TrickBot 或 Emotet 補救工作流程
請依照下列步驟補救 TrickBot 或 Emotet 感染。
簡介
TrickBot 和 Emotet 惡意軟體套件是目前最普遍、最有效的惡意軟體套件之一。它利用多種技術和感染媒介在環境中傳播,並持續存在於受入侵裝置上。
為了獲得有效保護,我們建議使用 Intercept X Advanced with EDR。
如果您遇到作用中 TrickBot 或 Emotet 事件,建議您與我們聯絡並購買我們的 Managed Detection and Response 服務。這是一支訓練有素的團隊,能協助您進行補救並提供根本原因分析。
檢查您的裝置
確保您的裝置處於最新狀態且受到保護。要檢查您的裝置,請執行以下動作:
-
確保網路中的每部裝置都有一個正常運作的最新版本 Sophos Endpoint Protection。
我們不建議嘗試使用 Sophos Anti-Virus(內部部署)補救 TrickBot 或 Emotet 感染。Sophos Anti-Virus 具備的功能和工具無法有效地防範 Trickbot 或 Emotet 並協助進行補救
-
對於任何使用舊版作業系統,導致無法安裝 Sophos Endpoint 或取得合適 Windows 更新的裝置,請更新或將其移除。
- 確保您的裝置具有所有合適的 Windows 安全修補程式。未受保護或未修補的單個系統可能會感染其他受保護和已修補的裝置。
-
在補救過程中,對於執行任何非 Windows 2008 R2、Windows 2003 XP 或更早版本的 Windows 2008 版本的所有裝置,請將其關閉。將這些裝置從您的網路中移除,因為它們可能會引發新的爆發。
此作業系統清單將隨着 Windows 版本變得不受支援而變更。有關我們目前系統要求的詳細資訊,請參閱 Sophos Central Windows 端點系統要求或 Sophos Central Windows 伺服器系統要求。
定義問題的範圍
不要假設網路中的每部裝置都受到保護,也不要假設您了解網路中的每部裝置。有許多方法可以識別網路上的裝置,您可能已經有了這樣做的方法。最適合您的選項取決於您的網路大小和分割。
其中最常見的方法之一是進行網路掃描並偵測當時網路上的內容。
您可以使用協力廠商工具執行此操作,例如 Advanced IP Scanner。
如果您不想使用協力廠商工具,可以使用 Source of Infection 工具。這是一個免費的 Sophos 工具。它不是防毒產品,也不會偵測或移除任何惡意軟體。在裝置上保持執行該工具,它會記錄寫入該裝置的每個檔案。然後它會產生一個記錄檔,其中包含每個寫入檔案的清單。對於每個檔案,記錄檔都包含完整的檔案路徑、寫入的日期和時間以及是本機進程還是網路進程寫入的檔案。若是本機進程,它會列出寫入檔案的名稱和路徑。若是網路進程,它會列出遠端 IP 位址或裝置名稱。然後,您可以使用記錄檔來識別包含潛在未偵測到的惡意軟體的裝置。例如,您可以使用它調查反復獲取偵測的受保護裝置,即使在多次補救嘗試之後。反復偵測表明網路中的另一部裝置已感染,並且正在嘗試重新感染受保護的裝置。Source of Infection 可協助您找到受感染的裝置。
您可以在以下知識庫文章中找到有關 Source of Infection 的詳細資訊:
要掃描網路,請從以下選項中進行選擇:
-
使用 Advanced IP Scanner。請參見 Advanced IP Scanner。
這是一種免費且簡單的工具。
它會產生網路上的作用中裝置清單,您可以對照 Sophos 管理軟體中列出的裝置進行交叉檢查。
-
要使用 Source of Infection,請執行以下操作:
- 下載 Source of Infection,請參見 SourceOfInfection.zip。
- 將其移至您要調查的裝置。
- 解壓縮
SourceOfInfection.exe
到C
磁碟機的根目錄。 - 以系統管理員身分開啟命令提示字元。
- 尋找並執行
SourceOfInfection.exe
。 - 按下 Enter 鍵執行命令。
-
保持執行 Source of Infection。您必須讓命令提示字元視窗保持開啟,才能執行此動作。
注意
可能有多個受感染的裝置試圖感染網路上的其他裝置。您讓 Source of Infection 執行的時間越長,記錄中擷取此資訊的機率就越高。
-
當裝置上出現新的惡意軟體偵測時,關閉命令提示字元視窗以停止 Source of Infection。
新的惡意軟體偵測可能會在數秒或數天內發生,視您的情況而定。
-
檢閱記錄檔以找到感染的來源。您可以在
%temp%\Source of Infection Log.csv
中找到記錄檔。記錄檔是 CSV 檔案,您可以在 Microsoft Excel 或任何文字編輯器中開啟該檔案。
以下範例顯示了從遠端網路位置寫入裝置的兩個可疑檔案。這兩個 IP 位址很可能是受感染的裝置。
-
對要調查的所有裝置重複此過程。
- 尋找、隔離和保護任何受感染的裝置,以防止惡意檔案傳播。
檢查您的保護
Sophos 已針對威脅保護提供建議設定。這些設定使用多層保護。這些設定可針對感染提供保護,並協助清除感染。要檢查您的保護,請執行以下動作:
-
檢查您是否在威脅保護原則中使用我們建議的設定。
有關這些設定的更多資訊,請造訪下列連結:
-
如果您未使用我們建議的設定,請在威脅保護原則中開啟這些設定。
-
如果您不想使用我們建議的所有設定,您必須開啟選項,將可疑檔案和網路事件的資料傳送至電腦和伺服器的 Sophos Central。稍後在補救過程中需要這些資料。若要執行此操作,請依照以下步驟操作。
- 登入至 Sophos Central Admin。
