微软：Emotet通过使所有计算机过热关闭网络

　　微软表示，受Emotet感染的原因是，一名员工被骗打开网络钓鱼电子邮件附件后，Windows设备上的CPU数量最大化，并使Internet连接中断，从而破坏了组织的整个网络。

　　“经过钓鱼电子邮件发送Emotet，一个多形态病毒，通过网络共享和原有协议中传播时，病毒关闭了组织的核心业务，”DART说。

　　据win10官网了解“该病毒避免了通过由攻击者控制的命令和控制(C2)基础结构进行定期更新来通过防病毒解决方案进行检测，并在公司的系统中传播，导致网络中断并关闭了将近一周的基本服务。”

　　一周内所有系统停机Emotet有效负载已在Fabrikam的系统上交付并执行-Fabrikam是在案例研究中Microsoft为受害者提供的假名-在将员工的用户凭据泄露到攻击者的命令和控制(C&C)服务器五天后。

　　在此之前，威胁参与者使用被盗的凭据向其他Fabrikam员工及其外部联系人发送网络钓鱼电子邮件，越来越多的系统受到感染并下载了其他恶意软件有效载荷。

　　通过窃取在新系统上对其自身进行身份验证的管理员帐户凭据，该恶意软件进一步在网络中传播，而没有引起任何危险，后来被用作攻击其他设备的垫脚石。

　　自从第一个诱骗陷阱打开附件以来的八天之内，尽管IT部门做出了努力，但Fabrikam的整个网络都陷于瘫痪，由于蓝屏，导致PC过热，冻结和重新启动，并且由于以下原因，Internet连接速度变慢了Emotet吞噬了所有带宽。

　　DART的案例研究报告说：“当他们的最后一台机器过热时，Fabrikam知道问题已经正式失控了。'我们想停止这种大出血，'一位官员后来说道。”

　　“有人告诉他该组织有一个广泛的系统来防止网络攻击，但是这种新病毒逃避了他们所有的防火墙和防病毒软件。现在，当他们一台电脑观看蓝屏时，他们一无所知。接下来。”

　　根据官员在事件发生后所说的话，尽管尚未得到官方证实，但微软检测与响应团队(DART)所描述的攻击与恶意软件攻击相匹配，正如ZDNet最初注意到的那样，该攻击于2018年2月影响了宾夕法尼亚州的阿伦敦。

　　当时，市长Ed Pawlowski表示，纽约市必须向微软支付近100万美元以清理其系统，其中包括包含恶意软件的初始应急费用185,000美元，以及高达90万美元的额外恢复费用，如最初报道的那样。

　　“官员宣布，该病毒威胁的所有Fabrikam的系统，甚至其185监控摄像头网络，” DART的报告说。

　　“其财务部门无法完成任何外部银行交易，合作伙伴组织也无法访问Fabrikam控制的任何数据库。这很混乱。

　　“他们无法判断黑客的外部网络攻击是否导致了关机或是否正在处理内部病毒。如果他们甚至可以访问其网络帐户，那将有所帮助。

　　“ Emotet消耗了网络的带宽，直到将其用于几乎任何事情为止。甚至电子邮件也无法通过。”

　　在Fabrikam网络上的第一台设备遭到破坏之后的八天之内，微软的DART(一个远程小组和一个负责现场攻击的小组)被召集。

　　DART使用资产控件和缓冲区来包含Emotet感染，这些资产控件和缓冲区用于设计具有管理员特权的资产。

　　在上载新的防病毒签名并部署Microsoft Defender ATP和Azure ATP试用版以检测和删除恶意软件之后，他们最终能够完全根除Emotet感染。

　　Microsoft建议使用电子邮件过滤工具自动检测并阻止传播Emotet感染的网络钓鱼电子邮件，并建议采用多因素身份验证(MFA)阻止攻击者利用被盗凭据。

　　Emotet最初于2014年被发现为银行木马，如今已演变成一种恶意软件加载器，威胁参与者使用它来安装其他恶意软件家族，包括但不限于Trickbot银行木马(用于运送Ryuk勒索软件有效载荷的已知载体)。

　　Emotet最近升级了Wi-Fi蠕虫模块，旨在帮助其通过附近不安全的无线网络传播给新的受害者 。

　　最近，在2020年1月，网络安全和基础设施安全局(CISA)警告政府和私人组织以及家庭用户，围绕有针对性的Emotet攻击的活动有所增加。

　　在2019年11月，澳大利亚信号局的澳大利亚网络安全中心(ACSC)也警告了Emotet攻击背后的危险，并表示当时该恶意软件“为攻击者提供了立足点，可以通过网络进行更多攻击。通过部署勒索软件导致进一步的损害。”

　　Emotet在互动恶意软件分析平台Any公布的``十大最常见威胁''排名中排名 第一 。该应用程序于2019年12月底运行，提交分析的样本上传数量是排名第二的恶意软件的三倍。特斯拉特工信息窃取者。

　　CISA提供了一般最佳实践，以限制Emotet攻击的影响并在两年前 发布并于今年初更新的Emotet恶意软件警报中包含网络感染 。