摘要：钓鱼邮件是Windows平台上重要入侵手段之一，而新冠疫情的发生更是为其提供了绝佳的热点。新冠疫情以来，各黑产组织利用这一机会，以疫情话题作为诱饵释放钓鱼邮件。一时间，各路牛鬼神蛇并起，大量僵尸网络家族肆虐。本文主要内容摘自绿盟科技发布的《2020 BOTNET趋势报告》，揭底部分具有代表性传统和新兴邮件木马家族的设局套路与盈利模式。

传统银行木马依旧活跃

钓鱼邮件在2020年的泛滥，助推了Emotet和Trickbot两大传统银行木马家族继续保持活跃。

伏影实验室经过抽样统计发现，超过50%的钓鱼邮件最终投递了Emotet木马。这些邮件的诱饵话题非常广泛，其体裁包括账单、罚单、请柬、通告和工资单等，内容包括信息确认、商务交流、广告宣传和新冠疫情等。在第三季度后，Emotet更是加大了使用疫情作为诱饵话题的力度。

邮箱内容和地址是银行木马窃取的重要内容，但随着各类数据泄露事件频发，再加上各类新兴间谍软件的分羹，使得这些信息来源变得多样化，促使Emotet这样的主流银行木马转变发展模式，开始与其他银行木马及其他类型家族相勾结，以最大程度地攫取利益。例如，Emotet已成为Trickbot家族较为稳定的传播渠道之一。伏影实验室通过统计发现，两者之间的形式化关联是如此密切，以至于能反映出Emotet在2020年第二季度陷入沉寂期的情况，并为解读两者间的关系提供了入口。

Trickbot在2020年新冠疫情期间异常活跃，其传播渠道除了邮件以及“借道”Emotet外，还包括了其他银行木马与恶意加载器。这些家族又可以通过邮件进行投递，形成了多级攻击链。此外，Trickbot模块化不断更新，将一些功能集成或单独拎出，并发展出针对Windows域管理器的无文件攻击方式。Trickbot还实现了Linux平台组件，利用Linux作为跳板来感染Windows主机，不断探索攻击模式。

更有甚者，Emotet和Trickbot曾经联手下发勒索软件，且Trickbot又与Ryuk勒索软件联手，对网络安全造成了重大威胁。

双重勒索为“王”

恶意软件中，杀伤力最强的非勒索软件莫属。近年来，勒索软件借助钓鱼邮件、系统漏洞和弱口令等手段大肆传播。最初，勒索家族的需求只是钱财，意在本地加密用户文件。个别组织为了进一步扩张“财路”，不但加密用户数据，还会窃取这些内容，以此要挟用户。

其中，勒索软件Maze便是这样一个进行双重勒索的典型家族。Maze组织会在自家网站实时更新窃取到的数据，声称若不及时付款就会公开相关内容，其受害者不乏一些重要机构。同时，Maze组织还不断造势，以号召其他勒索软件加入其运营模式。

这一运营模式的危害在于将勒索软件原来仅有的数据破坏扩展到了数据泄露层面。攻击者即使在用户拒不支付赎金的情况下，也可以在网络黑市倒卖这些内容来获取暴利，使得受害者遭受数据破坏和数据泄露的双重损失，对网络安全和数据安全构成极大威胁。

付费家族的生财之道

与银行木马和勒索软件由特定组织开发运营并通过数据获利模式不同，间谍/远控木马虽然也由特定组织开发，但通常是售卖给其他攻击者使用，并没有“提成”环节。因此，此类木马无论是商用还是非商用，多采用阶梯式售价加许可证的销售模式。

例如，AgentTesla间谍木马家族在2020年度通过钓鱼邮件迅速扩大了影响规模。由于C#语言编程的便利性，使得像AgentTesla这样基于.NET的间谍类恶意软件不断增多，并在一定程度上蚕食了传统银行木马的空间。AgentTesla拥有间谍木马的普通特征，即功能的扩展性不如远控木马，但其背后组织在营销上模仿商用木马，凭借阶梯式价格吸引了不同群体。同时，AgentTesla使用了多级中间载荷对自身进行加固和混淆，这表明其背后有着分工明确的团队，分别执行开发、加固和销售等不同事务。

此外，老牌加载器木马SmokeLoader也使用疫情话题包装自身的钓鱼邮件。该家族通过地下交易收取费用，由小型组织或个人购买后再封装出特定的攻击链进行攻击。老牌商用远控木马NetWire也是一个善于利用钓鱼邮件进行传播的家族。尽管功能一直更新，但与AgentTesla不同，NetWire并无较强的对抗杀软和反分析特性。因其商用性，除了Windows之外还支持Linux、Mac和安卓平台，同时实行阶梯式售价以吸引不同购买群体，若用户想拥有所有功能，就需要支付高价。

这些运营模式代表了当今简单/远控木马的发展趋势和生财之道，也是这些木马家族持续发展的重要条件。

总结

 《2020 BOTNET趋势报告》介绍了部分具有代表性的传统和新兴邮件木马家族，包括AgentTesla、NetWire、Maze、Emotet、和Trickbot。这些家族尽管都通过邮件传播，但类型不同，并展现出如下特征：间谍/远控木马的更新换代主要靠阶梯式售价+月付的销售模式维持；勒索软件使用两手威胁用户，一是加密用户数据，而是盗取数据；银行木马涉及的攻击链更为多样，加之与某些勒索软件家族勾结，利益链条较为复杂。