Emotet僵尸網絡活動劇增 會投放大量的垃圾郵件

來源:FreeBuf.COM | 2019-10-08 15:10:04 |

概述

在奇安信威脅情報中心日常樣本監控流程中發現,近期Emotet僵尸網絡活動劇增。大量垃圾郵件被投放,經過溯源Emotet在今年6月份時曾經銷聲匿跡,C&C活動驟減,經過幾個月的休整后現又卷土重來。在此提醒廣大用戶不要輕易打開未知郵件,提高安全意識。

樣本分析

文件名 20190920_188705_0081.doc
MD5 03bc503ba6b2444ca2500ed64844ea7f
VT上傳時間 2019/09/20

附件doc中含有惡意宏,運行后會釋放并運行惡意jse文件。Jse文件會下載并執行emotet。

通過VT可以看出投放了相當多的網站:

下載得到的emotet loader為MFC編寫,會讀取資源中的加密shellcode并解密為下一層loader:

本層loader會直接加載內存中的下一層明文dll:

Dll同樣直接內存加載下一層明文exe:

本層明文exe為emotet本體,運行之后首先會帶參數重啟自身,之后將自身復制到系統路徑并創建服務。

整體流程:

之后收集系統信息,例如主機名,受感染機器上的所有進程等,使用Deflate算法壓縮后,進行RSA+AES加密,進行Base64編碼后發送到遠程服務器上,并準備下載后續的Payload。

WireShark截圖:

后續的payload為TrickBot:

根據不同的時間和地區下載的payload有變化:PandaBanker,Ryuk,Wacatac等惡意軟件。

同源分析

Emotet最初是由2014在野外被發現,其最初被設計為銀行木馬竊取用戶敏感信息和重要數據,早期的Emotet分發方式單一化,僅僅通過JS惡意代碼進行傳播,最近幾年,Emotet經過若干個版本的迭代之后,分發渠道越來越規范化,組織化,體系化:通過商貿信,漏洞,或者偽裝成正規軟件并上傳到第三方下載站誘導用戶下載等等,代碼功能也發生了重大的變化,從原來的銀行木馬變成了惡意軟件分發商,通過內置的RSA公鑰從C&C服務器下載其他的惡意軟件如PandaBanker、TrickBot銀行木馬或者Ryuk勒索病毒。同時受害者分布也從早期的歐美國家擴大到亞太地區。

此次新活動的樣本大都偽裝成正規軟件。

且此次投放的Emotet外層均使用MFC編寫,左邊為老版本的外層,右邊為新捕獲的外層:

最后一層為EmotetPayload,不同Hash的Emotet最后解出來的EmotetPayload都是相同的,這里我們使用BiniDiff,比較了老版本版的EmotetPayload和最新捕獲的EmotetPayload,之間的不同。

代碼結構發生了較大的變化,代碼混淆以及復雜度變高,增加了反調試和自校驗,核心DownLoader功能依然不變。奇安信威脅情報中心將對現有的流行家族進行持續的追蹤和預警,目前奇安信集團全線產品,包括天眼、SOC、態勢感知、威脅情報平臺,支持對涉及emotet的攻擊活動檢測,并且奇安信安全助手支持對該組織的樣本進行攔截。(作者:奇安信威脅情報中心)

IOC

文件Hash

d27f692276898374f578ab6d207ab063

3a74a93e7831d0953b5cefb9c98505f1

aaedf631838a59d0ecf35c31a5ba788e

C&C IP

190.106.97.230

186.75.241.230

149.167.86.174

181.143.194.138

192.241.250.202

149.167.86.174

181.164.8.25

URL

hxxp://186.75.241.230/walk/img/sess/

hxxp://149.167.86.174:990/pnp/report/sess/

除非特別注明,本站所有文章均不代表本站觀點。投訴QQ:55313 8779
网络游戏赛车