家族背景

Emotet銀行木馬是於2014年首次發現的銀行木馬，慣用手法是透過垃圾郵件傳播惡意指令碼、惡意連結或惡意宏文件，當使用者點選後會自動下載執行Emotet的惡意程式，竊取受害主機資訊傳送到C&C伺服器，並從伺服器接收加密功能模組。

近日，深信服安全團隊檢測到Emotet銀行木馬針對國內企業的攻擊活動呈活躍趨勢，會竊取受害主機上的outlook資訊，再偽裝釣魚郵件不定時傳送到受害者通訊錄；Emotet使用失陷站點作為惡意PE的下載連結，下載執行後惡意PE又連線到指定的C&C地址。

Emotet的攻擊流程中，多使用了靈活的載荷進行傳播，例如高度混淆的宏程式碼、頻繁更新的失陷站點和C&C地址、通訊內容均經過加密等，使得分析和追蹤檢測的難度增大。

攻擊流程

惡意功能分析

釣魚郵件及文件

Emotet所使用的釣魚郵件通常偽裝為行業相關的回覆郵件，或直接轉發受害者的郵件內容：

郵件中附帶一個doc文件，是包含惡意宏程式碼的病毒文件，沒有實質內容，只提醒使用者點選“啟用宏”按鈕，一旦啟用，便自動執行惡意宏程式碼，下載執行Emotet的惡意EXE檔案：

宏程式碼通常做過混淆，除錯提取變數，可以發現執行了一段base64編碼的powershell命令：

解碼反混淆後得到URL列表，是失陷站點用於惡意PE檔案的下載的連結，連結失活很快，會不斷更新，使得威脅情報攔截較為困難：

http://vidriodecoracion.com/wp-admin/MIH/

http://vanbrast.com/bleech/fR/

http://varivoda.com/cgi-bin/897/

http://wakan-tanka.org/Kleinteile/E/

https://www.webhost4christ.org/LAMB/D/

http://white-on-rice.com/Logos/U/

http://zahnarzt-flensburg.com/cgi-bin/L8/

惡意EXE檔案

1、樣本母體採用白檔案嵌入的方式，利用不同的正常MFC程式插入惡意payload，增加檢測難度，透過CreateDialogIndirectParam函式建立一個無模式對話方塊，將惡意功能函式設定為對話方塊過程進行呼叫：

2、樣本執行採用多層payload解密，申請記憶體空間後從自身讀取資源進行解密，最後跳轉執行：

3、進行檢測自身檔案屬性、判斷作業系統位數等前置操作，為後續執行作鋪墊：

4、遍歷system32目錄是否有複製母體：

5、遍歷程式找到當前程式，透過API獲取程式映像檔案路徑：

6、建立執行緒，監控母體檔案所在路徑的變化，此處設定參數列示“監視該目錄的名稱改變”：

7、採集主機資訊，具體包括主機使用者名稱、磁碟卷序列號、系統版本、系統位數、當前執行的程式列表等資訊：

8、對獲取的資訊進行加密處理：

9、連線C&C伺服器的地址，傳送加密的主機資訊

10、啟用多執行緒，每個執行緒都訪問不同的C&C伺服器IP地址：

提取出來的C&C地址有：

216.10.40.16
91.121.54.71
209.236.123.42
77.55.211.77
85.105.140.135
138.97.60.141
217.13.106.14
190.2.31.172
50.121.220.50
111.67.12.221
177.73.0.98

解決方案

加固建議

1. 避免開啟來歷不明的郵件、連結和網址附件等，收到可疑郵件時注意對比發件方郵箱地址是否屬實；

2. 儘量不要在非官方渠道下載非正版的應用軟體，發現檔案型別與圖示不相符時應先使用安全軟體對檔案進行查殺；

3. 不隨意開啟文件檔案的宏功能。

深信服安全產品解決方案

1. 深信服為廣大使用者免費提供查殺工具，可下載如下工具，進行檢測查殺。

64位系統下載連結：

http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z

32位系統下載連結：

http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z

2. 深信服安全感知、防火牆、EDR使用者，建議及時升級最新版本，並接入安全雲腦，使用雲查服務以及時檢測防禦新威脅；

3. 深信服安全產品整合深信服SAVE人工智慧檢測引擎，擁有強大的泛化能力，精準防禦未知病毒；

4. 深信服推出安全運營服務，透過以“人機共智”的服務模式幫助使用者快速提高安全能力。針對此類威脅，安全運營服務提供安全裝置策略檢查、安全威脅檢查、相關漏洞檢查等服務，確保第一時間檢測風險以及更新策略，防範此類威脅。