action. Retrieved March 15, 2021, from Europol: https://www.europol.europa.eu/newsroom/news/world’s-most-dangerous-malware-emotet-disrupted-through-global-action
2. Haas, B. (2020, December 22). Emotet is Back for the Holidays with Updated Tactics. Retrieved March 16, 2021, from Cofense: https://cofense.com/emotet-is-back-for-the-holidays-with-updated-tactics/
3. 黃彥棻. (2021年3月10日). 【網路犯罪也是一門講信任的生意】Emotet只和熟識的網路犯罪組織談合作. 2021年3月15日 擷取自 ITHome: https://www.ithome.com.tw/news/143060