预警：十大顶级恶意软件榜首Emotet卷土重来

一

背景概述

根据Check Point Research 发布的全球威胁指数，emotet长期位居榜首，而Check Point Research (CPR) 的 2022 年安全报告中的亮点则是emotet回归，emotet是史上最危险、最臭名昭著的僵尸网络之一。自 Emotet 11 月回归以来，CPR 认为该恶意软件的活动至少是 2021 年 1 月（即在其最初被删除前不久）看到的水平的 50%。

近日，安恒信息CSIRT监测到emotet木马针对国内某公司发起的钓鱼邮件攻击，emotet最早发现于2014年，以银行木马程序的形式出现在大众视野（窃取银行凭证信息），背后的黑客组织是TA542。经过几年的发展，emotet的功能不断扩展，进化成完整的恶意软件分发服务。在2021年1月，emotet遭到全球多国联合执法打击摧毁，而在同年11月份，emotet卷土重来。下图为emotet近年发展历程：

emotet发展历程

二

样本分析

下图是我们监测到的钓鱼邮件内容：

钓鱼邮件正文

钓鱼邮件附件为恶意office宏病毒，样本执行流程如下：

病毒执行流程

钓鱼邮件通常通过夹带恶意链接或恶意附件的形式传播病毒，此次捕获钓鱼邮件通过诱导用户下载附件文件的方式进行传播，附件为office宏病毒，文件类型为xls，当用户点击下载并打开附件时，病毒文档会进一步诱导用户点击启动office宏，从而执行恶意代码。

xls文件正文

宏代码如下，主要功能是获取到穿插在Sheet1表格中恶意代码，并拼接出完整的恶意脚本代码，分别释放在“C:ProgramDatatjspowj.vbs”、 “ C:ProgramDatauidpjewl.bat”，随后执行vbs脚本。

部分宏代码

vbs脚本用于执行前述释放的bat文件，并通过rundll32.exe运行c:programdatapuihoud.dll。

Vbs脚本代码

bat脚本负责发起调用PowerShell从内置的URL列表中尝试下载名为puihoud.dll的恶意程序存放于c:programdata目录。

bat脚本代码

vbs及bat脚本与以往emotet木马代码风格一致，而puihoud.dll则用于加载内存马并与C&C进行通信。puihoud.dll运行时会判断进程列表中是否存在已经运行的emotet其他版本，存在则不进行操作。

经分析发现，puihoud.dll伪装成JkDefrag磁盘清理工具，大部分代码直接负责Github开源代码，下图左为病毒代码，右为GitHub开源项目。

部分代码

真实的恶意代码加密后存放在资源区ZANTRA中，解密后仍为一个DLL，DLL自解密之后会重新通过rundll32执行DllRegisterServer函数。而DllRegisterServer函数会将程序自身移动到“c:Windowssystem32”目录，并随机创建目录和随机重命名文件,并将恶意程序自身注册为自启动服务，并且在注册服务时会将服务程序描述随机伪装为系统服务描述，以此来提高隐秘度，而该程序作为服务运行时会再次通过rundll32执行DllRegisterServer函数。

注册表服务项

DllRegisterServer最终函数会解码一个内置的C2列表，用于收集终端信息与控制受害终端，下图中部分IP地址与以往emotet木马的C&C地址重叠，因此可以确认此次分析钓鱼邮件属emotet组织所创。

内置IP列表

三

IOC

四

总结及防护建议

此次分析样本为emotet钓鱼邮件。emotet近期在国内高度活跃，通常使用钓鱼邮件对企业用户发起攻击。建议终端用户不要点击下载不明来历软件或未知邮件附件，下载软件尽量去厂商官网下载；不随意点击不明链接，陌生文件下载运行前可使用文件威胁分析平台进行检测（https://ti.dbappsecurity.com.cn/），避免感染病毒；定期查杀病毒，清理可疑文件，备份数据。

钓鱼邮件通用解决方案如下：

1.首先通过下面的命令查询本地安装office版本

2.随后新建后缀为reg文件，内容如下，其中“15.0”对应前述查询本地office版本，请针对终端所使用office版本进行修改替换

WindowsRegistry Editor Version 5.00

3.保存文件后双击运行，弹出提示框时选择是，随后便会在注册表自动添加禁用office宏内容并不发送通知，即使有office文档存在宏代码，也不会提示点击启用宏。

注意：此方法仅针对office宏病毒有效，而无法解决office漏洞利用病毒，如CVE-2017-11882,CVE-2017-0199等。

五

参考链接

https://intel471.com/blog/emotet-returns-december-2021

来源：E安全