最新公告
  • 欢迎您光临站壳网,本站秉承服务宗旨 履行“站长”责任,销售只是起点 服务永无止境!立即加入我们
  • 是的,你没看错,Emotet恶意软件竟然也被别人黑了!近日,有人为了拿Emotet僵尸网络来开涮,竟然直接入侵了Emotet恶意软件的分发站点,并替换掉了Emotet原本所使用的恶意Payload以及GIF图片。

    研究人员发现,这一次针对Emotet恶意软件的攻击活动在过去的几天时间里一直都在进行,而这一次的攻击活动也导致Emotet垃圾邮件活动暂停了一段时间,因为他们需要想办法重新拿回自己Emotet分发网站的控制权限。

    Emotet恶意软件竟然也被黑了?

    大家应该都知道,Emotet的发行和传播依赖于这些被黑客攻击的网站网络犯罪分子需要利用这些网站来存储用于垃圾邮件活动的攻击Payload。

    当垃圾邮件活动的目标用户受骗上当并打开了垃圾邮件的附件时,嵌入在恶意附件中的恶意宏将会被执行,并从僵尸网络中获取并下载Emotet恶意软件的Payload。

    如果没有这些恶意Payload,那么目标用户的电脑就不会被Emotet所控制。因此,无论是和人在僵尸网络的分发网络中替换了原本的恶意软件(Payload),这一行为都是对用户有益的,同时这一行为也让Emotet背后的攻击者忙得不可开交了。

    Joseph Roosen是Cryptolaemus研究小组的成员,他一直在跟Emotet恶意软件打交道,他也将此次针对Emotet恶意软件活动背后的人称之为“白衣骑士”。

    目前,Emotet僵尸网络分发站点上的恶意文档以及Payload已经被替换成了各种图片。研究人员打开Emotet恶意软件的分发站点之后,首先看到的是詹姆斯·弗兰科的照片,然后Emotet分发网站也变成了Hackerman meme的相关内容。

    Emotet恶意软件竟然也被黑了?

    Emotet恶意软件竟然也被黑了?

    Roosen在其发表的推文中写道:“目前,针对Emotet恶意软件的攻击活动仍然处于进行之中,受影响的站点是Emotet T1发行站点,这个站点主要负责托管垃圾邮件活动中所使用的恶意附件文档以及恶意软件。”

    研究人员在接受BleepingComputer的采访时表示,Emotet背后的攻击者之所以将垃圾邮件活动置于待命状态,就是因为“白衣骑士”这一次的行为。当然了,Emotet背后的攻击者可能会对Emotet进行一些升级和改变,以保护他们的恶意活动。

    在发送垃圾邮件时,Emotet会使用各种不同的电子邮件模板和恶意附件文档来实现恶意软件的传播。

    有些垃圾邮件会将恶意Word文档直接附加到电子邮件中,而其他的一些垃圾邮件则会包含用户必须单击才能下载文档的链接。

    对于那些包含钓鱼链接的恶意电子邮件,当目标用户点击它们之后,原本应该打开和安装的是恶意文档/恶意软件,但现在他们将会看到一个meme或毫无意义的图像。

    下面给出的是目前Emotet分发站点目前的样子:视频地址:https://vimeo.com/441369969

    微软网络安全研究人员Kevin Beaumont也注意到了此次针对Emotet的攻击活动,他对Emotet发行站点进行了检查,并且发现其中大约有四分之一的Payload已经被GIF图片所代替了。

    研究人员表示,整个内容替换活动发生的非常快,当Emotet上传了恶意Payload之后,它们便在不到一个小时的时间里全部被替换掉了。除此之外研究人员还发现,在某些情况下,攻击者的行动速度更加快的惊人,他们竟然可以在不到两分钟内的时间里就更换了恶意软件Payload。

    实际上,Emotet背后的攻击者一直都在使用Webshell来管理和维护其分发网络。因此,目前最合理的解释就是,有人获取到了Emotet的管理密码,并决定利用这个优势来对Emotet进行攻击。

    Kevin Beaumont在2019年12月底曾通过发表推文表示,Emotet背后的攻击者使用了一款开源的Webshell来实现对分发网站的管理和控制,并循环生成访问密码,因为这样就不必再为修改密码而烦恼了。但是现在,研究人员相信是有人在Emotet分发站点上获取到了Webshell的密码,并决定以编程的方式替换了站点上原有的恶意Payload。

    但是,Roosen还指出,Emotet可能还有其他方法来传播和投放其恶意Payload,并且可以想办法重新获取并访问他们用来传播恶意软件的网站

    如果Emotet背后的攻击者仍然能够控制网站托管的硬件设备,那么他们就可以使用不同的密码来部署新的Webshell,并重新拿回Emotet分发网络的控制权。但是,Emotet所使用的服务器很可能是从其他执行流量重定向攻击的网络犯罪分子手上买过来的,而这些重定向攻击活动可以通过钓鱼网站或合法网站中的广告以

    及虚假促销来吸引用户,并想办法将用户骗入各种欺诈活动之中。

    在本文发稿之时,Emotet站点上一些被替换的内容已经被重定向至其他资源了。

    1. 本站所有资源来源于用户上传和网络,如有侵权请邮件联系站长!
    2. 分享目的仅供大家学习和交流,您必须在下载后24小时内删除!
    3. 不得使用于非法商业用途,不得违反国家法律。否则后果自负!
    4. 本站提供的源码、模板、插件等等其他资源,都不包含技术服务请大家谅解!
    5. 如有链接无法下载、失效或广告,请联系管理员处理!
    6. 本站资源售价只是赞助,收取费用仅维持本站的日常运营所需!
    7. 如遇到加密压缩包,默认解压密码为"www.yoozai.net",如遇到无法解压的请联系管理员!
    悠哉网 » Emotet恶意软件竟然也被黑了?

    常见问题FAQ

    免费下载或者VIP会员专享资源能否直接商用?
    本站所有资源版权均属于原作者所有,这里所提供资源均只能用于参考学习用,请勿直接商用。若由于商用引起版权纠纷,一切责任均由使用者承担。更多说明请参考 VIP介绍。
    提示下载完但解压或打开不了?
    最常见的情况是下载不完整: 可对比下载完压缩包的与网盘上的容量,若小于网盘提示的容量则是这个原因。这是浏览器下载的bug,建议用百度网盘软件或迅雷下载。若排除这种情况,可在对应资源底部留言,或 联络我们.。
    找不到素材资源介绍文章里的示例图片?
    对于PPT,KEY,Mockups,APP,网页模版等类型的素材,文章内用于介绍的图片通常并不包含在对应可供下载素材包内。这些相关商业图片需另外购买,且本站不负责(也没有办法)找到出处。 同样地一些字体文件也是这种情况,但部分素材会在素材包内有一份字体下载链接清单。
    站壳网
    一个高级程序员模板开发平台

    发表评论

    发表评论

    • 446会员总数(位)
    • 4106资源总数(个)
    • 77本周发布(个)
    • 19 今日发布(个)
    • 127稳定运行(天)

    提供最优质的资源集合

    立即查看 了解详情