【透視 Emotet 難以遏止的原因】全球最大 Botnet 起底,他們竟用敏捷開發來加速自我演化!

【透視 Emotet 難以遏止的原因】全球最大 Botnet 起底,他們竟用敏捷開發來加速自我演化!

一群烏克蘭警察荷槍實彈闖進一棟民宅進行攻堅,雷霆萬鈞的逮捕行動,氣勢驚人。進入民宅內,舉目可見的景象,並非黑幫電影常見火力驚人的槍枝,也不是各種粉狀物,反而是一臺臺沒有安裝機殼的電腦、伺服器,甚至還有一大堆的硬碟、隨身碟,以及大量的現金鈔票等等。

因為,烏克蘭警方這次逮捕的不是常見的販毒、擁槍自重者,或是強盜殺人的罪犯,而是看似距離民眾生活很遠、影響卻很深的網路犯罪集團。而且,在這次攻堅行動遭到烏克蘭警方逮捕的兩名罪犯,也不是一般的黑帽駭客、網路攻擊組織成員,而是全球規模最大傀儡網路 Emotet 的系統管理員。

事實上,網路犯罪已經是各國面臨最嚴重的資安威脅之一,無遠弗屆的網際網路,也讓網路犯罪的幕後主使者,不一定要藏身在本國境內,加上,現在有越來越多駭客組織透過雲端服務,將各種網路犯罪工具轉變成可營利的服務,不僅做到網路犯罪無國界,更可以做到駭客家中坐,千里之外就可以操控各種網路犯罪的發生。

網路犯罪集團擁有的強大的攻擊武器,其實就藏在警方找到的一臺臺硬碟中,當中存放著各式各樣的惡意程式、傀儡網路,以及垃圾郵件內的惡意連結和下載器(Downloader)等。而這種網路犯罪的攻擊武器,並不是真實世界中的各式槍枝彈藥,而是儲存在各種硬碟中的惡意程式,同時,還有精心打造的網路基礎架構,這些也是網路犯罪黑色產業鏈中,得以持續發展的關鍵之一。於是,有人說:「惡意程式不死、網路犯罪不止」,無疑就是最貼切的資安威脅寫照。

黑色產業的蓬勃發展,可能在很多人的意料之中,但為何他們生生不息、始終無法趕盡殺絕?「有利可圖」說得簡單,但能否長久經營、永續發展,一定有他們獨到的經營之處。

若以烏克蘭警方此次參與逮捕 Emotet 傀儡網路的網路犯罪為例,我們可以發現,這些網路犯罪集團為了在最短的時間內,將全球資安專家或執法單位找到、能藉此掌握Emotet的漏洞修補完成,軟體開發和修補的「速度」就是關鍵。

而且,有些資安專家也察覺 Emotet 已經做到了軟體快速迭代,而原因正是 Emotet 採用了敏捷式的軟體開發方式,才可以在和全球執法單位以及資安公司的全面圍堵和追殺中,從傳統的金融木馬持續轉型,成為提供網路犯罪工具和服務的組織,並成為全球規模最大的垃圾郵件發送傀儡網路。


瓢蟲行動展現執法單位掃蕩網路犯罪集團實力

黑色產業的網路犯罪集團和執法單位的對峙,往往是漫長且無止盡的,因為面對網路犯罪集團或一般企業組織,只需對方有一個小漏洞,就可以「攻擊」,所以,無論是執法單位想要趁隙而入,或者是企業想做到全面防守,都是高難度的任務。

烏克蘭警方這次的攻堅行動,其實是歐洲刑警組織(Europol)日前聯合包括荷蘭、德國、美國、英國、法國、立陶宛、加拿大,以及烏克蘭等八國警方,以及許多資安研究人員攜手掃蕩的行動之一,目的是破獲全球規模最大的傀儡網路(Botnet)Emotet 的網路基礎架構,而這項攻堅外界稱之為瓢蟲行動(Operation Ladybird)。

該次行動中,不僅逮捕 Emotet 的系統管理員,也針對位於九十多個國家、負責下命令與指揮(Command and Control Infrastructure)的基礎架構,進行大舉破壞並接管。

