自2014年初次被发现至今，Emotet银行木马不断地开展。美国 *** 估量Emotet事情需求花费一个企业100万美元来修正。Emotet是一款广泛传达的歹意软件，并且其开发者也在不断地参加新的功用、传达办法等。 经过对Emotet的流量剖析能够看出新样本运用的是与之前样本不同的后感染流量。歹意软件测验运用被黑的互联网设备作为署理C2服务器以重定向到实在的C2服务器。这些改变带来的C2流量复杂性的改变能够协助其绕过检测。这些发现也标明歹意软件正被用来感染和搜集有缝隙的联网设备，这些设备会被用作歹意用处。 经过垃圾邮件传输 Emotet首要经过垃圾邮件的办法抵达受害者体系。研究人员发现的4月初的样本中歹意软件仍经过垃圾邮件在木马下载器Powload的协助下进行传达。垃圾邮件音讯会诱运用户下载邮件中的歹意文件（附件）。附件是一个ZIP文件，能够用邮件正文中的4位暗码翻开。剖析zip文件发现含有一个Powload的变种，假如用户输入暗码，文件就运用Powershell来下载可执行文件，也便是Emotet的payload。 图1. Emotet垃圾邮件示例 后感染流量的改变 研究人员是从2019年3月15日开端监控这波运用POST-infection流量的Emotet样本的。这也是研究人员初次运用POST-infection流量技能。 图2. Emotet post-infection HTTP Post恳求流量 之前的Emotet流量中是衔接并不运用URI途径，可是新样本中运用的是随机的单词和数字组合作为URL目录途径，如图2所示。URI途径中的随机字母能够协助歹意软件绕过根据 *** 的检测。空URI途径是赤色的flag，所以该技能能够协助使流量看起来愈加合法（非歹意）。 下面是新样本中的URI途径中运用的随机单词，这些单词也出现在Emotet可执行文件中。 图3. URI中运用的单词 除了URI途径外，HTTP POST音讯主体中的数据也发生了改变。之前的Emotet样本运用HTTP GET恳求来发送受害者信息到C2服务器，数据保存在Cookie header中。数据用RSA KEY和AES加密，然后用base64编码，再参加到cookie值中。 新样本的流量中，攻击者运用Cookie header并讲HTTP恳求办法修改为POST。数据依然运用RSA key和AES加密，然后用base64编码。可是是保存再HTTP POST音讯主体而不是cookie值中。这一改变又添加了复杂性能够协助歹意软件绕过检测或添加剖析所需的时刻。 图4. 新旧Emotet样本C2流量比较 运用联网设备作为C2署理服务器 Emotet的样本中有一个硬编码的IP地址列表作为C2服务器。均匀每个Emotet样本中含有39个C2服务器，最多有44个，最少有14个。经过剖析已知的Emotet C2服务器的活泼IP地址，研究人员发现这些IP其实是一些联网设备。其间一个是路由器的web接口，另一个是办理打印机和其他设备的嵌入式服务器，还有一个好像是DVR（Digital Video Recorders）的服务器接口。 经过剖析Emotet C2服务器研究人员发现这些联网的设备都被用作C2通讯的一个新加的层。 图5. Shodan细节 图6. 被黑的DVR的登陆页面 经过剖析活泼的C2服务器的敞开端口和服务，研究人员发现Emotet测验运用这些有缝隙的联网设备作为之一层的C2服务器。这一层服务器作为署理会重定向受害者到实在的C2服务器，在C2服务器通讯中参加一层能够使剖析人员难以追寻攻击者。并且攻击者还能够运用这些有缝隙的设备来做其他歹意活动。 3月份Shodan扫描的C2列表标明Emotet已经在运用很多的联网设备了： 表1. Emotet黑掉的联网设备 怎么应对？ POST-infection流量的改变和运用联网设备都标明Emotet仍在不断更新，并且是不断开展的一个要挟。歹意软件作者运用了新的绕过技能，假如不能查看或无法检测到，那么要挟就会继续开展，给企业带来更大的经济和数据丢失。研究人员主张运用多层防御机制，维护网关、终端、 *** 和服务器在内的一切设备。