謹防垃圾郵件,小心感染Emotet木馬

深信服千里目發表於2020-10-29

家族背景

Emotet銀行木馬是於2014年首次發現的銀行木馬,慣用手法是透過垃圾郵件傳播惡意指令碼、惡意連結或惡意宏文件,當使用者點選後會自動下載執行Emotet的惡意程式,竊取受害主機資訊傳送到C&C伺服器,並從伺服器接收加密功能模組。

近日,深信服安全團隊檢測到Emotet銀行木馬針對國內企業的攻擊活動呈活躍趨勢,會竊取受害主機上的outlook資訊,再偽裝釣魚郵件不定時傳送到受害者通訊錄;Emotet使用失陷站點作為惡意PE的下載連結,下載執行後惡意PE又連線到指定的C&C地址。

Emotet的攻擊流程中,多使用了靈活的載荷進行傳播,例如高度混淆的宏程式碼、頻繁更新的失陷站點和C&C地址、通訊內容均經過加密等,使得分析和追蹤檢測的難度增大。

攻擊流程

謹防垃圾郵件,小心感染Emotet木馬

惡意功能分析

釣魚郵件及文件

Emotet所使用的釣魚郵件通常偽裝為行業相關的回覆郵件,或直接轉發受害者的郵件內容:

謹防垃圾郵件,小心感染Emotet木馬

郵件中附帶一個doc文件,是包含惡意宏程式碼的病毒文件,沒有實質內容,只提醒使用者點選“啟用宏”按鈕,一旦啟用,便自動執行惡意宏程式碼,下載執行Emotet的惡意EXE檔案:

謹防垃圾郵件,小心感染Emotet木馬

宏程式碼通常做過混淆,除錯提取變數,可以發現執行了一段base64編碼的powershell命令:

謹防垃圾郵件,小心感染Emotet木馬

解碼反混淆後得到URL列表,是失陷站點用於惡意PE檔案的下載的連結,連結失活很快,會不斷更新,使得威脅情報攔截較為困難:

http://vidriodecoracion.com/wp-admin/MIH/

http://vanbrast.com/bleech/fR/

http://varivoda.com/cgi-bin/897/

http://wakan-tanka.org/Kleinteile/E/

https://www.webhost4christ.org/LAMB/D/

http://white-on-rice.com/Logos/U/

http://zahnarzt-flensburg.com/cgi-bin/L8/

惡意EXE檔案

1、樣本母體採用白檔案嵌入的方式,利用不同的正常MFC程式插入惡意payload,增加檢測難度,透過CreateDialogIndirectParam函式建立一個無模式對話方塊,將惡意功能函式設定為對話方塊過程進行呼叫:

謹防垃圾郵件,小心感染Emotet木馬

2、樣本執行採用多層payload解密,申請記憶體空間後從自身讀取資源進行解密,最後跳轉執行:

謹防垃圾郵件,小心感染Emotet木馬

3、進行檢測自身檔案屬性、判斷作業系統位數等前置操作,為後續執行作鋪墊:

謹防垃圾郵件,小心感染Emotet木馬

4、遍歷system32目錄是否有複製母體:

謹防垃圾郵件,小心感染Emotet木馬

5、遍歷程式找到當前程式,透過API獲取程式映像檔案路徑:

謹防垃圾郵件,小心感染Emotet木馬

6、建立執行緒,監控母體檔案所在路徑的變化,此處設定參數列示“監視該目錄的名稱改變”:

謹防垃圾郵件,小心感染Emotet木馬

謹防垃圾郵件,小心感染Emotet木馬

謹防垃圾郵件,小心感染Emotet木馬

7、採集主機資訊,具體包括主機使用者名稱、磁碟卷序列號、系統版本、系統位數、當前執行的程式列表等資訊:

謹防垃圾郵件,小心感染Emotet木馬

8、對獲取的資訊進行加密處理:

謹防垃圾郵件,小心感染Emotet木馬

9、連線C&C伺服器的地址,傳送加密的主機資訊

謹防垃圾郵件,小心感染Emotet木馬

謹防垃圾郵件,小心感染Emotet木馬

10、啟用多執行緒,每個執行緒都訪問不同的C&C伺服器IP地址:

謹防垃圾郵件,小心感染Emotet木馬

提取出來的C&C地址有:

216.10.40.16
91.121.54.71
209.236.123.42
77.55.211.77
85.105.140.135
138.97.60.141
217.13.106.14
190.2.31.172
50.121.220.50
111.67.12.221
177.73.0.98

解決方案

加固建議

1. 避免開啟來歷不明的郵件、連結和網址附件等,收到可疑郵件時注意對比發件方郵箱地址是否屬實;

2. 儘量不要在非官方渠道下載非正版的應用軟體,發現檔案型別與圖示不相符時應先使用安全軟體對檔案進行查殺;

3. 不隨意開啟文件檔案的宏功能。

深信服安全產品解決方案

1. 深信服為廣大使用者免費提供查殺工具,可下載如下工具,進行檢測查殺。

64位系統下載連結:

http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z

32位系統下載連結:

http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z

2. 深信服安全感知、防火牆、EDR使用者,建議及時升級最新版本,並接入安全雲腦,使用雲查服務以及時檢測防禦新威脅;

謹防垃圾郵件,小心感染Emotet木馬

3. 深信服安全產品整合深信服SAVE人工智慧檢測引擎,擁有強大的泛化能力,精準防禦未知病毒;

4. 深信服推出安全運營服務,透過以“人機共智”的服務模式幫助使用者快速提高安全能力。針對此類威脅,安全運營服務提供安全裝置策略檢查、安全威脅檢查、相關漏洞檢查等服務,確保第一時間檢測風險以及更新策略,防範此類威脅。

相關文章