Emotet 攻擊流竄中！以加密惡意附件躲避防毒機制偵測

2021年被歐洲刑警組組與其他8個國家執法機構聯手抄底，並自遠端移除傀儡網路而暫時銷聲匿跡的Emotet再度現蹤。最近全球流竄著 Emotet 擴散的垃圾郵件，主要特徵是帶有一個 .xlsm 或經 zip 加密的 .xlsm 的惡意附件。

這波攻擊以經zip加密的惡意附件躲避防毒機制的偵測

攻擊手法分析

當收件者不慎執行惡意 xlsm 巨集，會從 .xlsm 內紀錄的 URL 清單嘗試下載副檔名為 .ocx 檔，實為 DLL 的檔案回來執行。接著使用 regsvr32.exe -s 指令，於收件者的 Windows 內執行 .ocx。

接下來進行潛伏：將 .ocx 複製到使用者目錄下的「AppData\Local\隨機目錄名稱」，並隨機取名 xxxxxxx.yyy (x長度不定)，再將該 .ocx 刪除。執行 C:\Windows\system32\regsvr32.exe /s "C:\Users\使用者名稱\AppData\Local\隨機目錄名稱下的惡意檔案，並透過 registry 設定開機執行。

值得留意的是，惡意檔案直接以加密的手段躲避防毒機制的檢查，而加密壓縮檔內的 .xlsm 又以混淆手段，製造防毒機制的檢查難度。目前 SPAM SQR 可辨識這類惡意郵件，並與 ASRC 研究中心密切合作追蹤這類攻擊的擴散及變形情況，隨時更新防禦。

為了成功入侵，駭客攻擊手法不斷演進，發展出各種能夠躲避偵測的攻擊。只有防毒或基礎的郵件防禦，已無法對抗駭客日益精進的進階攻擊。中華數位科技 SPAM SQR 除了以多層次過濾機制對抗入侵，其 ADM (Advanced Defense Module) 進階防禦機制，能自動解封裝檔案進行掃描，可發掘潛在代碼、隱藏的邏輯路徑及反組譯程式碼，以利進行進階惡意程式比對。可進階防禦魚叉式攻擊、匯款詐騙、APT 攻擊郵件、勒索病毒以及新型態攻擊等郵件。

新型態攻擊防禦詳細資訊，歡迎參考中華數位科技企業威脅防禦解決方案，或洽客服專線 02-2543-2000。