相比于廣撒網式的盲目攻擊，針對政府、企業(yè)等高價值目標進行精準打擊，成為當下網絡攻擊演變的新趨勢。在此其中，“橫向滲透”這種攻擊方式因為可以在滲透目標內網之后，通過各種攻擊手段以點破面，最大限度獲取目標資產的控制權，成為被眾多網絡黑客廣泛使用的“殺手锏”。

近期，360安全大腦監(jiān)測發(fā)現(xiàn)，因竊取銀行登錄憑據而臭名昭著的Emotet木馬，現(xiàn)在開始通過創(chuàng)建遠程服務的手法進行橫向滲透，成為了分發(fā)Qakbot、TrickBot等其他惡意軟件的Loader。

對該木馬進行溯源并深入分析后，360安全大腦發(fā)現(xiàn)該木馬作者正在利用以“新型冠狀病毒”疫情為話題的釣魚郵件進行傳播，當木馬程序被啟動后，最新的Emotet變種通過下發(fā)Qbot進行橫向滲透。

目前，360安全大腦已針對此類木馬進行了全方位的查殺和攔截，建議廣大用戶盡快下載安裝最新beta版360安全衛(wèi)士，打開【我的電腦 — 安全防護中心】，可有效抵御各種橫向滲透攻擊。

借疫情熱度釣魚郵件泛濫

多代碼混淆隱藏病毒母體

360安全大腦在溯源分析后發(fā)現(xiàn)，該木馬攻擊者會通過推送與新冠肺炎相關的釣魚郵件,并將郵件內容包裝為當?shù)卣P于新型管狀病毒肺炎疫情的相關通報信息，誘導用戶打開攜帶惡意宏病毒的木馬附件。

附件文檔包含一個高度混淆的宏病毒，當用戶點擊啟用宏之后，會調用WMI啟動PowerShell并下載銀行木馬Emotet，早期版本的Emotet木馬具有銀行盜號模塊，主要針對銀行進行攻擊。最新版本的Emotet木馬則不再加載其自己的銀行木馬模塊，而是加載第三方惡意軟件。

此次Emotet木馬主要下發(fā)QBot木馬去竊取信息并進行橫向滲透，QBot使用了多種代碼混淆技術隱藏真正的病毒母體，其解密并加載被混淆的惡意載荷相關代碼邏輯如下：

解密后的惡意載荷是一個PE文件，即QBot母體。QBot在竊密功能之外新增橫向滲透功能以此來感染局域網內的其他計算機。QBot加載并解密資源‘307’，解密后得到一個動態(tài)庫，該動態(tài)庫即為QBot進行橫向滲透的核心模塊。

Qbot通過枚舉域控服務器上的用戶賬戶，得到一個用戶名列表，配合弱口令字典對當前計算機連接的遠程機器進行爆破，如果連接成功則調用OpenSCManagerW與遠程計算機的服務控制管理器建立連接，并通過創(chuàng)建遠程服務的方式橫向移動到遠程機器。

受到感染的遠程機器也會進一步去感染網段內的其他機器，擴大該病毒的傳播范圍。

Emotet木馬多年作惡加速演進

360安全衛(wèi)士主防7.0打造“銅墻鐵壁”

值得一提的是，Emotet木馬是一款于2014年就被發(fā)現(xiàn)，且一直處于活躍狀態(tài)的惡意木馬家族。歷時多年，Emotet也已經從簡單的銀行木馬，逐漸演變成下發(fā)各種惡意軟件的木馬分銷商，并且以基礎設施即服務的模式出售Emotet僵尸網絡的訪問權限。

為擴大其僵尸網絡的覆蓋面及影響力，Emotet木馬也在不斷進化其傳播方式，從最初垃圾郵件到近期的橫向滲透，Emotet木馬持續(xù)嚴重威脅到企業(yè)數(shù)字資產安全。而在未來，Emotet背后團伙絕不會止步于此，而是將會不斷研發(fā)和融合其他新的傳播手法，進一步鞏固其僵尸網絡帝國的統(tǒng)治力。

面對升維的網絡威脅挑戰(zhàn)，在360安全大腦的極智賦能下，360安全衛(wèi)士主防7.0震撼上線，利用網絡側、終端側多維分析模型，通過網絡流量、終端日志、機器學習，以及現(xiàn)有安全基礎設施等手段，為用戶打造集"高級攻擊發(fā)現(xiàn)、橫向滲透防護、無文件攻擊防護、軟件劫持防護"于一體的全方位高級威脅防護壁壘。

另外，為全面保障政企機構內網安全，360安全大腦給出如下建議：

1、前往weishi.#，下載安裝最新beta版360安全衛(wèi)士，打開【我的電腦 — 安全防護中心】，即可有效對此類木馬進行攔截查殺;

2、不要打開來歷不明的郵件，應將此類郵件交由安全部門進行排查，確認安全后再打開。

3、對未知安全性文件，切勿點擊“啟用宏”按鈕，以防止宏病毒入侵。

（免責聲明：本網站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網站出現(xiàn)的信息，均僅供參考。本網站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。
任何單位或個人認為本網站中的網頁或鏈接內容可能涉嫌侵犯其知識產權或存在不實內容時，應及時向本網站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網站在收到上述法律文件后，將會依法盡快聯(lián)系相關文章源頭核實，溝通刪除相關內容或斷開相關鏈接。 ）