摘要:Emotet最初是由2014在野外被發現,其最初被設計爲銀行木馬竊取用戶敏感信息和重要數據,早期的Emotet分發方式單一化,僅僅通過JS惡意代碼進行傳播,最近幾年,Emotet經過若干個版本的迭代之後,分發渠道越來越規範化,組織化,體系化:通過商貿信,漏洞,或者僞裝成正規軟件並上傳到第三方下載站誘導用戶下載等等,代碼功能也發生了重大的變化,從原來的銀行木馬變成了惡意軟件分發商,通過內置的RSA公鑰從C&C服務器下載其他的惡意軟件如PandaBanker、TrickBot銀行木馬或者Ryuk勒索病毒。奇安信威脅情報中心將對現有的流行家族進行持續的追蹤和預警,目前奇安信集團全線產品,包括天眼、SOC、態勢感知、威脅情報平臺,支持對涉及emotet的攻擊活動檢測,並且奇安信安全助手支持對該組織的樣本進行攔截。

概述

在奇安信威脅情報中心日常樣本監控流程中發現,近期Emotet殭屍網絡活動劇增。大量垃圾郵件被投放,經過溯源Emotet在今年6月份時曾經銷聲匿跡,C&C活動驟減,經過幾個月的休整後現又捲土重來。在此提醒廣大用戶不要輕易打開未知郵件,提高安全意識。

樣本分析

文件名 20190920_188705_0081.doc
MD5 03bc503ba6b2444ca2500ed64844ea7f
VT上傳時間 2019/09/20

附件doc中含有惡意宏,運行後會釋放並運行惡意jse文件。Jse文件會下載並執行emotet。

通過VT可以看出投放了相當多的網站:

下載得到的emotet loader爲MFC編寫,會讀取資源中的加密shellcode並解密爲下一層loader:

本層loader會直接加載內存中的下一層明文dll:

Dll同樣直接內存加載下一層明文exe:

本層明文exe爲emotet本體,運行之後首先會帶參數重啓自身,之後將自身複製到系統路徑並創建服務。

整體流程:

之後收集系統信息,例如主機名,受感染機器上的所有進程等,使用Deflate算法壓縮後,進行RSA+AES加密,進行Base64編碼後發送到遠程服務器上,並準備下載後續的Payload。

WireShark截圖:

後續的payload爲TrickBot:

根據不同的時間和地區下載的payload有變化:PandaBanker,Ryuk,Wacatac等惡意軟件。

同源分析

Emotet最初是由2014在野外被發現,其最初被設計爲銀行木馬竊取用戶敏感信息和重要數據,早期的Emotet分發方式單一化,僅僅通過JS惡意代碼進行傳播,最近幾年,Emotet經過若干個版本的迭代之後,分發渠道越來越規範化,組織化,體系化:通過商貿信,漏洞,或者僞裝成正規軟件並上傳到第三方下載站誘導用戶下載等等,代碼功能也發生了重大的變化,從原來的銀行木馬變成了惡意軟件分發商,通過內置的RSA公鑰從C&C服務器下載其他的惡意軟件如PandaBanker、TrickBot銀行木馬或者Ryuk勒索病毒。同時受害者分佈也從早期的歐美國家擴大到亞太地區。

此次新活動的樣本大都僞裝成正規軟件。

且此次投放的Emotet外層均使用MFC編寫,左邊爲老版本的外層,右邊爲新捕獲的外層:

最後一層爲EmotetPayload,不同Hash的Emotet最後解出來的EmotetPayload都是相同的,這裏我們使用BiniDiff,比較了老版本版的EmotetPayload和最新捕獲的EmotetPayload,之間的不同。

代碼結構發生了較大的變化,代碼混淆以及複雜度變高,增加了反調試和自校驗,核心DownLoader功能依然不變。奇安信威脅情報中心將對現有的流行家族進行持續的追蹤和預警,目前奇安信集團全線產品,包括天眼、SOC、態勢感知、威脅情報平臺,支持對涉及emotet的攻擊活動檢測,並且奇安信安全助手支持對該組織的樣本進行攔截。

IOC

文件Hash

d27f692276898374f578ab6d207ab063
3a74a93e7831d0953b5cefb9c98505f1
aaedf631838a59d0ecf35c31a5ba788e

C&C IP

190.106.97.230
186.75.241.230
149.167.86.174
181.143.194.138
192.241.250.202
149.167.86.174
181.164.8.25

URL

hxxp://186.75.241.230/walk/img/sess/
hxxp://149.167.86.174:990/pnp/report/sess/

*本文作者:奇安信威脅情報中心,轉載請註明來自FreeBuf.COM

相關文章