Emotet木馬病毒連續2年流行度排行榜首 

Emotet病毒是著名的銀行木馬病毒，2014年源於俄羅斯，幾經迭代升級，已經成為全球最廣泛和致命的計算機病毒之一。在any.run上，Emotet病毒高居2019年和2020年流行度排行榜榜首，樣本上傳量四萬餘次是第二名Agent Tesla的三倍多（圖1）。深信服安全團隊監測發現，Emotet近期在國內同樣非常活躍，而且均為高度混淆的變種。

圖1. Emotet在any.run沙箱上的鑑定上傳量

Emotet主要採用小馬拉大馬的方式，以釣魚郵件中的Office巨集病毒為開端，然後拉取任意惡意PE病毒。這也意味著惡意行為是可任意定製的，從銀行資訊盜取，到勒索挖礦，無所不能。Emotet串聯的典型PE病毒包括Trickbot銀行木馬和 Ryuk勒索軟體。更為嚴重的是Emotet的連鎖反應：企業中一名員工的計算機感染Emotet，病毒將盜取該員工計算機上的通訊錄，向其聯絡人傳送與企業業務資訊相關的釣魚郵件，致使病毒大範圍擴散，清理十分困難。據記載，美國賓夕法尼亞州阿倫敦市於2018年支付100萬美元，用於清理超過1000臺被Emotet病毒感染的計算機；2019年末德國金融中心法蘭克福市受Emotet入侵，全城斷網（圖2）。

圖2. Emotet導致法蘭克福全城斷網

以下通過一個真實攻擊案例分析Emotet病毒。

1. 收到釣魚郵件

Emotet根據以往的策略一樣通過大量的垃圾郵件活動進行分發。此次攻擊使用醒目並帶有迷惑性質主題的郵件冒充合作商。如下圖所示，郵件攜帶的釣魚郵件名為CV5433373675QF.doc

圖3. 釣魚郵件

2. 開啟釣魚郵件的惡意附件

執行後的文件使用一張醒目的提示資訊圖片，誘導使用者啟用編輯瀏覽無法顯示的內容。

圖4.釣魚郵件的巨集病毒附件

當使用者點選啟用編輯後，由於使用了內建的Document_open子程式，會觸發執行doc文件內嵌的VBA惡意巨集程式碼。如圖5所示，Document_open函式中程式碼呼叫執控制元件窗體內的函式。

圖5. 巨集病毒附件中的VBA程式碼

如圖6所示，通過瀏覽窗體控制元件中的惡意巨集程式碼，發現程式碼核心邏輯全部經過多型混淆方式對抗研究人員分析。通過對Emotet家族海量的樣本梳理，高度有理由懷疑誘餌文件全部經過自動化生成而來。相較於傳統特徵引擎依靠特徵匹配的查殺方式無法有效攔截Emotet初始階段的誘餌文件。

圖6. 巨集病毒附件中的隱藏在窗體控制元件中的VBA程式碼

3. 巨集病毒釋放惡意powershell指令碼

通過對巨集程式碼去除混淆並進行動態分析可發現，主要以無檔案的方式啟動powershell指令碼引擎解析執行，規避傳統特徵引擎的查殺。如圖7所示powershell程式執行經過BASE64編碼的指令碼。

圖7. 巨集病毒釋放的惡意powershell程式碼

通過對記憶體中經過BASE64編碼的指令碼進行解碼後發現，指令碼主要通過URL遠端下載有效載荷啟動。如下圖所示powershell程式碼邏輯以及遠端下載有效載荷的URL。 

圖8. 解碼後的惡意powershell程式碼

4. 自動下載並執行有效載荷實現惡意行為

Emotet病毒下載的有效載荷使用微軟基礎類庫，利用大量的MFC框架程式碼使其更容易變形規避傳統特徵引擎檢出。通過大量樣本集橫向對比可發現多個變種將其初始核心惡意程式碼隱藏於視窗建立初始化之前。如圖9所示，通過申請可執行記憶體，解密後執行下一階段惡意程式碼。比較有趣的是此次示例中VirtualAlloc函式後兩個引數採用多次計算生成而來，企圖躲避靜態分析。

圖9. 有效載荷釋放ShellCode

第一階段ShellCode程式碼（圖10）極其精簡，使用自定義的GetProcAddress函式結合CRC32演算法對函式名做校驗動態獲取ntdll.dll中函式地址。準備好需要的函式後使用RC4演算法對資源進行解密，執行二階段程式碼。

圖10. 第一階段的ShellCode

第二階段ShellCode繼承了一階段動態獲取函式地址方式。如圖11所示，再次申請記憶體空間，並解密出一個可執行程式。如圖12所示，通過對CPU快取重新整理後，將執行流程轉移到釋放的可執行程式中。

