Emotet银行木马分析报告

访客4年前关于黑客接单1332

银行木马Emotet于2014年首次被发现,至今已有6年多,在此期间它不断升级,转变目标方向,研发加载新模块,它仍然是 *** 安全最严重的威胁之一。Emotet会通过垃圾邮件进行传播,并在本地 *** 下载其他恶意软件。本文会总结所有关于Emotet的信息。

2014年

Emotet于2014年6月底由TrendMicro首次发现,它利用浏览器劫持用户银行凭证,主要目标是德国和奥地利银行客户,主要传播媒介是带有恶意附件或链接的银行电子邮件。

1609146162_5fe99f3223312af2c6274.png!small?1609146162405

1609146172_5fe99f3c0d031fef9534e.png!small?1609146172348

2014年秋季发现了一个Emotet组件修改如下:

HTTP(S)流量模块

Outlook收集电子邮件地址模块

Mail PassView(密码恢复工具)窃取帐户模块

垃圾邮件模块

DDoS攻击模块

此外,恶意软件开始采用技术,利用自动转账系统(ATS)自动从受害者银行账户中窃取资金。12月,C&C服务器停止响应,木马活动明显减少。

2015年

在2015年初发现新的Emotet修改版本,变化包括:新的内置RSA公钥,字符串加密,ATS脚本,其目标包括瑞士的银行客户。

6月,C&C服务器无响应。从配置文件来看,该木马目标是奥地利、德国和波兰的银行客户。

2016年

首次发现新版本Emotet redux,此版本使用RIG-E和RIG-V漏洞工具包感染目标。C&C通信协议也发生了更改:对于小于4KB的数据量,使用GET请求,数据在HTTP头的Cookie字段中传输。如果数据量较大,则使用POST请求。RC/4加密算法已经被AES取代。C&C服务器返回带有404notfound错误的报头,并在回复正文中传输加密的有效负载。

1609147074_5fe9a2c2a36bc25c9f64a.png!small?1609147075102

2017年

4月初,波兰出现大量针对用户的垃圾邮件,主要以物流公司名义发送电子邮件,要求收件人下载并打开JavaScript格式的文件。攻击者并没有尝试将可执行JavaScript隐藏为PDF格式。许多用户根本不知道JavaScript不是文档或报表格式。

*** 文件名:

dhl__numer__zlecenia___4787769589_____kwi___12___2017.js

(MD5:7360d52b67d9fbb41458b3bd21c7f4de)

invoice__924__apr___24___2017___lang___gb___gb924.js

(MD5:e91c6653ca434c55d6ebf313a20f12b1)

telekom_2017_04rechnung_60030039794.js

(MD5:bcecf036e318d7d844448e4359928b56)

Document_11861097_NI_NSO___11861097.pdf

(MD5: 2735A006F816F4582DACAA4090538F40)

1609147997_5fe9a65db8302d9a241f7.png!small?1609147997569

Document_43571963_NI_NSO___43571963.pdf

(MD5: 42d6d07c757cf42c0b180831ef5989cb)

1609148017_5fe9a6718df37ca8eca12.png!small?1609148017390

JavaScript是一个木马下载程序,下载并运行Emotet,成功感染系统后向用户显示错误窗口。

1609148157_5fe9a6fdab7c77ca07c5c.png!small?1609148157584

5月,Emotet传播方案略有改变。附件中包含Office文档(或指向它的链接),其中图像伪装成msword消息,表示文档版本已过时。若打开文档,系统会提示启用宏。

ab-58829278.dokument.doc (MD5: 21542133A586782E7C2FA4286D98FD73)1609148411_5fe9a7fbc017d4e78e2b2.png!small?1609148411648

6月开始,通过工具(networkspreader)从c&C服务器传播,该工具后来成为恶意软件模块之一。

bypass.exe (MD5: 341ce9aaf77030db9a1a5cc8d0382ee1)

service.exe (MD5: ffb1f5c3455b471e870328fd399ae6b8)

1609148571_5fe9a89b7889ae0424cc7.png!small?1609148571340

bypass.exe:

通过内置字典搜索 *** 资源

复制service.exe到合适的资源

在远程系统上创建自动运行service.exe

程序逆向:

1609148667_5fe9a8fb7cf9039acfb3b.png!small?1609148667357

内置字典:

