恶意软件Emotet卷土重来滥用.LNK文件进行攻击,你只需要一项技术就能有效保护组织

这篇具有很好参考价值的文章主要介绍了恶意软件Emotet卷土重来滥用.LNK文件进行攻击,你只需要一项技术就能有效保护组织。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

Emotet 被认为是目前最普遍、最具破坏性和修复成本最高的恶意软件 (1) 它主要通过包含恶意连结或受感染文的网络钓鱼电子邮件进行传播。 一旦受害者下载文件或点击连接,附加的恶意软件就会自动下载到他们的设备上,然后在企业的网络中不断地复制、扩散

尽管由于国际执法和司法当局(1)的推动,它于20211月被大规模删除,但Emotet继续蓬勃发展,并以更复杂的技巧传播恶意软件。其中一种策略利用Windows快捷方式檔(.LNK)包含PowerShell命令,用于在受害者的设备上下载Emotet有效payload,我们在上一篇文章上中对此进行了分析。恶意软件作者进行了此调整,以规避 Microsoft 启动的 VBA 保护。

20224月,一项新的Emotet活动滥用压缩方式的LNK档被发现。在这篇文章中,我们分析了这个媒介,并演示如何使用OPSWAT MetaDefender来防止这些类型的恶意软件。

Emotet 传播链

Emotet 殭尸网络运营商通过垃圾邮件开始攻击,该垃圾邮件包含受密码保护的恶意 zip 文件,其中包含嵌入的快捷方式连结档 .LNK)。他们滥用快捷方式档,因为它很难区分。该文件伪装成带有图示的文件文件,默认情况下,扩展名在 Windows 中不显示。

在受害者提取 zip 档并执行 .LNK档,它会在其设备上的临时文件夹中删除有害的Microsoft VBScriptVisual Basic Script)。

恶意软件Emotet卷土重来滥用.LNK文件进行攻击,你只需要一项技术就能有效保护组织

这个被删除的 VBScript 执行后会从远程服务器下载 Emotet playload 一旦此二进制程序文件文件被下载后,它会将文件保存到 Windows 的临时目录并使用 regsvr32.exe 执行它。 一旦被感染,Emotet 会自我复制以传播到网络中的其他计算机上。
 

如何防止 Emotet 和类似的进阶攻击  

全球政府机构和网络安全专家提供了许多建议和指导,以帮助用户识别和防御复杂的 Emotet 活动 (2),例如:

  • 不要打开可疑的电子邮件附件或点击电子邮件内文中的可疑连结。
  • 确保您的员工经过充分培训,能够识别可疑的电子邮件链接和附件
  • 使您的操作系统、应用程序和安全软件保持最新

借助 OPSWAT Email Gateway Security OPSWAT MetaDefender Core,您可以轻松全面地保护您的组织免受 Emotet 以及其他进阶具规避性的威胁。 我们市场领先的 Deep CDR(内容清洗和重建)禁用隐藏在文件中的已知和未知威胁。 根据我们的零信任理念,我们假设进入您网络的所有文件都是恶意的,因此我们会在每个文件到达您的用户之前对其进行扫描、清理和重建。 隐藏在文件中的所有活动内容都将被中和或删除,确保为您的组织提供无威胁的环境。

当前的 Emotet 威胁如何被阻止的状况如下:

  1. OPSWAT Email Gateway Security 隔离受密码保护的附件。
  2. 要下载附件,收件人需要向隔离系统提供文件密码。
  3. MetaDefender Core 使用我们称为 Metascan 多重扫描解决方案扫描文件以查找已知恶意软件。 如下图所示,11/16 引擎成功检测到威胁。恶意软件Emotet卷土重来滥用.LNK文件进行攻击,你只需要一项技术就能有效保护组织
  4. MetaDefender Core 提取附件,并使用 Deep CDR 引擎递归清理每个嵌套档。下面的结果显示找到并删除了对象。恶意软件Emotet卷土重来滥用.LNK文件进行攻击,你只需要一项技术就能有效保护组织在清理过程中,Deep CDR 将 .LNK 文件的恶意命令替换为 dummy.txt 以消除威胁。恶意软件Emotet卷土重来滥用.LNK文件进行攻击,你只需要一项技术就能有效保护组织
  5. Email Gateway Security将带有无威胁附件的电子邮件释放给用户。以下是清理后文件的扫描结果。未检测到威胁。恶意软件Emotet卷土重来滥用.LNK文件进行攻击,你只需要一项技术就能有效保护组织
  6. 用户现在可以在他们的机器上解压缩附件并生成 LNK 文件,而不必担心任何安全问题。 即使用户打开 LNK 文件,也不会下载到恶意软件,因为 LNK 文件的恶意命令已经被替换。

了解有关 OPSWAT Deep CDR 的更多信息或与我们联系了解最佳网络安全解决方案,以保护您的公司网络和用户免受危险和复杂的网络攻击。

参照

(1) CyberNews. 2022. 'World’s most dangerous malware' Emotet disrupted. [online] Available at: <'World’s most dangerous malware' Emotet disrupted>; [Accessed 9 June 2022].

