【透视Emotet难以遏止的原因】全球最大Botnet起底，他们竟用敏捷开发来加速自我演化！

一群乌克兰警察荷枪实弹闯进一栋民宅进行攻坚，雷霆万钧的逮捕行动，气势惊人。进入民宅内，举目可见的景象，并非黑帮电影常见火力惊人的枪支，也不是各种粉状物，反而是一台台没有安装机壳的电脑、服务器，甚至还有一大堆的硬盘、随身碟，以及大量的现金钞票等等。

因为，乌克兰警方这次逮捕的不是常见的贩毒、拥枪自重者，或是强盗杀人的罪犯，而是看似距离民众生活很远、影响却很深的网络犯罪集团。而且，在这次攻坚行动遭到乌克兰警方逮捕的两名罪犯，也不是一般的黑帽骇客、网络攻击组织成员，而是全球规模最大傀儡网络Emotet的系统管理员。

事实上，网络犯罪已经是各国面临最严重的资安威胁之一，无远弗届的互联网，也让网络犯罪的幕后主使者，不一定要藏身在本国境内，加上，现在有越来越多骇客组织透过云端服务，将各种网络犯罪工具转变成可营利的服务，不仅做到网络犯罪无国界，更可以做到骇客家中坐，千里之外就可以操控各种网络犯罪的发生。

网络犯罪集团拥有的强大的攻击武器，其实就藏在警方找到的一台台硬盘中，当中存放着各式各样的恶意程式、傀儡网络，以及垃圾邮件内的恶意连结和下载器（Downloader）等。而这种网络犯罪的攻击武器，并不是真实世界中的各式枪支弹药，而是储存在各种硬盘中的恶意程式，同时，还有精心打造的网络基础架构，这些也是网络犯罪黑色产业链中，得以持续发展的关键之一。于是，有人说：“恶意程式不死、网络犯罪不止”，无疑就是最贴切的资安威胁写照。

黑色产业的蓬勃发展，可能在很多人的意料之中，但为何他们生生不息、始终无法赶尽杀绝？“有利可图”说得简单，但能否长久经营、永续发展，一定有他们独到的经营之处。

若以乌克兰警方此次参与逮捕Emotet傀儡网络的网络犯罪为例，我们可以发现，这些网络犯罪集团为了在最短的时间内，将全球资安专家或执法单位找到、能借此掌握Emotet的漏洞修补完成，软件开发和修补的“速度”就是关键。

而且，有些资安专家也察觉Emotet已经做到了软件快速迭代，而原因正是Emotet采用了敏捷式的软件开发方式，才可以在和全球执法单位以及资安公司的全面围堵和追杀中，从传统的金融木马持续转型，成为提供网络犯罪工具和服务的组织，并成为全球规模最大的垃圾邮件发送傀儡网络。

1月27日欧洲刑警组织（Europol）宣布，在欧洲刑警组织以及其他八个国家的警方通力合作之下，他们切断了Emotet的基础设施运作。其中，乌克兰警方攻坚民宅的过程，也逮捕到两名Emotet系统管理员，攻坚现场就像是宅男工作室，除了一台台电脑外，还有一大堆硬盘、随身碟以及大量的现金。图片来源／乌克兰警方

瓢虫行动展现执法单位扫荡网络犯罪集团实力

黑色产业的网络犯罪集团和执法单位的对峙，往往是漫长且无止尽的，因为面对网络犯罪集团或一般企业组织，只需对方有一个小漏洞，就可以“攻击”，所以，无论是执法单位想要趁隙而入，或者是企业想做到全面防守，都是高难度的任务。

乌克兰警方这次的攻坚行动，其实是欧洲刑警组织（Europol）日前联合包括荷兰、德国、美国、英国、法国、立陶宛、加拿大，以及乌克兰等八国警方，以及许多资安研究人员携手扫荡的行动之一，目的是破获全球规模最大的傀儡网络（Botnet）Emotet的网络基础架构，而这项攻坚外界称之为瓢虫行动（Operation Ladybird）。

