為什么每個人都害怕Emotet?
Emotet是迄今為止最危險的特洛伊木馬之一。該惡意軟件隨著規(guī)模和復(fù)雜性的增長而成為極具破壞性的程序。受害者可以是暴露于垃圾郵件活動的任何人,從公司用戶到私人用戶。
僵尸網(wǎng)絡(luò)通過包含惡意Excel或Word文檔的網(wǎng)絡(luò)釣魚進行分發(fā)。當(dāng)用戶打開這些文檔并啟用宏時,EmotetDLL將下載并加載到內(nèi)存中。
它搜索電子郵件地址并竊取它們用于垃圾郵件活動。此外,僵尸網(wǎng)絡(luò)還會投放額外的有效載荷,例如CobaltStrike或其他導(dǎo)致勒索軟件的攻擊。
Emotet的多態(tài)性及其包含的許多模塊使得惡意軟件難以識別。Emotet團隊不斷改變其策略、技術(shù)和程序,以確保無法應(yīng)用現(xiàn)有的檢測規(guī)則。作為在受感染系統(tǒng)中保持隱身的策略的一部分,惡意軟件使用多個步驟下載額外的有效負載。
Emotet行為的結(jié)果對網(wǎng)絡(luò)安全專家來說是毀滅性的:惡意軟件幾乎不可能被刪除。它傳播迅速,生成錯誤指標,并根據(jù)攻擊者的需要進行調(diào)整。
這些年來,Emotet是如何升級的?
Emotet是一種先進且不斷變化的模塊化僵尸網(wǎng)絡(luò)。該惡意軟件于2014年作為一個簡單的銀行木馬開始其旅程。但從那時起,它獲得了一系列不同的功能、模塊和活動:
2014.匯款、垃圾郵件、DDoS和地址簿竊取模塊。
2015.規(guī)避功能。
2016.垃圾郵件、RIG4.0漏洞攻擊包、其他木馬的傳播。
2017.一個傳播者和地址簿竊取器模塊。
2021.XLS惡意模板,使用MSHTA,由CobaltStrike刪除。
2022。一些功能保持不變,但今年也帶來了一些更新。
這種趨勢證明,盡管頻繁“休假”,甚至官方關(guān)閉,Emotet也好不到哪兒去。惡意軟件發(fā)展迅速并適應(yīng)一切。
新的Emotet2022版本獲得了哪些功能?
經(jīng)過將近半年的休整,Emotet僵尸網(wǎng)絡(luò)以更加強大的姿態(tài)卷土重來。以下是您需要了解的有關(guān)2022新版本的信息:
它會釋放IcedID,一種模塊化的銀行木馬。
該惡意軟件加載XMRig,這是一種竊取錢包數(shù)據(jù)的礦工。
該木馬有二進制更改。
Emotet使用64位代碼庫繞過檢測。
新版本使用新命令:
使用隨機命名的DLL和導(dǎo)出PluginInit調(diào)用rundll32.exe
Emotet的目標是從GoogleChrome和其他瀏覽器獲取憑據(jù)。
它還旨在利用SMB協(xié)議收集公司數(shù)據(jù)
與六個月前一樣,僵尸網(wǎng)絡(luò)使用XLS惡意誘餌,但這次它采用了一種新的誘餌:
如何檢測Emotet?
Emotet面臨的主要挑戰(zhàn)是在系統(tǒng)中快速準確地檢測到它。除此之外,惡意軟件分析師應(yīng)該了解僵尸網(wǎng)絡(luò)的行為,以防止未來的攻擊并避免可能的損失。
經(jīng)歷了漫長的發(fā)展歷程,Emotet在反逃避策略上加緊了步伐。通過進程執(zhí)行鏈的演變和受感染系統(tǒng)內(nèi)部惡意軟件活動的變化,惡意軟件已經(jīng)徹底改變了檢測技術(shù)。
例如,在2018年,可以通過查看進程的名稱來檢測這位銀行家——它是其中之一:
eventswrap,implrandom,turnavatar,soundser,archivesymbol,wabmetagen,msrasteps,secmsi,crsdcard,narrowpurchase,smxsel,watchvsgd,mfidlisvc,searchatsd,lpiograd,noticesman,appxmware,sansidaho
后來,在2020年第一季度,Emotet開始在注冊表中創(chuàng)建特定的密鑰——它將長度為8個符號(字母和字符)的值寫入密鑰HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER值。
當(dāng)然,Suricata規(guī)則始終會識別此惡意軟件,但檢測系統(tǒng)通常會在第一波之后繼續(xù)進行,因為規(guī)則需要更新。
檢測此銀行家的另一種方法是其惡意文檔-騙子使用特定的模板和誘餌,即使其中存在語法錯誤。檢測Emotet最可靠的方法之一是通過YARA規(guī)則。
要克服惡意軟件的反規(guī)避技術(shù)并捕獲僵尸網(wǎng)絡(luò)——使用惡意軟件沙箱作為實現(xiàn)此目標的最便捷工具。在ANY.RUN中,您不僅可以檢測、監(jiān)控和分析惡意對象,還可以從樣本中獲取已提取的配置。
有一些功能僅供Emotet分析使用:
使用FakeNet揭示惡意樣本的C2鏈接
使用Suricata和YARA規(guī)則集成功識別僵尸網(wǎng)絡(luò)
從樣本的內(nèi)存轉(zhuǎn)儲中獲取有關(guān)C2服務(wù)器、密鑰和字符串的數(shù)據(jù)
收集新的惡意軟件的IOC
該工具有助于快速準確地執(zhí)行成功的調(diào)查,因此惡意軟件分析人員可以節(jié)省寶貴的時間。
Emotet尚未展示完整的功能和一致的后續(xù)有效負載交付。使用在線惡意軟件沙箱等現(xiàn)代工具來提高網(wǎng)絡(luò)安全并有效檢測此僵尸網(wǎng)絡(luò)。保持安全和良好的威脅狩獵!