- 按一下端點保護 > 原則,並開啟允許電腦將可疑檔案和網路事件的資料傳送到 Sophos Central。
- 按一下伺服器保護 > 原則,並開啟允許伺服器將可疑檔案和網路事件的資料傳送到 Sophos Central。
修補您的裝置
確保所有裝置都有最新的 Windows 安全修補程式。您必須確保包含 EternalBlue 入侵程式的修補程式。TrickBot 或 Emotet 利用該入侵程式作為其傳播方法之一。
EternalBlue 是一種利用 Microsoft SMB 中弱點的入侵程式,WannaCry 勒索軟體尤其使用該入侵程式進行傳播。修補裝置並移除此感染媒介,讓 Trickbot 或 Emotet 更難以攻擊,並保護您免受其他使用 EternalBlue 之惡意軟體的侵害。
Microsoft 在 Microsoft 更新中發佈了針對 EternalBlue 的修補程式:MS17-010.Microsoft 官方文章解釋了如何驗證裝置是否具有此修補程式。請參閱如何驗證是否已安裝 MS17-010。
Sophos 具有一個簡單的 PowerShell 指令碼,可以在各個電腦上執行,以確認這些電腦是否具有修補程式。有關此問題的詳細資訊,請參閱如何驗證電腦是否容易受到 EternalBlue 的攻擊 - MS17-010。
要修補您的裝置,請執行以下動作:
- 檢查您的裝置是否容易受到 EternalBlue 的攻擊。
- 使用最新的 Windows 安全性修補程式更新您的裝置。
掃描並清理裝置
掃描裝置,了解有多少裝置感染了 TrickBot 或 Emotet。然後,您需要清理裝置以防止再次感染。
若要執行此操作,請依照以下步驟操作。
- 確保所有裝置都已進行了修補並安裝了 Intercept X Advanced。
-
在所有裝置上執行完整掃描。若要掃描裝置,請執行以下操作:
- 登入至 Sophos Central Admin。
- 按一下端點保護 > 原則或伺服器保護 > 原則。
- 在威脅保護中,按一下指派給要檢查之使用者、電腦或伺服器的原則。
- 按一下設定並向下捲動至排程的掃描。
- 開啟啟用排程的掃描。
-
設定執行掃描的時間。
掃描需要開啟並啟用裝置。
-
關閉啟用深度掃描 - 在封存檔案(.zip、.cab 等)內進行掃描和掃描所有檔案。
您需要執行完整掃描以對所有檔案進行索引。這些附加設定會降低索引速度,或者可能會阻止在某些裝置上完成掃描。
-
完成完整掃描後,您需要透過 Sophos Central Admin 清除感染。若要執行此操作,請依照以下步驟操作。
- 登入 Sophos Central Admin,然後按一下威脅分析中心 > 威脅搜尋。
-
搜尋常見的惡意軟體置放位置。
C:\
C:\Windows
C:\Windows\System32
C:\Windows\Syswow64
C:\ProgramData
C:\Users\*<Username\>*\AppData\Roaming\*<random name\>*
。
-
移至某個惡意軟體置放位置,然後按一下網路連線。
這會將清單限制為僅包含執行網路連線的可執行檔。TrickBot 或 Emotet 試圖傳播並需要執行網路連線。
-
查找您認為突出或不確定的可執行檔。
- 對於其中每個檔案,按一下威脅案例中的產生新的威脅案例和請求最新情報以取得更多資訊。
- 檢查資料,如有必要,按一下清除並封鎖。
如果需要有關檔案的更多資訊,請提交樣本,參見如何向 Sophos 提交可疑檔案的樣本。
-
檢查威脅案例和警示,了解新偵測和最近偵測。查找 TrickBot 或 Emotet 偵測的跡象。
CXmal/Emotet-C
HPmal/Emotet-D
HPmal/TrikBot-G
Mal/EncPk-AN
HPmal/Crushr-AU
Troj/Inject-DTW
Troj/LnkRun-T
AMSI/Exec-P
Troj/Emotet-CJW
-
檢查下列偵測:
Mal/Generic-R
Mal/Generic-S
ML/PE-A
Code Cave
APC Violation
Safe Browsing
LoadLib
-
對威脅搜尋中的每個檔案重複此過程。
- 清除任何受感染的檔案。
- 重新啟動所有裝置以清除記憶體中的任何感染。
- 重複這些步驟,直到沒有 TrickBot 或 Emotet 的跡象。
最終補救
如果仍有偵測,則表明網路中的某個裝置受到了感染。
TrickBot 或 Emotet 感染持續以檔案和無檔案形式存在。要對它們進行補救,您需要降低它們以兩種形式進行復制的能力。有關此惡意軟體運作方式的詳細資訊,請參閱解決 Emotet 和 TrickBot 惡意軟體的爆發。
若要尋找剩餘的受感染裝置,請執行下列動作:
- 重複此工作流程中的步驟。
-
如果找不到偵測源,請按一下威脅分析中心 > 威脅搜索,然後檢查所有找到 TrickBot 或 Emotet 的位置。
C:\Windows\<A Randomly Named EXE>
C:\windows\system32\<A Randomly Named EXE>
C:\Windows\Syswow64\<A Randomly Named EXE>
C:\stsvc.exe
C:\Users\<username>\AppData\Roaming\*<A Randomly Named EXE\>*
C:\Users\<username>\AppData\Roaming\<Six-Letter-Folder>
C:\ProgramData\<Randomly Named EXEs>
-
找到避開偵測的可執行檔時,請提交樣本。
- 如果找不到可執行檔,請聯絡 Sophos MDR Rapid Response。
TrickBot 或 Emotet 補救影片
本影片涵蓋此工作流程。