1609148681_5fe9a909b80b2ce97f3b8.png!small?1609148681682

就功能而言,service.exe只将计算机的名称发送到服务器。

1609148750_5fe9a94ee7c1636dac84c.png!small?1609148750777

1609148758_5fe9a95629beb6d8c3df0.png!small?1609148758035

该恶意软件是一个测试版本,就在第二天,检测到更新版本。

1609148811_5fe9a98b2555911b7130e.png!small?1609148810998

七月,Emotet加载模块更新。Emotet在HTTP报头的Cookie字段中删除了带有数据传输的GET请求,所有C&C通信均使用POST(MD5:643e1f4c5cbaeebc003faee56152f9cb)。

八月,Network Spreader作为DLL包含在Emotet中(MD5:9c5c9c4f019c330aadcefbb781caac41),新模块的编译日期是2017年7月24日。

2018年

1月,Emotet开始传播银行木马Panda(Zeus Panda,于2016年首次发现)。

4月初,Emotet更新了一个无线 *** 模块(MD5:75d65cea0a33d11a2a74c703dbd2ad99),该模块试图使用字典攻击访问Wi-Fi。

1609149067_5fe9aa8b888e22f5b1073.png!small?1609149067378

攻击者很快更新了这个模块(MD5:d7c5bf24904fc73b0481f6c7cde76e2a),其中包含一个新的service.exe,内置Emotet(MD5:26d21612b676d66b93c51c611fa46773)。

1609149121_5fe9aac12a066a3d952c8.png!small?1609149121053

4月14日,Emotet再次开始在HTTP头的Cookie字段中使用带有数据传输的GET请求,用于小于1kb的数据传输,使用POST请求处理大数据。填充Cookie字段的模板也不同,以前的形式是Cookie: %X=,,现在是Cookie: %u=。数字和等号之间新增加的空格有助于识别Emotet流量。

1609149220_5fe9ab24687995391a40b.png!small?1609149220277

4月30日,C&C服务器暂停活动,5月16日恢复,之后GET请求消失。

1609149262_5fe9ab4ec470a5d154a83.png!small?1609149262669

六月,Trickster(或Trickbot)开始使用Emotet来传播自己。

七月,获得了基于libminiupnc的UPnP模块(MD5:0f1d4dd066c0277f82f74145a7d2c48e)。该模块在路由器上启用端口转发,使攻击者不仅可以访问位于NAT后面的本地 *** 计算机,而且可以将受感染的计算机变成C&C *** 。

八月,出现了新的Ryuk勒索软件感染,感染链始于Emotet,它下载了Trickster,然后安装Ryuk。月底, *** 扩展器模块中的密码列表更新(MD5:3f82c2a733698f501850fdf4f7c00eb7)。

1609149421_5fe9abed0da0b5595afde.png!small?1609149421547

10月30日,Outlook模块(MD5:64C78044D2F6299873881F8B08D40995)更新,窃取的数据量被限制在16KB(较大的消息会被截断)。

1609149503_5fe9ac3f5805071a9b66f.png!small?1609149503206

2019年

Emotet再次修改了HTTP协议部分,切换到POST请求并使用字典创建路径(MD5:beaf5e523e8e3e3fb9dc2a361cda0573)。POST request :

1609149565_5fe9ac7ddf2c9f7700d78.png!small?1609149565791

1609149579_5fe9ac8b6910fdcc72ba8.png!small?1609149579240

3月,协议中HTTP删除内容类型:multipart/form data。数据本身使用Base64和UrlEncode进行编码(MD5:98fe402ef2b8aa2ca29c4ed133bbfe90)。

1609149633_5fe9acc17d4f23fb0051b.png!small?1609149633383

1609149639_5fe9acc76ba2949cb1733.png!small?1609149639228

五月,C&C服务器停止工作,8月21日恢复。接下来几周里,服务器只分发更新和模块,没有发现垃圾邮件活动。

十一月,协议HTTP部分发生改动。Emotet放弃使用字典来创建路径,选择随机生成的字符串(MD5:dd33b9e4f928974c72539cd784ce9d20)。

1609149711_5fe9ad0f8f41da5f9c776.png!small?1609149711469

2020年

2月,协议中HTTP部分中路径不是由字符串组成,而是由几个随机生成的单词组成。

1609202437_5fea7b055a0edef5ecb4d.png!small?1609202437176

二进制部分也进行了更新。加密保持不变,但Emotet放弃了Google Protocol Buffer,转而使用自己的格式。压缩算法也发生了变化,zlib被liblzf取代。

