本周,安芯网盾监测发现部分客户突遭高频无文件攻击,统计数据显示有超过三万余次攻击行为,该攻击通过钓鱼邮件投放正常Excel,用户打开Excel后将在内存中加载恶意行为,攻击手段较为隐蔽,能够绕过部分安全防护手段,具体攻击分析如下:
- 通过邮件附件的xls文件传播,用户打开该xls并启用宏后,宏代码会启动cmd.exe。
- exe运行mshta.exe解析某html,下载和执行PowerShell恶意代码。
- 该恶意代码会将恶意载荷下载到内存并执行,实现无文件攻击。
- 其最终目的是下载并执行Emotet远控木马,控制被攻陷的主机。
恶意Excel文档进程树如下:
PowerShell恶意代码片段如下:
Emotet于2014年以银行木马的形式出现,主要窃取财务和个人数据。但是,在接下来的几年中,该恶意软件逐渐演变成一个僵尸网络,能够横向感染多个设备。除了僵尸网络之外,Emotet还能充当下载程序,成为其他恶意软件的传播载体。
经安芯网盾安全专家分析,该攻击可导致受害主机被远程控制。在此提醒大家,近期收到可疑邮件后,切勿打开附件,应第一时间联系所在单位的安全运维人员,以免遭受侵害。如有需要,可随时联系安芯网盾,我们将第一时间协助您进行处置。