该次行动中，不仅逮捕Emotet的系统管理员，也针对位于九十多个国家、负责下命令与指挥（Command and Control Infrastructure）的基础架构，进行大举破坏并接管。

从乌克兰警方释出的逮捕影片中，我们则可以发现，警方同时查获许多现金、电脑和硬盘等设备，更直接逮捕Emotet的两名系统管理员。

乌克兰警方对外宣称，Emotet造成的损失估计超过25亿美元，主要传播途径是透过垃圾邮件，散布恶意连结，以及恶意文件──透过微软Word文件宏，可以在受害的电脑中，下载银行木马及勒索软件等恶意程式。

对于此次Emotet的侦破，精通俄文并长期观察Emotet等网络犯罪组织运作模式的趋势科技威胁架构师Fyodor Yarochkin（费尔多）表示，这次全球执法单位可以顺利破获Emotet基础架构和逮捕系统管理员，是因为警方有长期的观察和布局，才可能成功。

而从这次的扫荡行动，警方发现，Emotet提供的各种基础架构和网络犯罪工具，往往都是和会说俄文的网络犯罪组织共用，甚至有研究指出，Emotet傀儡网络不会入侵及操控俄语系的电脑。

事实上，这次欧洲刑警组织和八国警方联手策画的瓢虫行动，虽然不是第一次大规模针对傀儡网络的扫荡行动，但同样懂俄文的Fox-IT威胁分析师吴宗育（ZY Wu）认为，此次行动颇具意义。

根据他的观察，此次行动联合了八个国家的执法单位，而且在同一周针对Emotet进行打击，其中也包含以往比较亲俄罗斯的乌克兰警方。

因此，本次行动不仅展现执法单位对于打击网络犯罪的行动力，因为Emotet相对于其他网络犯罪组织显得保守谨慎，各界也了解到，唯有亲俄的乌克兰警方才能够逮捕到Emotet系统管理员，并让其他网络犯罪组织暂时消停。

Emotet像是采用敏捷开发的黑产商业软件公司

敏捷开发是当前软件开发的显学，能让开发团队透过快速迭代的方式，持续修正过往所犯下错误，不过，这并非特定企业组织或个人专利，网络犯罪团体当然也能采用这样的作法，快速调整本身“产品与服务”的适应能力。图片来源／趋势科技

Fyodor Yarochkin长期观察各种骇客集团的运作模式，对于Emotet屹立不摇的原因，他提出一个出乎大家意料却合理的论点，那就是：Emotet的运作模式更像是一般的商业软件公司，只不过他们是以恶意软件的开发为主，其内部组织架构如同一般商业公司，有系统管理员、软件开发工程师和老板等专业分工体系。

他说，若从Emotet各种恶意程式的开发、维运，以及各种恶意程式版本快速迭代、功能更新等过程来看，Emotet有系统管理员、软件开发工程师、老板、开发团队等，再对照他们“出品”的各种恶意程式版本更新速度、新功能增加和自动化部署等流程，甚至可以确定：Emotet更像是一个采用敏捷开发（Agile）的恶意程式商业软件公司。

然而，敏捷开发不代表快速的软件开发，而是软件开发团队可以针对过去在开发过程中，持续修正过往所犯下错误进行的快速迭代过程。

Fyodor Yarochkin指出，若分析Emotet恶意程式每一次的版本更新，我们可以发现，Emotet每次版本更新，其实都会“回应”市面上执法单位或是资安公司的防御机制，就算守方从特定功能面向，阻绝了Emotet进一步的散布，等到下次的软件更版，Emotet就会另辟蹊径，新增不同的功能，针对那些被阻绝的散布管道或是通讯协定，提出新的手法来对应。

而且，Fyodor Yarochkin也说，Emotet恶意程式不论是主要的版本更新或是小型的功能新增，都会先在某一个测试环境测试功能后，才正式发布到产品更新、派送或部署的产品环境中。 “观察Emotet的恶意程式开发流程，和一般商业软件公司相比差不了多少，之外，在版本功能更新和更版速度上，也掌握敏捷开发的精神。”他说。

