安全路透社
当前位置:安全路透社 > 网络转载 > 正文

不想感染银行木马Emotet?其实只需要创建三个空文件

b1.png

写在前面的话

Emotet是一款臭名昭著的银行木马,它不仅可以窃取银行信息和邮箱账号,而且还可以自动从目标用户的银行账号中窃取金钱。除此之外,它还能够利用目标用户的通讯录列表以及邮箱账号来进行自我传播。

Emotet当前的活动极具侵略性,研究人员已经成功识别了大量的Emotet Payload以及用于传播Emotet的数百个恶意域名s。到目前为止,Emotet活动可以算得上是2017年规模最大的网络钓鱼活动了。

2017年年底的Emotet活动

研究人员发现,上个月又出现了一种新型的Emotet变种,而攻击者目前正在使用恶意邮件信息以及社工技术来欺骗用户点击和下载Emotet:

b2.png

跟其他网络钓鱼活动不同的是,Emotet所使用的恶意Office文档并不是直接作为钓鱼邮件附件的形式提供给目标用户的,而是托管在了远程Web服务器中。这样做的目的很可能是为了绕过安全解决方案,并防止安全产品检测到邮件附件之中的恶意内容。

但恶意文档的攻击形式跟其他的恶意活动是一样的,当目标用户下载了恶意文档之后,文档会使用一些基本的社工技术来要求用户启用“宏执行”:

b3.png

如果用户启用了宏,那么恶意文档将会执行下列批处理脚本:

b4.png

在运行的过程中,上图中的最后一行代码将会使用已编码的Payload来执行一条无文件形式的PowerShell命令。

解码后的Payload如下所示:

b5.png

恶意域名分析

研究人员总共发现了700多个与Emotet活动有关的恶意域名,而Emotet使用这些域名主要有以下三个目的:

1.      托管用与传播Emotet的Office文档:当用户点击了钓鱼邮件中的恶意链接之后,这些网站将会给用户发送受感染的文档。

2.      托管Emotet的可执行Payload:这些服务器中托管了恶意软件的可执行程序,恶意Office文档中的Dropper可以从服务器中直接下载Emotet。

3.      C2服务器:收集易感染Emotet的主机信息。

如果你想了解更多关于这些恶意域名的详细分析内容,可以访问Minerva实验室的研究报告【传送门】。

其实从一开始,Emotet只是一款十分简单的恶意软件,但经过了多年的发展和进化,Emotet也增加了许多入侵技术。Minerva实验室对Emotet活动近期所使用的Payload变种进行了分析,并且发现这些Payload的攻击效率非常高,而且还能够绕过当前流行的反病毒产品。但是研究人员表示,广大用户现在只需要创建三个空文件,就能够完全阻止Emotet并保护自己设备的安全。

Emotet进程在对进程节点进行了检测之后,便会继续运行:

b6.png

当我们在节点中创建了空文件之后,将能够防止Emotet运行:

b7.png

创建三个空文件

最新版本的Emotet引入了非常多的绕过机制,Emotet可以利用这些技术来绕过沙盒以及反病毒产品。比如说,Emotet会尝试检测下列与沙盒相关的文件是否存在:

目录C:\a下的文件:


C:\a\foobar.bmp

C:\a\foobar.gif

C:\a\foobar.doc

目录C:\123以及C:\下的文件:


C:\email.doc

C:\email.htm

C:\123\email.doc

C:\123\email.docx

如果Emotet发现了第一个目录集中的那三个文件或者第二个目录集中的四个文件,那么它将会终止运行以防止其在沙盒环境中被分析。

除此之外,Emotet还会搜索与沙盒环境相关的用户名以及主机名列表。如果它检测到了下列Windows用户名或主机名的话,它也会立刻终止运行:


TEQUILABOOMBOOM

Wilbert

admin

SystemIT

KLONE_X64-PC

John Doe

BEA-CHI

John

关于Emotet详细的绕过流程大家可以从这篇【分析报告】中获取:

b8.png

那么我们到底应该怎么做才能防止Emotet的攻击呢?

答案很简单,广大用户只需要创建如下所示的文件,即可一劳永逸地防止被Emotet感染:


C:\a\foobar.bmp

C:\a\foobar.gif

C:\a\foobar.doc

C:\email.doc

C:\email.htm

C:\123\email.doc

C:\123\email.docx

总结

针对Emotet的研究结果表明,恶意软件开发者们对“如何伪装恶意软件”可以说是下足了功夫,随着恶意软件的不断发展和进化,之后肯定又会出现各种新型的反病毒产品绕过技术。实际上,恶意软件的复杂程度每年都会上升一个台阶,它们不仅会进行自我更新以引入更多新的攻击技术,而且还会转而使用PowerShell之类的系统原生工具来躲避安全检测,这也让研究人员的分析工作变得难上加难了。

 

* 参考来源:minerva-labs,FB小编Alpha_h4ck编译

未经允许不得转载:安全路透社 » 不想感染银行木马Emotet?其实只需要创建三个空文件

赞 (0)
分享到:更多 ()

评论 0

评论前必须登录!

登陆 注册