從烏克蘭警方釋出的逮捕影片中,我們則可以發現,警方同時查獲許多現金、電腦和硬碟等設備,更直接逮捕 Emotet 的兩名系統管理員。

烏克蘭警方對外宣稱,Emotet 造成的損失估計超過 25 億美元,主要傳播途徑是透過垃圾郵件,散布惡意連結,以及惡意文件──透過微軟 Word 文件巨集,可以在受害的電腦中,下載銀行木馬及勒索軟體等惡意程式。

對於此次 Emotet 的偵破,精通俄文並長期觀察 Emotet 等網路犯罪組織運作模式的趨勢科技威脅架構師 Fyodor Yarochkin(費爾多)表示,這次全球執法單位可以順利破獲 Emotet 基礎架構和逮捕系統管理員,是因為警方有長期的觀察和布局,才可能成功。

而從這次的掃蕩行動,警方發現,Emotet 提供的各種基礎架構和網路犯罪工具,往往都是和會說俄文的網路犯罪組織共用,甚至有研究指出,Emotet 傀儡網路不會入侵及操控俄語系的電腦。

事實上,這次歐洲刑警組織和八國警方聯手策畫的瓢蟲行動,雖然不是第一次大規模針對傀儡網路的掃蕩行動,但同樣懂俄文的 Fox-IT 威脅分析師吳宗育(ZY Wu)認為,此次行動頗具意義。

根據他的觀察,此次行動聯合了八個國家的執法單位,而且在同一週針對 Emotet 進行打擊,其中也包含以往比較親俄羅斯的烏克蘭警方。

因此,本次行動不僅展現執法單位對於打擊網路犯罪的行動力,因為 Emotet 相對於其他網路犯罪組織顯得保守謹慎,各界也了解到,唯有親俄的烏克蘭警方才能夠逮捕到 Emotet 系統管理員,並讓其他網路犯罪組織暫時消停。


Emotet 像是採用敏捷開發的黑產商業軟體公司

Fyodor Yarochkin 長期觀察各種駭客集團的運作模式,對於 Emotet 屹立不搖的原因,他提出一個出乎大家意料卻合理的論點,那就是:Emotet 的運作模式更像是一般的商業軟體公司,只不過他們是以惡意軟體的開發為主,其內部組織架構如同一般商業公司,有系統管理員、軟體開發工程師和老闆等專業分工體系。

他說,若從 Emotet 各種惡意程式的開發、維運,以及各種惡意程式版本快速迭代、功能更新等過程來看,Emotet 有系統管理員、軟體開發工程師、老闆、開發團隊等,再對照他們「出品」的各種惡意程式版本更新速度、新功能增加和自動化部署等流程,甚至可以確定:Emotet 更像是一個採用敏捷開發(Agile)的惡意程式商業軟體公司。

然而,敏捷開發不代表快速的軟體開發,而是軟體開發團隊可以針對過去在開發過程中,持續修正過往所犯下錯誤進行的快速迭代過程。

Fyodor Yarochkin 指出,若分析 Emotet 惡意程式每一次的版本更新,我們可以發現,Emotet 每次版本更新,其實都會「回應」市面上執法單位或是資安公司的防禦機制,就算守方從特定功能面向,阻絕了 Emotet 進一步的散布,等到下次的軟體更版,Emotet 就會另闢蹊徑,新增不同的功能,針對那些被阻絕的散布管道或是通訊協定,提出新的手法來對應。

而且,Fyodor Yarochkin 也說,Emotet 惡意程式不論是主要的版本更新或是小型的功能新增,都會先在某一個測試環境測試功能後,才正式發布到產品更新、派送或部署的產品環境中。 「觀察 Emotet 的惡意程式開發流程,和一般商業軟體公司相比差不了多少,之外,在版本功能更新和更版速度上,也掌握敏捷開發的精神。」他說。