Emotet恶意程式开发流程也相当严谨，吴宗育长期观察指出，从执行档的特征也可以发现，Emotet开发团队采取模式更倾向敏捷开发，频繁在短时间内释出小幅更新，前后版本相隔时间最短只有一周。

他也说，在正式使用新开发的模组前，Emotet也会先选择少量受感染机器进行客户端实体测试。综观整体开发流程，与一般软件公司的流程十分相近。

更有甚者，吴宗育的观察也发现，Emotet为了确保服务品质，确保傀儡电脑（也称肉鸡）是有价值的受害者，而不是研究者的虚拟机器，或者是资安产品的连线，Emotet开发团队经常修改连线通讯协定（Communication Protocol），只要有公开资讯讨论关于新版的变化，该团队总是可以在最短的时间内，散播下一个可用版本；他说，Emotet也会在中继站上套用各种检查机制，提高资安研究员窥探新攻击行动的难度。

因为敏捷开发是一种快速迭代的过程，比传统的瀑布式开发过程而言，敏捷开发具备快速调整能力，也会在不影响软件开发流程的情况下，针对各种突发状况可以即时因应。

吴宗育认为，从Emotet每次恶意程式的更版速度，以及每一次软件迭代新功能的增加与调整，都可以推测应该是采用敏捷开发方式，也可以和商业软件开发公司做比拟。

吴宗育肯定指出，Emotet甚至可能聘雇专人检查各连线是否为模拟器连线，借此确认资安研究员利用各种方式模仿恶意程式的行为，确认肉鸡是否是真正感染恶意程式。

执法单位掌握Emotet技术面架构弱点

吴宗育表示，此次欧洲刑警组织和八国执法单位联手扫荡Emotet基础设施，该次行动得以成功的关键，有赖于相关的执法单位有效掌握Emotet技术面架构弱点。

他表示，此次执法单位从被警方控制的中继站派送给受感染的傀儡电脑（Bot）一个解除安装的程式、以及一举掌控Emotet通讯协定架构中最关键的第二层与第三层的服务器。

吴宗育也以资安分析师的角度观察，此次行动执法单位对拔除此傀儡网络已经做了充分的准备，并把春风吹又生的可能性降到最低。这次的打击目标是恶名昭彰许久、也是目前最具影响力的垃圾邮件傀儡网络（Spamming botnet）Emotet，此傀儡网络与使用某些TrickBot、Ryuk俄语系精英犯罪组织在过去几年来都是生意伙伴，这次八国联军的瓢虫行动，确实有打击到某些精英犯罪组织的痛点。

他也说，相较在美国大选前，美国网络指挥部（Cyber Command）下令打击TrickBot傀儡网络并未真正解决问题，此次行动在合作与准备方面，可以说给嚣张已久的网络犯罪集团还以颜色。

当网络犯罪集团也用敏捷开发，企业该怎么办？

从各种对于Emotet傀儡网络的研究发现，这是一个也懂得用敏捷开发的网络犯罪集团，每一次更版，都会因应资安公司的阻挡而有各种不同新功能的增加。对于一般的企业和使用者而言，我们应该要如何因应呢？

吴宗育表示，许多资安公司大多有指派内部相关的专家，针对各个层面（包含从Email，恶意程式，模组元件等）进行深度分析，找出变化速度较少特征提供资安产品的防护力，举例来说，垃圾邮件的url蛮长一段时间，都是符合一个Pattern、Document Dropper里面VBA MARCO执行Powershell的某些设定等，长久以来都有相似性，恶意程式本身的API Hash（杂凑值）以及String Encryption只有常数上的差异等等。

所幸，面对这些网络犯罪集团凌厉的攻势，相关防御面作为也不断在进步，有各种不同领域的专家，来自跨国、跨公司的合作等，但吴宗育坦言，一般企业很难与专业的网络犯罪集团交手，除了寻找资安专家的协助外，也有企业透过资安保险来做相关的损害控管。

  

Emotet之所以难以杜绝，他们采用的网络架构是关键，根据趋势科技2019年4月发布的调查报告指出，Emotet可能采用了物联网设备作为命令与控制（C2）的基础设施。图片来源／Black Lotus Labs