曾经臭名昭著的僵尸网络Emotet在2021年初遭到全球执法打击后消失了一段时间,现在又以凶猛的势头卷土重来。据Securityaffairs等网站消息,Emotet自去年11月卷土重来后发展迅猛,已感染179个国家约13万台主机。Emotet于2014年首次被发现,最初以银行木马病毒的形式传播,但随着其发展,逐渐包含越来越多的恶意程序,如Trickbot、QBot,以及勒索软件Conti、ProLock、Ryuk、Egregor等.,并建立了一个巨大的僵尸网络。2021年11月,来自多家网络安全公司(Cryptolaemus、GData和AdvancedIntel)的研究人员报告说,攻击者正在使用TrickBot恶意软件在受感染的设备上放置Emote加载程序。重建Emotet僵尸网络活动的基础设施。研究人员指出,新的Emotet有一些新的特点:除了可以逃避检测和分析,它还可以对网络流量进行加密,并将进程列表分离到自己的模块中;它使用椭圆曲线密码术(ECC)方案代替RSA加密进行网络流量保护和认证;新版本只会在与C2建立连接后才会部署进程列表模块;增加了更多的信息收集功能,以便更好地进行系统分析,而之前,Emotet只会发回正在运行的进程列表。但与之前的版本类似,Emotet的大部分C2基础设施位于美国和德国,其次是法国、巴西、泰国、新加坡、印度尼西亚、加拿大、英国和印度;在机器人(Bot)方面,重点是日本、印度、印度尼西亚、泰国、南非、墨西哥、美国、中国、巴西和意大利。分析人士认为,排名靠前的国家是因为这些地区拥有更多过时且易受攻击的Windows设备。去年初,来自荷兰、德国、美国、英国、法国、立陶宛、加拿大和乌克兰的执法部门开展了破坏Emotet相关基础设施的行动。从这一点来看,这次行动并不彻底,导致Emotet在沉寂半年之后复活。
