惡意軟體Emotet捲土重來濫用.LNK文件進行攻擊，OPSWAT提出只需要一項技術就能有效保護組織。

Emotet 被認為是目前最普遍、最具破壞性和修復成本最高的惡意軟體 (1)。 它主要通過包含惡意連結或受感染文件的網路釣魚電子郵件進行傳播。 一旦受害者下載文件或點擊連接，附加的惡意軟體就會自動下載到他們的設備上，然後在企業的網路中不斷地複製、擴散。

儘管由於國際執法和司法當局（1）的推動，它於2021年1月被大規模刪除，但Emotet繼續蓬勃發展，並以更複雜的技巧傳播惡意軟體。其中一種策略利用Windows快捷方式檔（.LNK）包含PowerShell命令，用於在受害者的設備上下載Emotet有效payload。惡意程式作者進行了此調整，以規避 Microsoft 啟動的 VBA 保護。

2022年4月，一項新的Emotet活動濫用壓縮方式的LNK檔被發現。在這篇文章中，我們分析了這個媒介，並演示如何使用OPSWAT MetaDefender來防止這些類型的惡意軟體。

Emotet 傳播鏈

Emotet 殭屍網路運營商通過垃圾郵件開始攻擊，該垃圾郵件包含受密碼保護的惡意 zip 檔，其中包含嵌入的快捷方式連結檔 （.LNK）。他們濫用快捷方式檔，因為它很難區分。該文件偽裝成帶有圖示的文件檔，預設情況下，擴展名在 Windows 中不顯示。

在受害者提取 zip 檔並執行 .LNK檔，它會在其設備上的臨時資料夾中刪除有害的Microsoft VBScript（Visual Basic Script）。

這個被刪除的 VBScript 執行後會從遠端伺服器下載 Emotet playload。 一旦此二進制程式檔文件被下載後，它會將文件保存到 Windows 的臨時目錄並使用 regsvr32.exe 執行它。 一旦被感染，Emotet 會自我複製以傳播到網路中的其他電腦上。

 

如何防止 Emotet 和類似的進階攻擊
 

全球政府機構和網路安全專家提供了許多建議和指導，以幫助用戶識別和防禦複雜的 Emotet 活動 (2)，例如：

• 不要打開可疑的電子郵件附件或點擊電子郵件內文中的可疑連結。
• 確保您的員工經過充分培訓，能夠識別可疑的電子郵件連結和附件
• 使您的作業系統、應用程式和安全軟體保持最新

借助 OPSWAT Email Gateway Security 和 OPSWAT MetaDefender Core，您可以輕鬆全面地保護您的組織免受 Emotet 以及其他進階具規避性的威脅。 我們市場領先的 Deep CDR（內容清洗和重建）禁用隱藏在文件中的已知和未知威脅。 根據我們的零信任理念，我們假設進入您網路的所有文件都是惡意的，因此我們會在每個文件到達您的用戶之前對其進行掃描、清理和重建。 隱藏在文件中的所有活動內容都將被中和或刪除，確保為您的組織提供無威脅的環境。

當前的 Emotet 威脅如何被阻止的狀況如下：

1. OPSWAT Email Gateway Security 隔離受密碼保護的附件。
2. 要下載附件，收件人需要向隔離系統提供文件密碼。
3. MetaDefender Core 使用我們稱為 Metascan 的多重掃描解決方案掃描文件以查找已知惡意軟體。 如下圖所示，11/16 引擎成功檢測到威脅。

4.MetaDefender Core 提取附件，並使用 Deep CDR 引擎遞歸清理每個嵌套檔。下面的結果顯示找到並刪除了物件。

在清理過程中，Deep CDR 將 .LNK 文件的惡意命令替換為 dummy.txt 以消除威脅。

5.Email Gateway Security將帶有無威脅附件的電子郵件釋放給使用者。以下是清理後文件的掃描結果。未檢測到威脅。

6.用戶現在可以在他們的機器上解壓縮附件並生成 LNK 文件，而不必擔心任何安全問題。 即使用戶打開 LNK 文件，也不會下載到惡意軟體，因為 LNK 文件的惡意命令已經被替換。

了解有關 OPSWAT Deep CDR 的更多資訊或與我們聯繫了解最佳網路安全解決方案，以保護您的公司網路和用戶免受危險和復雜的網路攻擊。

參照

(1) CyberNews. 2022. 'World’s most dangerous malware' Emotet disrupted. [online] Available at: <https://cybernews.com/news/worlds-most-dangerous-malware-emotet-disrupted>; [Accessed 9 June 2022].

(2) Ipa.go.jp. 2022. 「Emotet（エモテット）」と呼ばれるウイルスへの感染を狙うメールについて：IPA 独立行政法人 情報処理推進機構. [online] Available at: <https://www.ipa.go.jp/security/announce/20191202.html#L20%3E>; [Accessed 8 June 2022].