【难以根除的傀儡网络】Emotet采用多层次网络架构，垃圾邮件是主要散播管道

根据US-CERT的说法，类似欧洲刑警组织这种针对Emotet傀儡网络的扫荡行动，每一次行动至少都要花费百万美元以上，显见，这种傀儡网络对全球造成的损失虽然巨大，但警方想要抄家，也非易事。

Emotet最早在2014年就是一个金融木马的骇客组织，但后来慢慢转型，成为提供网络犯罪基础架构，以及相关恶意程式与工具的幕后黑手。

Fox-IT威胁分析师吴宗育（ZY Wu）则从技术层面，来剖析Emotet这个全球规模数一数二的傀儡网络，他表示，Emotet 中继站设计成多层次网络架构。

第一层为受 Emotet 感染的受骇主机，第二层通常架设于被入侵的网站服务器上，而第三层（目前主流共识的研判）为黑客实际注册的服务器，每一层架构会负责将流量导向下一层。他坦言，Emotet这样的设计方式，除了让执法单位拔除整个傀儡网络的难度更高之外，也使外界更难窥得完整的网络架构。

进一步分析可以发现，此架构第一层的中继站为受感染的电脑，这些电脑时常隐藏在局域网络 （NAT）内部，Emotet 模组化的设计得以在感染电脑后，从中继站派送通用随插即用模组 （UPNP Module），此模组会向局域网络的路由器，来注册通讯埠转发（Port Forwarding），让外网受感染的机器可与位于内网的傀儡电脑进行沟通。

因为Emotet在相关恶意程式的派送和部署等相关的设置，都可以透过自动化方式完成，也会使得相关网络骇客组织管理、设置恶意网络的成本降得更低。

他也引述根据趋势科技的研究来印证，因为在2018年，这傀儡网络有两组互不相通的架构平行运作，至今，大家已观察到三组独立架构，只不过，Emotet为何采用这种网络架构？背后原因仍然成谜。

Emotet最主要的三种传播方式

事实上，若单就Emotet而言，也是最恶名昭彰的垃圾邮件傀儡网络。

吴宗育表示，Emotet有三种主要的传播方式，第一种是透过账号密码窃取模组（Credential Stealer Module），将受害者电脑上的账号、密码传送回中继站，回传的资料中，就有机会得知包含信箱的账号、密码等资讯。

第二种就是使用邮件窃取模组（Email Stealer），将受害者电脑上的信件传送回中继站，再从信件中，获得攻击目标的资讯。从2019年底开始，傀儡网络也会回复偷取的信件，借此增加社交工程成功概率。

至于第三种，则是垃圾邮件发送模组（Spamming Module），从受害者电脑上登入被窃取的邮件信箱帐密，并自动寄出垃圾邮件。

这个方式也与以往垃圾邮件发送方式不同，该模组因为通过邮件服务器的认证，寄送者会视为正常的邮件服务器。

而Emotet 对内则会利用字典档攻击方式，针对管理者共用机制（Admin Shares）、Wi-Fi服务器进行散播；这些字典档的字库内容，就可能是来自遭窃取账号、密码中所统计出来的最常使用的弱密码。

吴宗育表示，若以技术角度面切入分析可以发现，自2018年起，Emotet对外提供网络犯罪服务的对象，屈指可数，有哪些主要客户？如用The Trick gtag=mor开头的集团，以及使用Qakbot 的集团。

他指出，目前俄罗斯精英网络犯罪组织经营方式，已和一般中小企业无大差别。

以俄罗斯检调单位对Lurk网络犯罪集团的起诉书为例，该集团于莫斯科与叶卡捷琳堡，皆设有实体办公室，所以，此次八国联手对Emotet抄底的据点，也有可能是Emotet的实体办公室，而这和其他俄罗斯精英网络犯罪组织的运作趋势相符。

面对Emotet的解决之道

因为Emotet是透过垃圾邮件散布，如果使用者或许无法察觉个人电脑遭到Emotet“挟持”的话，会有什么特征呢？吴宗育表示，目前所知，荷兰警方有提供电子邮件查验的服务，可以确认个人使用的电子邮件是否是Emotet用来滥发垃圾邮件的傀儡电脑（查验网址）。

另外，也可以细心一点从日常工作和生活中观察异状，吴宗育举例，像是有信件来往的客户向你抱怨，说你跟他的信件来往中怎么多了一个看不懂的附件或是url等，都可能是个人电脑遭到Emotet等傀儡网络滥用的征兆。

虽然，现在的恶意程式不容易让一般使用者察觉，也不容易检查，但如果怀疑垃圾邮件的附件可能是恶意文件，可以上传VirusTotal做检查，但这对于加密附件无效。

他也说，因为恶意程式会自动化的往内网横向移动，也会利用社交工程方式，引诱使用者毫不迟疑地打开邮件，他建议，防毒软件的扫描是不可或缺的基本工具，若有疑似现象时，建议应该要请专家来进行检查。

趋势科技指出，Emotet主要通过电子邮件传递，采用社交工程技巧，并可能使用合法的电子邮件地址发送。为避免在不知不觉中下载此恶意软件，因此，趋势科技建议，使用者应该要避免打开未知或可疑的电子邮件。

由于Emotet放弃了SMB漏洞作为传播方法，趋势科技表示，保持使用者电脑系统更新，也很重要；透过定期更改密码，对于打击Emotet也很有用。趋势科技也观察到，该恶意软件会丢弃浏览器和电子邮件密码抓取模块，借此窃取使用者的凭证，或是使用类似Mimikatz等黑客工具来恢复存储的密码。

Emotet在疫情大流行期间活跃，常用COVID-19作为垃圾邮件主旨

2020年因为COVID-19全球大流行，对于许多网络犯罪集团也造成冲击。吴宗育观察表示，COVID-19在俄罗斯肆虐的那段期间，很多恶意活动都处于停止或类似休眠的状态，就像俄语系的网络犯罪集团或黑客族群都死了；但后来随着封城措施逐步解封，原先俄语系的网络犯罪集团的网络活动，又陆续活跃起来。他认为，从上述的现象也可以印证，这些网络犯罪集团的本业，极可能有实体办公室。

因为Emotet是一个很爱用时下当红话题来诱骗受害者手段的网络犯罪集团，许多资安专家也发现，他们会使用大量与COVID-19相关邮件主题，来攻击受害者，甚至包含各种医疗机构在内。

电脑使用者如果想要确认自身是否曾经沦为Emotet傀儡网络的其中一员，想确认电子信箱是否遭到滥用，可以采用荷兰警方的电邮查验服务做相关的确认。

 阻挡Emotet必用的恶意IP地址清单 

这次八国联手抄底Emotet，各国执法单位也掌握不同IOC的IP地址，Fox-IT威胁分析师吴宗育（ZY Wu）表示，企业资安从业人员务必将相关的IP地址汇入自家的防火墙规则中，一旦察觉到企业内网环境对外连线到下列IP地址，应该要尽速请资安事件调查专家介入，清理可能遭到Emotet污染的内网环境。下列是阻挡的IP地址清单：

80.158.3.161:443

80.158.51.209:8080

80.158.35.51:80

80.158.63.78:443

80.158.53.167:80

80.158.62.194:443

80.158.59.174:8080

80.158.43.136:80

 相关报导  百炼成魔：Emotet傀儡网络为何难以打倒？