从2月开始C&C活动下降,直到2020年7月才恢复。在此期间,垃圾邮件数量降至零。垃圾邮件活动恢复几天后,网上有报道称,有人用图片和memes替换了网站上的恶意Emotet载荷,点击垃圾邮件中的链接会打开一张普通图片,而不是恶意文档。

IOC

C&C

173.212.214.235:7080

167.114.153.111:8080

67.170.250.203:443

121.124.124.40:7080

103.86.49.11:8080

172.91.208.86:80

190.164.104.62:80

201.241.127.190:80

66.76.12.94:8080

190.108.228.27:443

恶意URL

hxxp://tudorinvest[.]com/wp-admin/rGtnUb5f/

hxxp://dp-womenbasket[.]com/wp-admin/Li/

hxxp://stylefix[.]co/guillotine-cross/CTRNOQ/

hxxp://ardos.com[.]br/simulador/bPNx/

hxxps://sangbadjamin[.]com/move/r/

hxxps://asimglobaltraders[.]com/baby-rottweiler/duDm64O/

hxxp://sell. *** artcrowd[.]ae/wp-admin/CLs6YFp/

hxxps://chromadiverse[.]com/wp-content/OzOlf/

hxxp://rout66motors[.]com/wp-admin/goi7o8/

hxxp://caspertour.asc-florida[.]com/wp-content/gwZbk/

Emotet MD5

4c3b6e5b52268bb463e8ebc602593d9e

0ca86e8da55f4176b3ad6692c9949ba4

8d4639aa32f78947ecfb228e1788c02b

28df8461cec000e86c357fdd874b717e

82228264794a033c2e2fc71540cb1a5d

8fc87187ad08d50221abc4c05d7d0258

b30dd0b88c0d10cd96913a7fb9cd05ed

c37c5b64b30f2ddae58b262f2fac87cb

3afb20b335521c871179b230f9a0a1eb

92816647c1d61c75ec3dcd82fecc08b2

原文链接

securelist?

相关文章

皮影戏的来历(皮影戏简单介绍)

戏曲的由来(戏曲简易详细介绍) 戏曲是中国民间历史悠久的传统文化,老北京人都叫它“驴皮影”。据史籍记述,戏曲起源于网汉朝,盛于唐代,盛于清朝,米朝阶段传到阿拉瓦和欧州,可以说有悠久的历史,博大精深。...

金立换屏幕多少钱,金立手机换内屏要多少钱

  要看是哪一款手机了,并且不会只换内屏的,一般都是表里屏幕一起换,通例价值在700阁下。   你好,这个要看你王笛详细是利用金立什么型号手机了,型号差异手机屏幕价位也是差异的发起你可以进入他们金报价...

双11淘宝购物不满意?淘宝换货流程你知道吗?(

双11淘宝购物不满意?淘宝换货流程你知道吗?(

11月12日零点,2018年天猫双11落下帷幕。累计交易额超过1598亿,再创历史新高。 一大早,“淘宝退款崩了”竟然上了微博热搜。有的网友表示还没来及退款,商家已经发货了。 今年的商家都很拼,为...

心理账户:如何帮用户找到购买东西的“借口”

心理账户:如何帮用户找到购买东西的“借口”

编辑导语:产物再好,没有一个吸引人的文案,也大概会失去自己的代价。因此产物自己做的好是一部门,营销文案是别的一部门,二者相团结才气够打造爆款。本文作者通过自身多年的产本营销履历,罗列了多个例子为我们讲...

智利总统皮涅拉新宋接种中国新冠疫苗

  智利总统皮涅拉接种中国新冠疫苗   新华社圣地亚哥2月12日电(记者尹南 张笑然)智利总统皮涅拉当地时间12日在智利南部河大区福德罗诺市一处社区家庭保健中心接种了中国科兴公司研发的新冠疫苗。...

怎么可以查询别人的宾馆酒店开房记录

网红拉姆遭前夫泼汽油全身烧伤 只因走红后遭到前夫嫉妒 最近关于藏族网红姑娘拉姆遭前夫泼汽油全身烧伤的消息已经在网上传的沸沸扬扬,事情曝光之后引发了网友们的关心。很快拉姆的前夫已经被警方缉拿归案,经过询...