圖11. 第二階段的ShellCode

圖12. ShellCode控制流劫持

第三階段可執行程式在記憶體中進行展開後，發現其程式碼邏輯採用while與case配合進行干擾執行流。

圖13. 第三階段的ShellCode

該階段核心功能是以拷貝可執行程式到c:\windows\syswow64下隨機命名資料夾並再次隨機命名一個可執行檔案釋放其中。Emotet病毒要建立的資料夾與檔名稱如圖14所示。

圖14. 提取ShellCode釋放的資料夾和檔案的名稱

在建立好要可執行程式後，通過系統服務管理器將可執行程式註冊為服務的方式實現持久化。當服務啟動後有效載荷完成整個階段的載入工作，核心功能通過服務啟動。如圖15所示，服務建立成功後的登錄檔資訊。

圖15. 登錄檔被惡意程式修改

通過服務啟動後使用硬編碼的IP地址與遠端C2伺服器建立連線上傳主機資訊，並進一步控制下發其他惡意模組。如圖16所示，與遠端C2建立連線過程。

圖16. 惡意程式建立C2通訊

傳統技術查殺Emotet的難度較高

    Emotet變形十分頻繁，對傳統基於規則和雜湊的查殺造成極大挑戰。在any.run上記錄的Emotet一年內的雜湊數量為16560；流行度第2-3名的病毒的雜湊數量分別僅為87和34，可見Emotet的多變性。在最近安全事件中的兩個Emotet樣本完全不同（圖17），依靠雜湊或規則對抗的挑戰十分巨大。Emotet的惡意巨集程式被啟動之後，可下載各類PE黑檔案，甚至可以進行在記憶體中載入惡意程式碼的無檔案攻擊，查殺難度高。 

(a) Emotet樣本1                                     (b)Emotet樣本2

圖17. Emotet巨集病毒變形

 該木馬還具有先進的永續性和動態行為逃逸機制，例如能夠檢測沙箱和虛擬機器。該木馬具有多型設計，它可以更改其程式碼以繞過基於常規特徵引擎的檢測，從而使這種網路防禦策略無法抵抗其攻擊。如果這還不夠，Emotet可以從控制伺服器接收更新，執行此操作就像安裝了作業系統更新一樣。這使特洛伊木馬可以將其他惡意軟體祕密地放置到受感染的計算機上。Emotet木馬具有模組化設計，可以使此惡意軟體適應各種任務，並針對每個特定活動對其進行自定義，從而使攻擊者具有最大的靈活性。Emotet惡意軟體可以執行大量惡意活動，這些活動根據特定活動中使用的模組而有所不同。從2017年開始，Emotet特洛伊木馬程式開始配備擴充套件器模組，從而允許惡意軟體感染通過本地網路連線的所有計算機。該病毒的大多數版本都包含一個垃圾郵件模組，該模組可通過從受感染的計算機發出一系列惡意電子郵件來繼續傳播惡意軟體。它分析了電子郵件傳送者和接收者之間的關係，並使用收集的資訊來增強源自使用者PC的後續活動的有效性，從而可以使用個性化垃圾郵件將受害者的朋友、家人和同事作為目標，達到類似蠕蟲的傳播效果。

深信服SAVE反病毒引擎引入AI技術對抗Emotet等高危巨集病毒

對於三次安全事件的三種Emotet變形樣本，SAVE反病毒引擎均能在第一時間不升級模型的情況下盲測檢出，其中不乏在權威殺軟供應商平臺VirusTotal上的第一時間獨報案例。

依託AI的泛化能力、病毒專家經驗和海量樣本運維（如圖18所示），通過變形巨集病毒檢測技術，SAVE反病毒引擎準確識別Emotet病毒在高抽象層次上的不動點，從而檢測出該病毒。SAVE反病毒引擎對Office檔案中的巨集程式做詞法分析、詞素分析、詞頻分析、黑白詞分析、語法分析和熵值分析等多重分析，全面捕捉對病毒和正常檔案有區分能力的特徵，並用海量樣本訓練得出準確的AI模型，實現對已知和未知Office檔案做準確病毒鑑定的能力。

圖18. 深信服SAVE反病毒引擎的變形巨集病毒檢測方案

     目前，SAVE反病毒引擎的變形巨集病毒檢測技術能夠有效檢測流行巨集病毒、高度混淆的變種病毒和Any.run上排名靠前的各種巨集病毒。深信服已將SAVE反病毒引擎廣泛應用於深信服眾多安全產品和服務中，分佈在防護鏈的每個環節，包括終端檢測響應平臺EDR、下一代防火牆AF、安全感知平臺SIP、全網行為管理AC等，持續將人工智慧技術等最新科技成果轉化為安全保護能力，有效守護使用者的業務安全。

參考資料

[1] 深信服預警報告：https://mp.weixin.qq.com/s/L6VfadlbBMOaLQKrhCTARg

[2] 深信服分析報告：https://www.freebuf.com/articles/terminal/180390.html

[3] 安全牛分析報導：https://www.aqniu.com/news-views/62803.html