Emotet的技术迭代史(2018-2020年)
管Emotet已经过时,但它仍在不断演变,并一直是当前最具威胁的木马之一。
Emotet的技术迭代史(2014-2017年)
2018
1月
Emotet开始传播银行木马Panda(ZeusPanda,于2016年首次发现,并基于泄漏的Zbot银行木马源代码进行攻击,并拦截网站上的击键和输入表单内容)。
4月
4月9日:
4月初,Emotet获得了一个通过无线网络传播的模块(MD5:75d65cea0a33d11a2a74c703dbd2ad99),该模块试图通过字典攻击访问Wi-Fi。它的代码类似于带有Wi-Fi连接功能的NetworkSpreader模块(bypass.exe)。如果暴力攻击成功,模块就会将有关网络的数据传输到C&C。
与bypass.exe一样,该模块也作为独立文件(a.exe)传播到自解压文件(MD5:5afdcffca43f8e7f848ba154ecf12539)中。该存档文件还包含上述service.exe(MD5:5d6ff5cc8a429b17b5b5dfbf230b2ca4),与第一个版本一样,它除了将受感染计算机的名称发送给C&C之外,什么也不能做。
自解压的RAR文件,带有可通过Wi-Fi传播的组件
黑客迅速更新了模块,在几个小时内检测到第一个版本,研究人员收到了更新的自提取文件(MD5:d7c5bf24904fc73b0481f6c7cde76e2a),其中包含了一个新的service.exe,其中包含了Emotet(MD5:26d21612b676d66b93c51c611fa46773)。
具有更新的service.exe的自解压RAR文件
BinaryDefense公司直到2020年1月才首次公开描述了该模块,回到旧的传播机制和使用旧模块的代码看起来有点奇怪,因为在2017年bypass.exe和service.exe已经合并到一个DLL模块中。
4月14日:
Emotet再次开始在HTTP标头的Cookie字段中使用GET请求进行数据传输,以实现小于1KB的数据传输大小,同时启动POST请求以获取大量数据(MD5:38991b639b2407cbfa2e7c64bb4063c4)。填充Cookie字段的模板也不同,如果以前使用的是Cookie:%X=的形式,那么现在是Cookie:%u=。数字和等号之间新添加的空格有助于识别Emotet流量。
GET请求示例
4月30日:
C&C服务器暂停了他们的活动,直到5月16日才恢复,之后GET请求中的空间就消失了。
更新后的GET请求示例
6月
另一个银行木马开始使用Emotet进行自我传播,这次是Trickster(或Trickbot),这是自2016年以来就开始出现的模块化银行木马,也是Dyreza的最佳替代者。2019年Trickster网银木马位列第三位,占所有发现的针对企业的金融威胁的12%。2015年内,受到银行木马攻击的用户中,超过40%的用户是受到Dyreza的攻击。Dyreza通过有效的网络植入,窃取数据和网银系统入口。
7月
首次获得基于libminiupnpc软件包的所谓的UPnP模块(MD5:0f1d4dd066c0277f82f74145a7d2c48e)。该模块根据本地网络中主机的请求在路由器上启用端口转发。这不仅使攻击者能够访问位于NAT之后的本地网络计算机,还可以将受感染的计算机转变为C&C代理。
8月
8月,有报道称新的Ryuk勒索软件感染了病毒,这是自2017年以来对Hermes勒索软件的修改。后来发现,感染链始于Emotet,后者下载了Trickster,反过来又安装了Ryuk。此时,Emotet和Trickster都配备了通过本地网络传播的功能,而且Trickster利用了SMB中的已知漏洞,这进一步促进了恶意软件在本地网络中的传播。再加上Ryuk,这是一个攻击力特别强的组合。Ryuk勒索家族最早可追溯至2018年8月,起源于Hermes勒索家族,此勒索病毒主要通过垃圾邮件、僵尸网络下发、RDP爆破以及漏洞进行传播,使用RSA+AES的方式加密用户文件,在无私钥的情况下无法恢复文件。
月底,网络扩展器模块的密码列表被更新。它们仍然编号为1000,但是大约有100个被更改了(MD5:3f82c2a733698f501850fdf4f7c00eb7)。
解密后的密码列表
10月
10月12日:
当研究人员没有注册传播新模块或更新时,C&C服务器就会暂停他们的活动,直到10月26日活动才恢复。
10月30日:
Outlook的数据过滤模块(MD5:64C78044D2F6299873881F8B08D40995)进行了更新。关键的创新是能够窃取信息本身的内容。尽管如此,可窃取数据的数量被限制为16KB(较大的消息被截断)。
Outlook数据导出模块新旧版本的代码比较
11月
当研究人员没有注册传播新模块或更新时,C&C服务器暂停了他们的活动。活动直到12月6日才恢复。
12月
C&C活动仅在2019年1月10日恢复,因此停机时间更长。
2019
3月
3月14日:
Emotet再次修改了HTTP协议的一部分,切换到POST请求,并使用字典创建路径。现在已填充了Referer字段,,并且出现了Content-Type:multipart/form-data appeared. (MD5:beaf5e523e8e3e3fb9dc2a361cda0573):
POST请求生成函数的代码
POST请求的示例
3月20日
协议的HTTP部分的另一个更改,Emotet删除了Content-Type:multipart /form-data。数据本身使用Base64和UrlEncode(MD5:98fe402ef2b8aa2ca29c4ed133bbfe90)进行编码。
更新后的POST请求生成函数的代码
POST请求的示例
4月
最初的报告似乎表明,Emotet垃圾邮件正在使用Outlook的新数据泄漏模块所窃取的信息:在电子邮件中观察到被盗主题、邮件列表和邮件内容的使用。
5月
C&C服务器停止工作了很长一段时间(三个月)。活动于2019年8月21日恢复。然而,在接下来的几个星期里,服务器只传播更新和模块,没有发现任何垃圾邮件活动。这些时间可能用于恢复与受感染系统的通信,收集和处理数据,以及在本地网络上传播。
11月
开发者对协议的HTTP部分进行了微小的更改,此时Emotet放弃使用字典来创建路径,选择随机生成的字符串(MD5:dd33b9e4f928974c72539cd784ce9d20)。
POST请求的示例
2月
2月6日:
这是协议的HTTP部分的另一个变化,现在,路径不由单个字符串组成,而是由几个随机生成的单词组成。Content-Type再次成为多部分/表单数据。
POST请求的示例
随着HTTP部分的更新,二进制部分也被更新。加密保持不变,但Emotet删除谷歌协议缓冲区并切换到自己的格式。压缩算法也发生了变化,liblzf取代了zlib。关于新协议的更多细节可以在英特尔和CERTPolska报告中找到。
2020
2月7日
C&C活动直到2020年7月才恢复。在此期间,垃圾邮件的数量降至零。与此同时,BinaryDefense与各种CERT和infosec社区一起开始传播EmoCrash,这是一个PowerShell脚本,可为Emotet使用的系统注册表项创建不正确的值。这导致恶意软件在安装过程中“崩溃”。这个killswitch一直持续到8月6日,当时Emotet背后的开发者修补了该漏洞。
7月
就在垃圾邮件活动恢复几天后,就有报告显示,有人用图片和表情包替换了受攻击网站的恶意表情包。因此,点击垃圾邮件的链接,打开的是普通图片,而不是恶意文档。这并没有持续太久,到7月28日,恶意文件已经不能再被替换为图像。
总结
尽管Emotet已经过时,但它仍在不断演变,并一直是当前最具威胁的木马之一。
2020年11月最活跃的C&C:
本文翻译自:https://securelist.com/the-chronicles-of-emotet/99660/
鸿蒙官方战略合作共建——HarmonyOS技术社区
推荐系统
番茄花园Ghost Win7 x64 SP1稳定装机版2022年7月(64位) 高速下载
语言:中文版系统大小:3.91GB系统类型:Win7欢迎使用 番茄花园 Ghost Win7 x64 SP1 2022.07 极速装机版 专业装机版具有更安全、更稳定、更人性化等特点。集成最常用的装机软件,集成最全面的硬件驱动,精心挑选的系统维护工具,加上独有人性化的设计。是电脑城、个人、公司快速装机之首选!拥有此系统
番茄花园 Windows 10 极速企业版 版本1903 2022年7月(32位) ISO镜像快速下载
语言:中文版系统大小:3.98GB系统类型:Win10番茄花园 Windows 10 32位极速企业版 v2022年7月 一、系统主要特点: 使用微软Win10正式发布的企业TLSB版制作; 安装过程全自动无人值守,无需输入序列号,全自动设置; 安装完成后使用Administrator账户直接登录系统,无需手动设置账号。 安装过程中自动激活
新萝卜家园电脑城专用系统 Windows10 x86 企业版 版本1507 2022年7月(32位) ISO镜像高速下载
语言:中文版系统大小:3.98GB系统类型:Win10新萝卜家园电脑城专用系统 Windows10 x86企业版 2022年7月 一、系统主要特点: 使用微软Win10正式发布的企业TLSB版制作; 安装过程全自动无人值守,无需输入序列号,全自动设置; 安装完成后使用Administrator账户直接登录系统,无需手动设置账号。 安装过程
笔记本&台式机专用系统 Windows10 企业版 版本1903 2022年7月(32位) ISO镜像快速下载
语言:中文版系统大小:3.98GB系统类型:Win10笔记本台式机专用系统 Windows 10 32位企业版 v2022年7月 一、系统主要特点: 使用微软Win10正式发布的企业TLSB版制作; 安装过程全自动无人值守,无需输入序列号,全自动设置; 安装完成后使用Administrator账户直接登录系统,无需手动设置账号。 安装过
笔记本&台式机专用系统 Windows10 企业版 版本1903 2022年7月(64位) 提供下载