(2) Ipa.go.jp. 2022. Emotet(エモテット)」と呼ばれるウイルスへの感染を狙うメールについて:IPA 独立行政法人 情报处理推进机构. [online] Available at: <「Emotet(エモテット)」と呼ばれるウイルスへの感染を狙うメールについて:IPA 独立行政法人 情報処理推進機構>; [Accessed 8 June 2022].文章来源地址https://www.toymoban.com/news/detail-497142.html

到了这里,关于恶意软件Emotet卷土重来滥用.LNK文件进行攻击,你只需要一项技术就能有效保护组织的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 【网安播报】GitHub上的恶意Visual Studio 项目推送 Keyzetsu 恶意软件

    1、GitHub 上的恶意 Visual Studio 项目推送 Keyzetsu 恶意软件 威胁行为者正在滥用 GitHub 自动化功能和恶意 Visual Studio 项目来推送“Keyzetsu”恶意软件的新变种并窃取加密货币付款。攻击者创建了GitHub 存储库,并使用各种方法来人为地提高其在平台上的受欢迎程度和知名度,从而在

    2024年04月13日
    浏览(40)
  • 新恶意软件使用 MSIX 软件包来感染 Windows

    人们发现,一种新的网络攻击活动正在使用 MSIX(一种 Windows 应用程序打包格式)来感染 Windows PC,并通过将隐秘的恶意软件加载程序放入受害者的 PC 中来逃避检测。 Elastic Security Labs 的研究人员发现,开发人员通常使用 MSIX 来打包、分发和安装其应用程序给 Windows 用户,并且

    2024年02月07日
    浏览(58)
  • 网络防御 --- 恶意软件与反病毒详解

    恶意软件是指故意设计造成损害到计算机、服务器、客户端或计算机网络的软件(相比之下,软件由于一些缺陷导致无意的伤害通常被描述为软件错误)。恶意软件存在各种各样的类型,包括计算机病毒、蠕虫、特洛伊木马、勒索、间谍软件、广告软件、流氓软件和恐吓软件

    2024年01月25日
    浏览(37)
  • 【安全与风险】恶意软件:概念、攻击和检测

    Malware一词是恶意软件的缩写。 恶意软件是任何以破坏设备、窃取数据为目的编写的软件,通常会造成混乱。 恶意软件通常是由黑客团队创建的: 通常,他们只是想赚钱,要么自己传播恶意软件,要么把它卖给暗网上出价最高的人。 然而,创建恶意软件也可能有其他原因——

    2024年02月16日
    浏览(41)
  • 机器学习和深度学习检测网络安全课题:DDOS检测、恶意软件、恶意流量检测课题资料

    开源的DDOS检测工具 https://github.com/equalitie/learn2ban 基于KDDCUP 99数据集预测DDoS攻击 基于谱分析与统计机器学习的DDoS攻击检测技术研究 基于机器学习的分布式拒绝服务攻击检测方法研究 DDoS Attacks Using Hidden Markov Models and Cooperative ReinforcementLearning* 恶意软件检测 https://github.com/dc

    2024年01月18日
    浏览(47)
  • 新型恶意软件DecoyDog正大规模入侵DNS

    安全厂商 Infoblox 的调查研究显示,一个名为 DecoyDog(诱饵狗)的复杂恶意工具包通过域名系统(DNS),从事网络间谍活动已达1年以上。 目前尚不清楚该恶意软件的幕后黑手是谁,但 Infoblox 的研究人员认为,有4个参与者正在利用和开发该恶意软件来进行具有高度针对性的操

    2024年02月15日
    浏览(39)
  • 恶意软件如何被用来创建虚假的过期证书警报

    2021 年 9 月,数字安全专家发现了针对 Windows 用户的广泛攻击。 该攻击使用恶意软件在网站上发出虚假的过期证书警报,提示用户下载更新,而更新实际上包含允许黑客远程访问受感染计算机的恶意软件。 以下是攻击的执行方式、我们目前对其影响的了解以及如何保护您的组

    2024年02月05日
    浏览(73)
  • 解决microsoft windows 恶意软件删除工具 占用内存高

    1、win+R快捷键,输入regedit,按回车键进入注册表编辑器 2、定位到 HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoft 并创建新项 MRT   3、 新建DWORD(32)值,命名为 DontOffer ThroughWUAU ,数值数据为1; 4、以管理员身份运行命令提示符,执行如下命令卸载MRT: wusa /uninstall /kb:890830 /quiet /norestart  

    2024年02月15日
    浏览(33)
  • 智安网络|新型恶意软件攻击:持续威胁网络安全

    当今数字化时代,恶意软件已经成为网络安全领域中的一项巨大威胁。随着技术的不断进步,恶意软件的攻击方式也在不断演变和发展。 以下是一些目前比较常见的新型恶意软件攻击: **1.勒索软件:**勒索软件是一种恶意软件,它会加密受害者的文件,然后勒索赎金以恢复

    2024年02月13日
    浏览(38)
  • 下载了恶意软件怎么办,用这个软件可以解决 Mac电脑卸载软件 MacBook查杀病毒

    随着苹果电脑在全球市场的普及,它们也日益成为恶意软件制作者的目标。这种趋势打破了许多人认为Mac系统不易受到病毒或恶意软件影响的传统观念。事实上,苹果电脑面临的恶意软件和安全威胁正在不断增多,这要求用户采取更加积极的措施来保护自己的设备和数据。下

    2024年04月15日
    浏览(76)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包