Emotet家族殭屍網絡活動激增,謹慎打開來源不明郵件
摘要:Emotet最初是由2014在野外被發現,其最初被設計爲銀行木馬竊取用戶敏感信息和重要數據,早期的Emotet分發方式單一化,僅僅通過JS惡意代碼進行傳播,最近幾年,Emotet經過若干個版本的迭代之後,分發渠道越來越規範化,組織化,體系化:通過商貿信,漏洞,或者僞裝成正規軟件並上傳到第三方下載站誘導用戶下載等等,代碼功能也發生了重大的變化,從原來的銀行木馬變成了惡意軟件分發商,通過內置的RSA公鑰從C&C服務器下載其他的惡意軟件如PandaBanker、TrickBot銀行木馬或者Ryuk勒索病毒。奇安信威脅情報中心將對現有的流行家族進行持續的追蹤和預警,目前奇安信集團全線產品,包括天眼、SOC、態勢感知、威脅情報平臺,支持對涉及emotet的攻擊活動檢測,並且奇安信安全助手支持對該組織的樣本進行攔截。
概述
在奇安信威脅情報中心日常樣本監控流程中發現,近期Emotet殭屍網絡活動劇增。大量垃圾郵件被投放,經過溯源Emotet在今年6月份時曾經銷聲匿跡,C&C活動驟減,經過幾個月的休整後現又捲土重來。在此提醒廣大用戶不要輕易打開未知郵件,提高安全意識。
樣本分析
文件名 | 20190920_188705_0081.doc |
---|---|
MD5 | 03bc503ba6b2444ca2500ed64844ea7f |
VT上傳時間 | 2019/09/20 |
附件doc中含有惡意宏,運行後會釋放並運行惡意jse文件。Jse文件會下載並執行emotet。
通過VT可以看出投放了相當多的網站:
下載得到的emotet loader爲MFC編寫,會讀取資源中的加密shellcode並解密爲下一層loader:
本層loader會直接加載內存中的下一層明文dll:
Dll同樣直接內存加載下一層明文exe:
本層明文exe爲emotet本體,運行之後首先會帶參數重啓自身,之後將自身複製到系統路徑並創建服務。
整體流程:
之後收集系統信息,例如主機名,受感染機器上的所有進程等,使用Deflate算法壓縮後,進行RSA+AES加密,進行Base64編碼後發送到遠程服務器上,並準備下載後續的Payload。
WireShark截圖:
後續的payload爲TrickBot:
根據不同的時間和地區下載的payload有變化:PandaBanker,Ryuk,Wacatac等惡意軟件。
同源分析
Emotet最初是由2014在野外被發現,其最初被設計爲銀行木馬竊取用戶敏感信息和重要數據,早期的Emotet分發方式單一化,僅僅通過JS惡意代碼進行傳播,最近幾年,Emotet經過若干個版本的迭代之後,分發渠道越來越規範化,組織化,體系化:通過商貿信,漏洞,或者僞裝成正規軟件並上傳到第三方下載站誘導用戶下載等等,代碼功能也發生了重大的變化,從原來的銀行木馬變成了惡意軟件分發商,通過內置的RSA公鑰從C&C服務器下載其他的惡意軟件如PandaBanker、TrickBot銀行木馬或者Ryuk勒索病毒。同時受害者分佈也從早期的歐美國家擴大到亞太地區。
此次新活動的樣本大都僞裝成正規軟件。
且此次投放的Emotet外層均使用MFC編寫,左邊爲老版本的外層,右邊爲新捕獲的外層:
最後一層爲EmotetPayload,不同Hash的Emotet最後解出來的EmotetPayload都是相同的,這裏我們使用BiniDiff,比較了老版本版的EmotetPayload和最新捕獲的EmotetPayload,之間的不同。
代碼結構發生了較大的變化,代碼混淆以及複雜度變高,增加了反調試和自校驗,核心DownLoader功能依然不變。奇安信威脅情報中心將對現有的流行家族進行持續的追蹤和預警,目前奇安信集團全線產品,包括天眼、SOC、態勢感知、威脅情報平臺,支持對涉及emotet的攻擊活動檢測,並且奇安信安全助手支持對該組織的樣本進行攔截。
IOC
文件Hash
d27f692276898374f578ab6d207ab063 3a74a93e7831d0953b5cefb9c98505f1 aaedf631838a59d0ecf35c31a5ba788e
C&C IP
190.106.97.230 186.75.241.230 149.167.86.174 181.143.194.138 192.241.250.202 149.167.86.174 181.164.8.25
URL
hxxp://186.75.241.230/walk/img/sess/ hxxp://149.167.86.174:990/pnp/report/sess/
*本文作者:奇安信威脅情報中心,轉載請註明來自FreeBuf.COM