语言:中文版系统大小:3.98GB系统类型:Win10笔记本台式机专用系统 Windows10 64专业版 v2022年7月 一、系统主要特点: 使用微软Win10正式发布的专业版制作; 安装过程全自动无人值守,无需输入序列号,全自动设置; 安装完成后使用Administrator账户直接登录系统,无需手动设置账号。 安装过程中自动
雨林木风 Windows10 x64 企业装机版 版本1903 2022年7月(64位) ISO镜像高速下载
语言:中文版系统大小:3.98GB系统类型:Win10新雨林木风 Windows10 x64 企业装机版 2022年7月 一、系统主要特点: 使用微软Win10正式发布的企业TLSB版制作; 安装过程全自动无人值守,无需输入序列号,全自动设置; 安装完成后使用Administrator账户直接登录系统,无需手动设置账号。 安装过程中自动激活
深度技术 Windows 10 x64 企业版 电脑城装机版 版本1903 2022年7月(64位) 高速下载
语言:中文版系统大小:3.98GB系统类型:Win10深度技术 Windows 10 x64 企业TLSB 电脑城装机版2022年7月 一、系统主要特点: 使用微软Win10正式发布的企业TLSB版制作; 安装过程全自动无人值守,无需输入序列号,全自动设置; 安装完成后使用Administrator账户直接登录系统,无需手动设置账号。 安装过程
电脑公司 装机专用系统Windows10 x64 企业版2022年7月(64位) ISO镜像高速下载
语言:中文版系统大小:3.98GB系统类型:Win10电脑公司 装机专用系统 Windows10 x64 企业TLSB版2022年7月一、系统主要特点: 使用微软Win10正式发布的企业TLSB版制作; 安装过程全自动无人值守,无需输入序列号,全自动设置; 安装完成后使用Administrator账户直接登录系统,无需手动设置账号。 安装过
相关文章
- 你真的知道什么是线程安全吗?
- 228万名MeetMindful用户的数据被泄露
- 复工之后:员工如何改善网络安全?
- 怎么修复互联网连接 修复网络连接方法【介绍】
- 华盛顿警局遭黑客入侵,不交赎金就公开警方线人
- 网络交换机有什么功能 网络交换机分类及选购技巧【详解】
- 超实用!如何让智能家居网络更安全?
- 通过网页中的 6 个特征字段检测钓鱼网站
- 无线网络机顶盒品牌有哪些 无线网络机顶盒品牌推荐
- 深信服SRC发布全新奖励机制,单个漏洞最高奖金税后达50万
- 研究人员发现存在多年的 Linux 恶意软件,可窃取用户敏感信息
- 详解DNS缓存中毒攻击原理以及dns病毒解决办法
- MobiKwik 350万用户数据泄露
- NSA窃听门:斯诺登指拜登幕后参与
热门系统
- 1华硕笔记本&台式机专用系统 GhostWin7 32位正式旗舰版2018年8月(32位)ISO镜像下载
- 2深度技术 Windows 10 x86 企业版 电脑城装机版2018年10月(32位) ISO镜像免费下载
- 3电脑公司 装机专用系统Windows10 x86喜迎国庆 企业版2020年10月(32位) ISO镜像快速下载
- 4雨林木风 Ghost Win7 SP1 装机版 2020年4月(32位) 提供下载
- 5深度技术 Windows 10 x86 企业版 六一节 电脑城装机版 版本1903 2022年6月(32位) ISO镜像免费下载
- 6深度技术 Windows 10 x64 企业版 电脑城装机版2021年1月(64位) 高速下载
- 7新萝卜家园电脑城专用系统 Windows10 x64 企业版2019年10月(64位) ISO镜像免费下载
- 8新萝卜家园 GhostWin7 SP1 最新电脑城极速装机版2018年8月(32位)ISO镜像下载
- 9电脑公司Ghost Win8.1 x32 精选纯净版2022年5月(免激活) ISO镜像高速下载
- 10新萝卜家园Ghost Win8.1 X32 最新纯净版2018年05(自动激活) ISO镜像免费下载
热门文章
常用系统
- 1电脑公司Ghost Win8.1 x32 精选纯净版2020年5月(免激活) ISO镜像高速下载
- 2新萝卜家园 Ghost Win7 x64 SP1 极速版2018年7月(64位) ISO镜像快速下载
- 3深度技术Ghost Win7 Sp1 电脑城万能装机版2021年2月(32位) ISO高速下载
- 4电脑公司Ghost Win8.1 x64 多驱动纯净版2018年7月(激活版) 最新版ISO镜像下载
- 5新萝卜家园Ghost Win8.1 X64位 纯净版2019年4月(自动激活) ISO镜像免费下载
- 6新萝卜家园Ghost Win8.1 X64位 纯净版2020年11月(自动激活) ISO镜像高费下载
- 7深度技术 GHOSTXPSP3 电脑城极速装机版 2021年12月 ISO镜像高速下载
- 8番茄花园Ghost Win7 x64 SP1稳定装机版2021年2月(64位) 高速下载
- 9新雨林木风 Windows10 x86 企业装机版2022年4月(32位) ISO镜像高速下载
- 10电脑公司Ghost Win8.1 (X32) 家庭纯净版2018年7月(完美激活) 最新版ISO镜像下载