Emotet 惡意程式開發流程也相當嚴謹,吳宗育長期觀察指出,從執行檔的特徵也可以發現,Emotet 開發團隊採取模式更傾向敏捷開發,頻繁在短時間內釋出小幅更新,前後版本相隔時間最短只有一週。

他也說,在正式使用新開發的模組前,Emotet 也會先選擇少量受感染機器進行客戶端實體測試。綜觀整體開發流程,與一般軟體公司的流程十分相近。

更有甚者,吳宗育的觀察也發現,Emotet 為了確保服務品質,確保傀儡電腦(也稱肉雞)是有價值的受害者,而不是研究者的虛擬機器,或者是資安產品的連線,Emotet 開發團隊經常修改連線通訊協定(Communication Protocol),只要有公開資訊討論關於新版的變化,該團隊總是可以在最短的時間內,散播下一個可用版本;他說,Emotet 也會在中繼站上套用各種檢查機制,提高資安研究員窺探新攻擊行動的難度。

因為敏捷開發是一種快速迭代的過程,比傳統的瀑布式開發過程而言,敏捷開發具備快速調整能力,也會在不影響軟體開發流程的情況下,針對各種突發狀況可以即時因應。

吳宗育認為,從 Emotet 每次惡意程式的更版速度,以及每一次軟體迭代新功能的增加與調整,都可以推測應該是採用敏捷開發方式,也可以和商業軟體開發公司做比擬。

吳宗育肯定指出,Emotet 甚至可能聘僱專人檢查各連線是否為模擬器連線,藉此確認資安研究員利用各種方式模仿惡意程式的行為,確認肉雞是否是真正感染惡意程式。


執法單位掌握 Emotet 技術面架構弱點

吳宗育表示,此次歐洲刑警組織和八國執法單位聯手掃蕩 Emotet 基礎設施,該次行動得以成功的關鍵,有賴於相關的執法單位有效掌握 Emotet 技術面架構弱點。

他表示,此次執法單位從被警方控制的中繼站派送給受感染的傀儡電腦(Bot)一個解除安裝的程式、以及一舉掌控 Emotet 通訊協定架構中最關鍵的第二層與第三層的伺服器。

吳宗育也以資安分析師的角度觀察,此次行動執法單位對拔除此傀儡網路已經做了充分的準備,並把春風吹又生的可能性降到最低。這次的打擊目標是惡名昭彰許久、也是目前最具影響力的垃圾郵件傀儡網路(Spamming botnet)Emotet,此傀儡網路與使用某些 TrickBot、Ryuk 俄語系菁英犯罪組織在過去幾年來都是生意夥伴,這次八國聯軍的瓢蟲行動,確實有打擊到某些菁英犯罪組織的痛點。

他也說,相較在美國大選前,美國網路指揮部(Cyber Command)下令打擊 TrickBot 傀儡網路並未真正解決問題,此次行動在合作與準備方面,可以說給囂張已久的網路犯罪集團還以顏色。


當網路犯罪集團也用敏捷開發,企業該怎麼辦?

從各種對於 Emotet 傀儡網路的研究發現,這是一個也懂得用敏捷開發的網路犯罪集團,每一次更版,都會因應資安公司的阻擋而有各種不同新功能的增加。對於一般的企業和使用者而言,我們應該要如何因應呢?

吳宗育表示,許多資安公司大多有指派內部相關的專家,針對各個層面(包含從 Email,惡意程式,模組元件等)進行深度分析,找出變化速度較少特徵提供資安產品的防護力,舉例來說,垃圾郵件的 url 蠻長一段時間,都是符合一個 Pattern、Document Dropper 裡面 VBA MARCO 執行 Powershell 的某些設定等,長久以來都有相似性,惡意程式本身的 API Hash(雜湊值)以及 String Encryption 只有常數上的差異等等。

所幸,面對這些網路犯罪集團凌厲的攻勢,相關防禦面作為也不斷在進步,有各種不同領域的專家,來自跨國、跨公司的合作等,但吳宗育坦言,一般企業很難與專業的網路犯罪集團交手,除了尋找資安專家的協助外,也有企業透過資安保險來做相關的損害控管。


(文章來源:iThome