微软 一个Emotet的感染如何摧毁了这个组织的整个网络
微软详细描述了一个客户的困境,该客户的整个IT网络在一名员工打开了一封网络钓鱼电子邮件,该邮件传递了臭名昭著的Emotet银行木马和偷信恶意软件。
微软在其称之为“Fabrikam”的一家公司的事件应对工作中的详细情况与美国宾夕法尼亚州阿伦敦市2018年2月披露的一起网络安全事件相符,预计这一事件将花费$100万英镑。
美联社当时报道,这次袭击摧毁了该市的核心系统,包括185个监控摄像头。
Allentown官员表示,Emotet是在自我复制和窃取员工登录凭据。 该市还透露,它向微软支付了185,000$应急费用,以“阻止这种出血”。 其余的1百万$将用于回收成本。
据微软称,Fabrikam在微软网络安全解决方案小组的检测和响应小组(DART)中打电话给了该员工8天后,该员工打开了网络钓鱼电子邮件,届时其计算机和关键系统出现故障,其网络带宽被Emotet完全占用。
恶意软件使用受害者的受损计算机启动分布式拒绝服务(D DoS)并压倒其网络。
“这种病毒威胁到了Fabrikam的所有系统,甚至它的185监控摄像头网络。 它的财务部门无法完成任何外部银行交易,合作组织也无法访问Fabrikam控制的数据库。 这是一场混乱,”微软的DART团队写道。
报告进一步解释说:“他们无法判断是黑客的外部网络攻击导致了关机,还是他们正在处理内部病毒。”
“如果他们能够访问他们的网络账户,那就有帮助了。 Emotet消耗了网络的带宽,直到使用它做任何事情变得几乎不可能。 即使是电子邮件也无法通过。”
那么Fabrikam向微软收取了什么费用呢? 一个DART小组与受害者一起到现场,另一个DART小组远程协助。
为了在城市系统中获得视图,DART部署了维护者高级威胁保护、Azure安全中心、Azure高级威胁保护服务和其他微软恶意软件检测工具的试用许可证。
为了阻止Emotet在网络上感染和重新感染机器,现场DART团队使用远程工具进入Fabrikam的网络,并创建缓冲区,将具有管理权限的系统分开。
这种方法包含了足够的Emotet,可以用防病毒来删除它。 微软还上传了恶意软件的杀毒签名,并开始根除Emotet。
此外,现场反向工程师修复了微软系统中心配置管理器,允许受害者恢复。
微软指出,Fabrikam没有达到最佳实践,因为它的电子邮件过滤器没有屏蔽内部邮件,这使得Emotet可以在内部传播,而不引起警报。 如果它这样做,法布里卡姆本可以在行政目录受到攻击之前获得宝贵的时间来保护它们。
微软指出,多因素身份验证可能已经减缓或停止了Emotet对受损凭据的使用。