Emotet是当今最危险,最广泛的恶意软件威胁之一。CheckPoint排名和anyrun均排名第一位。
Emotet是一种极其复杂的破坏性木马,用于下载和安装其他恶意软件。于2014年首次被记录为银行木马,但Emotet在其生命周期中已获得了先进的功能,并逐渐发展成为一个完整的恶意软件分发服务,已发展成为一种模块化的多态平台,可用于分发其他类型的计算机病毒。
经过黑客不断的开发,Emotet会定期进行更新,以提高隐身性,持久性并添加新的间谍功能。
这个臭名昭著的木马是在野外发现的最常见的恶意程序之一,是网络钓鱼攻击(电子邮件垃圾邮件)的一部分,垃圾邮件使PC受到恶意软件感染,并在网络中的其他计算机之间传播。Emotet是过去几年中上传次数最多的恶意软件。以下是2019年上传到ANY.RUN服务的等级,其中用户在线运行了36000多次Emotet恶意软件分析的交互式会话。随着时间的推移,该恶意软件已发生了很大变化,并且随着每个新版本的发布,对受害者的威胁越来越大。
如何演变?
与其他银行木马一样,该恶意软件的主要目标是窃取小公司的凭证,开始时主要是在德国和奥地利。通过伪造发票或其他财务文件,诱使用户单击链接并下载恶意软件。那年下半年,它获得了多样化的模块化体系结构,其重点是下载恶意软件有效负载,传播到尽可能多的计算机上以及发送恶意电子邮件以感染更多的个人和组织。在短暂修整后的2015年初,Emotet再次露面。RSA公钥、新地址列表和RC4加密是Trojan的新功能。从那时起,受害者的范围开始扩大,瑞士银行也成为攻击受害者。总体而言,逃避技术得到了很大的改进。在最新版本中,Emotet已变成多态恶意软件,将其他恶意程序下载到受感染的计算机以及整个网络。可以窃取数据,适应各种检测系统,将感染的主机作为恶意软件即服务模型出租给其他网络罪犯。
由于Emotet盗窃用户电子邮件,通过伪装的电子邮件来获得受害者的信任,垃圾邮件始终是Emotet的主要传递方式,这种伪装是利用受害者账号发送邮件,更具有说服力且容易成功,当然更加危险。
例如:2018年,在美国宾夕法尼亚州东部的一个城市艾伦镇政府系统(Allentown)遭受了Emotet感染,他们投入100万美元进行恢复。由于Emotet在2019年,整个法兰克福市不得不关闭网络。从政府到小型企业的各种组织,所有公共服务都被迫放弃IT完成工作。根据最新研究,Emotet发展成为一种全球性威胁,影响着各个领域。下面的地图显示意大利、西班牙和阿拉伯联合酋长国是受攻击最多的国家。
最近,法国、日本和新西兰的网络安全公司宣布针对其国家的Emotet攻击有所增加。
当时和现在的Emotet
根据上传到ANY.RUN服务的Emotet示例的图表,可以看到恶意软件在2019年和2020年的行为。
我们可以看到一些规律,例如,6月,Emotet趋于下降。但是,从8月到10月,呈上升趋势。在2019年年底,此类攻击非常活跃,因此我们可以预见今年这种攻击也会增加。长期以来,Emotet不断发生变化更新。早期版本与当前版本有所不同,Emotet已从银行木马发展到加载恶意程序分发器。
为了分发和执行,Emotet正在使用带有VBA宏的恶意垃圾邮件和文档。目标诱使受害者从电子邮件中下载附加的恶意文档启用恶意宏。嵌入式宏开始执行,随后的情况可能会有所不同。过去几年中最常见的变体是宏启动Base64编码的Powershell脚本,此脚本随后下载可执行文件。但是在这一点上,Emotet带来了许多不同的处决方式。
当我们谈论恶意文件打开后的初始步骤时,有许多变体开始出现。Office文档中的VBA宏可以启动cmd、Powershell、WScript。最近,Emotet的执行链首次加入Сertutil。
随着时间的流逝,执行链不仅会发生变化,Emotet的可执行文件本身也发生变化,如注册表项、文件和文件系统中的子进程。例如,在2018-2019年间,Emotet将其可执行文件放在特定路径下的文件夹中,并使用特定算法生成了文件名和文件夹名称。更改了用于C2通信的文件名生成算法,进程树和路径生成算法。
恶意软件家族的另一个重要特征是maldocs使用的模板。它们在不断变化,在它们之间还可以找到以前用于分发其他恶意软件家族(例如Valak和Icedid)的模板。
从ANY.RUN的角度看Emotet
对恶意软件进行了解,可以改善安全性的薄弱环节。所谓知己知彼方可百战百胜。用西方人的说法,你不可能保护一个你不了解的东西,当然你也没办法防护一个你不知道的东西,不了解的工作大多数是盲目的。
你可以利用ANY.RUN交互式的在线沙箱检测,分析和监视网络安全威胁,暂时,他能够检测Emotet。
此外,ANY.RUN具有一个特殊的庞大的数据库,共享他们的调查结果。到ANY.RUN的样本中Emotet下载最多,处于领先地位。
保护基础网络免受Emotet感染的第一步是检测恶意软件。ANY.RUN沙箱具有出色的Emotet检测和分析工具。
可以把网络钓鱼电子邮件的恶意附件上传到ANY.RUN进行检测,如右侧的过程树反映了已执行的所有操作。如图所示,第一个过程开始在用户目录中创建新文件。然后,POwersheLL.exe连接到网络并从Internet下载可执行文件。最后一个文件winhttp.exe更改了注册表中的自动运行值,并连接到命令和控制服务器,以检索用于后续恶意活动的指令并窃取被盗数据。
最后,网络活动检测到了Emotet。来自Proofpoint(新兴威胁)和Positive Technologies等高级提供商的新鲜Suricata规则集是检测过程的重要组成部分。
ANY.RUN还提供了有用的Fake Net功能。开启后,会返回404错误,迫使恶意软件泄露其C2链接,从而帮助更有效地收集Emotet的IOC。这有助于恶意软件分析人员优化时间,因为无需手动对其进行模糊处理。
有趣的是,一组具有相同模板的恶意文档可以嵌入VBA宏,从而导致创建不同的执行链。所有这些对象的主要目的都是欺骗打开此恶意文档的用户以启用VBA宏。
结论
Emotet的演变可谓永不言败。表明恶意软件发展非常迅速,竭尽所能适应一切。
企业连接到Internet,则风险可能比意识到的范围更大、更广。对抗Emotet等复杂威胁确实需要个人和组织的共同努力。此外,诸如ANY.RUN之类的服务可以为公司及早识别恶意软件起到帮助。
2020年十月份恶意软件之“十恶不赦”排行榜
国际最著名的黑客赛事PWN2OWN东京 2020第三天赛况回顾
微软在可信领域发力,推出个人电脑可信安全芯片“ Pluton”