2014年,Emotet首次被发现。在当时,它还只是一种用于窃取财务数据的“简单”银行木马。之所以“简单”二字要打双引号,是因为随着时间的推移,这种木马病毒不仅已经演变成了僵尸网络,而且还具备了模块化的结构。
如今的Emotet能够向蠕虫病毒一样传播,具有非常强的感染性,美国国土安全部对它的评价是“给州、地方、部落和地区(SLTT)政府、私有部门和公共部门造成经济损失最大、最具破坏力的恶意软件之一”。
Emotet的罪恶史
有关Emotet的首份分析报告来自Joie Salvio,时间是在2015年。在当时,它的感染媒介非常简单,主要运用了社会工程技术(例如:垃圾邮件),借助恶意下载链接传播。
下载的文件包含两个有效载荷:一个是配置文件,其中包含一份目标银行列表,另一个是DLL文件,可以将其注入到各种进程之中,以拦截出站网络流量并在Web浏览器中收集详细信息。
Emotet的第一个升级版本会破坏受感染设备上的注册表,并将窃取到的数据以加密形式存储在注册表中。这种方法可以有效地避免Emotet被发现,进而实现在受感染设备上的长久驻留。
Emotet被认为出自某个黑客组织之手,而该黑客组织还被认为与Bugat、Feodo、Geodo、Heodo、Cridex、Dridex等银行木马恶意软件家族存在。在过去几年里,Emotet还曾分发过AZORult、IcedID、Zeus Panda和TrickBot,如今更是能同时分发多种恶意软件,也因此获得了杀毒软件厂商、执法机构和安全研究人员的高度关注。
最新变种技术细节
Emotet的最新变种仍主要通过社会工程技术(主要通过电子邮件)进行传播的,恶意电子邮件附件通常是一个ZIP压缩文件,其中包含一个恶意Word文档和一个恶意宏,而该恶意宏能够调用PowerShell。
Base64编码的PowerShell命令能够从指定的位置下载有效载荷,而有效载荷将被保存为一个EXE可执行文件。
几乎遍布全球的C2服务器
Emotet的足迹遍布全球,不特定于哪一个国家,也不特定于哪一个地区。
37.157.194.134(捷克)
与样本SHA-256:
9A0A40DAD123B16C404EB3B786E72AC8F3A4EBAF9E8A14682977C69FFF4F379E相关的IP地址37.157.194.134连接到一台位于捷克的服务器,访问该网站最为频繁的前5个国家如下:
活动时间表如下:
45.79.188.67(美国)
与样本SHA-256:
9A0A40DAD123B16C404EB3B786E72AC8F3A4EBAF9E8A14682977C69FFF4F379E相关的IP地址45.79.188.67连接到一台位于美国新泽西州纽瓦克的服务器,访问该网站最为频繁的前5个国家如下:
活动时间表如下:
80.79.23.144(捷克)
与样本SHA-256:
9A0A40DAD123B16C404EB3B786E72AC8F3A4EBAF9E8A14682977C69FFF4F379E相关的IP地址80.79.23.144连接到一台位于捷克布拉格的服务器,该IP地址早在2014年就与Sality和Virut恶意软件家族相关联,访问该网站最为频繁的前5个国家如下:
活动时间表如下:
85.54.169.141(西班牙)
与样本SHA-256:
DD8B16641395CD00AC9E03B93B02F61F51A79D7DF70B736D567A9C11175E4C55相关的IP地址85.54.169.141连接到一台位于西班牙马德里的服务器,访问该网站最为频繁的前5个国家如下:
活动时间表如下:
95.128.43.213(法国)
与样本SHA-256:
DD8B16641395CD00AC9E03B93B02F61F51A79D7DF70B736D567A9C11175E4C55相关的IP地址95.128.43.213连接到一台位于法国的服务器,访问该网站最为频繁的前5个国家如下:
活动时间表如下:
138.201.140.110(德国)
与样本SHA-256:
DD8B16641395CD00AC9E03B93B02F61F51A79D7DF70B736D567A9C11175E4C55相关的IP地址138.201.140.110连接到一台位于法国的服务器,访问该网站最为频繁的前5个国家如下:
活动时间表如下:
172.105.11.15(美国)
与样本SHA-256:
c58f07f84d6aae485416683e5515b39bc39349e69bc14629440e693da23d6c4d、
1D51D8E9AE1D67CB804FB28024B04969FD5888C3BEFECE09547E5506EE946027、
9A0A40DAD123B16C404EB3B786E72AC8F3A4EBAF9E8A14682977C69FFF4F379E、
DD8B16641395CD00AC9E03B93B02F61F51A79D7DF70B736D567A9C11175E4C55相关的IP地址172.105.11.15连接到一台位于美国新泽西州的服务器,访问该网站最为频繁的前5个国家如下:
活动时间表如下:
190.108.228.48(阿根廷)
与样本SHA-256:
9A0A40DAD123B16C404EB3B786E72AC8F3A4EBAF9E8A14682977C69FFF4F379E相关的IP地址190.108.228.48连接到一台位于阿根廷的服务器,访问该网站最为频繁的前5个国家如下:
活动时间表如下:
91.121.116.137(法国)
与样本SHA-256:
9A0A40DAD123B16C404EB3B786E72AC8F3A4EBAF9E8A14682977C69FFF4F379E、
c58f07f84d6aae485416683e5515b39bc39349e69bc14629440e693da23d6c4d、
1D51D8E9AE1D67CB804FB28024B04969FD5888C3BEFECE09547E5506EE946027、
DD8B16641395CD00AC9E03B93B02F61F51A79D7DF70B736D567A9C11175E4C55相关的IP地址190.108.228.48连接到一台位于法国的服务器,访问该网站最为频繁的前5个国家如下:
活动时间表如下:
190.228.72.244(阿根廷)
与样本SHA-256:
9A0A40DAD123B16C404EB3B786E72AC8F3A4EBAF9E8A14682977C69FFF4F379E和
DD8B16641395CD00AC9E03B93B02F61F51A79D7DF70B736D相关的IP地址190.108.228.48连接到一台位于阿根廷的服务器,访问该网站最为频繁的前5个国家如下:
活动时间表如下:
结论
在单个活动中,就利用了几乎遍布全球的十多台命令和控制服务器。毫无疑问,Emotet绝对是当下最具影响力的恶意软件之一。
从最初的“简单”银行木马,到人们印象中最危险和最复杂的僵尸网络。相信,随着时间的推移,Emotet仍将继续发展,携带更具破坏性的功能出现在我们面前。
来源:网络攻防
声明:本站部分文章及图片转载于互联网,内容版权归原作者所有,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!