معرفی بدافزار Emotet و نحوه حفاظت در برابر آن
۹ شهریور ۱۳۹۸

بدافزار Emotet چیست و نحوه حفاظت در برابر آن

تروجان Emotet برای اولین بار توسط محققان امنیتی در سال ۲۰۱۴ به عنوان یک بدافزار بانکی شناخته شده است، این تروجان اطلاعات مهم و خصوصی کاربران را به صورت پنهانی به سرقت می‌برد. ابتدایی ترین نسخه از این بدافزار یک فایل جاوا اسکریپت(js) است که از طریق ایمیل که اصطلاحاً هرزنامه  به آن اطلاق می‌شود که این ایمیل‌ها حاوی بدافزار می‌باشند گسترش یافته و تا کنون چندین نسخه از آن توسعه یافته است، نسخه اخیر این تروجان نشان می‌دهد در فایل های اسناد office که قابلیت اجرای ماکروها در آن‌ها فعال باشد برای بازیابی پی‌لود ویروس از سرور فرمان و کنترل  C2 که توسط مهاجم اجرا می‌شود استفاده می‌نماید. Emotet از ترفندهایی برای جلوگیری از شناسایی و تجزیه و تحلیل استفاده می کند. Emotet یک پلی مورفیسم (یا چند شکل) است ، به این معنی که می تواند پس از هر بار دانلود خود را به گونه‌ای تغییر دهد که مانع از شناسایی مبتنی بر امضاء گردد.

Emotet همچنین از سرورهای C2 به همان روشی که سیستم عامل بر روی رایانه به روز می‌شود اقدام به به‌روزرسانی خود می‌نماید و می‌تواند یکپارچه و بدون هیچ گونه علائم بیرونی اتفاق بیفتد. این قابلیت حتی به مهاجمان اجازه می‌دهد تا نسخه‌های به روز شده سایر بدافزارها، مانند سایر تروجان‌های بانکی را نصب کنند، یا مانند یک زمین زباله (dumping ground) برای اطلاعات سرقت شده مانند اعتبار، نام کاربری و رمزعبور و آدرس های ایمیل عمل کنند.

بدافزار Emotet چه کسانی را هدف قرار داده است؟

هر کسی می تواند به عنوان هدف بدافزار Emotet باشد. تا به امروز، Emotet اطلاعات افراد ، شرکت‌ها و نهادهای دولتی را در سراسر ایالات متحده و اروپا به سرقت برده است، اطلاعات ورود به سیستم‌های بانکی، داده های مالی و حتی کیف پول بیت کوین را نیز سرقت کرده است.

روش توزیع اصلی Emotet از طریق هرزنامه‌هایی است که حاوی بدافزار می‌باشند. Emotet در لیست مخاطبین جستجو می‌کند و خود شروع به ارسال ایمیل برای دوستان ، خانواده ، همکاران و مشتری‌های قربانیان می‌کند. از آنجا که این ایمیل‌ها از حساب ایمیل ربوده شده فرد قربانی می‌آیند، این ایمیل ها شبیه به هرزنامه نیستند و گیرندگان، با احساس امنیت به کلیک بر روی URL های مخرب و دانلود فایل‌های آلوده، سیستم خود را آلوده می‌نمایند.

اگر یک شبکه متصل موجود باشد، Emotet با استفاده از لیستی از رمزهای عبور معمول یا با استفاده از حمله جستجوی فراگیر خود را در شبکه پخش می‌کند. اگر از گذرواژه‌های ساده برای سرورهای مهمی چون سرور منابع انسانی استفاده شده باشد، احتمال نفوذ Emotet به آنها بسیار زیاد خواهد بود.

چگونه از خود در برابر Emotet حفاظت نماییم؟

یادگیری نحوه کار این تروجان خود نخستین اقدام برای حفاظت در برابر آن محسوب می‌شود. در گام بعدی باید سعی شود با آخرین وصله‌ های موجود ویندوز خود را به روزرسانی نمایید، باید توجه نمود که TrickBot اغلب به عنوان پی‌لود ثانویه Emotet تحویل می‌شود و می‌دانیم که این تروجان بر آسیب‌پذیری Eternal Blue در ویندوز برای انجام کارهای مخرب خود تکیه دارد، بنابراین پیش از آنکه مجرمان سایبری از این حفره استفاده نمایند، ویندوز خود را وصله نمایید. در ایمیل‌هایی که دریافت می‌نمایید فایل‌های پیوست شده مشکوک را باز نکنید یا بر روی لینک‌های مشکوک کلیک نکنید. اگر مدیر سازمانی هستید به کاربران خود بیاموزید که چگونه با هرزنامه‌های مخرب رفتار نمایند. از رمزهای عبور قوی استفاده نمایید. همچنین می‌توانید از برنامه‌هایی که حفاظت چندلایه‌ای را فراهم می‌آورند استفاده نمایید.

مراجع

[۱]. https://www.malwarebytes.com/emotet/

[۲].https://www.fortinet.com/blog/threat-research/deep-dive-into-emotet-malware.html