44

Emotet银行木马家族新变种再度来袭

 5 years ago
source link: https://www.tuicool.com/articles/ZBR3Q37
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
neoserver,ios ssh client

近日,亚信安全截获新型的EMOTET银行木马新变种,其主要通过垃圾邮件的方式进行传播,是一款比较著名且复杂的银行木马。EMOTET银行木马最早可以追溯到2014年,其主要使用网络嗅探技术窃取数据。在之后的几年里,EMOTET表现得并不活跃且慢慢开始淡出人们的视线。然而,2017年8月份EMOTET又“卷土重来”,亚信安全截获了多个变种,这些变种主要攻击美国、英国和加拿大等国家,此后,EMOTET一直处于活跃阶段。

本次截获的Emotet银行木马同样是通过带有附件的垃圾邮件进行传播,诱导用户点击带有宏病毒的附件文档,一旦宏启动,恶意的宏代码将会运行,通过PowerShell命令下载恶意程序,窃取用户敏感信息。亚信安全将其命名为Trojan.W97M.POWLOAD.TIOIBEFV。

详细分析

Emotet银行木马主要通过垃圾邮件进行传播,下图是我们截获的垃圾邮件样本,主题为“付款汇款通知”。

VfEZVr6.jpg!web

打开文档后,会提示开启宏,一旦运行后,将会执行恶意的宏代码。

nMjyyiQ.jpg!web

通过olevbs工具查看,该样本含有宏代码模块,并且都是混淆的代码,可以通过动态调试,获取其最终运行的PowerShell命令行。

RBRRjaq.jpg!web

FF7fI36.jpg!web

由于命令行是通过base64加密的,我们可以将其解密,解密后的代码如下所示,其主要功能是从C&C服务器上下载恶意的可执行程序523.exe到系统用户目录,并执行该程序。

raUzQjv.jpg!webfaumqqE.jpg!web

523.exe文件分析

该程序的核心代码是通过高度加密的,其将资源区的内容和静态变量中的加密字符串进行整合,然后动态分配内存,进行解密。

首先通过修改注册表关闭进程的DEP策略(数据执行保护策略),通过资源操作API获取资源节区内容。

QF7vMvn.jpg!webZnEjIvU.jpg!web

多次分配内存,解密这些加密的字符串。

AZJjymu.jpg!webbEvEjyf.jpg!web

整合PE数据。

BFBnUfZ.jpg!web

Y3AVFbu.jpg!webfAnQn26.jpg!web

获取操作系统的位数,名称和版本信息。

by6RzmJ.jpg!web

动态获取要使用的API函数地址。

3IZVbqq.jpg!web

通过GetModuleFileNameW函数获取当前进程路径。

mAJJf2M.jpg!web

然后再次创建一个挂起的子进程。

u2IBjyi.jpg!web3ErQ3yN.jpg!web

然后通过修改其子进程的主线程上下文内容,将其重新指向该程序入口地址0×00400000。

Q7RnyiU.jpg!web

VjyEBfy.jpg!webzuYbU3Z.jpg!web

修改线程上下文内容后,然后恢复,运行子进程。

Uzuyeym.jpg!web

通过调用ExitPorcess函数,结束其父进程。

3EnYVj2.jpg!web

其子进程的主要功能是与C&C服务器进行通信,窃取系统敏感信息和远程控制用户电脑等恶意行为。它会不断尝试可以进行连接的网址,有些网址目前已经无法连接。

AJbMJn3.jpg!webNNF7nuJ.jpg!web

Nn2yyyq.jpg!web

最后会通过修改注册表,添加启动项。

YRFVNzI.jpg!web

总结:

亚信安全通过持续的追踪调查发现,从9月16日首次发现本次变种后,截止今日该病毒仍然在不断的更新,比较显著的变化是C&C服务器地址以及落地到系统中的可执行文件名称,从523.exe到572.exe、208.exe和 972.exe等,同样地,下载这些文件的URL地址也发生了改变。

QjaeUbV.jpg!webaIJNbmq.jpg!webJvyIRzQ.jpg!web

最新的Emotet相关C2信息。

imeAriB.jpg!webjEjMzeu.jpg!web

N3iYnuI.jpg!web

从9月中旬开始,利用垃圾邮件传播EMOTET银行木马的活动持续增加,如下是其垃圾邮件样例。目前垃圾邮件的使用的语言以德语,波兰语和意大利语居多,不排除将来会有中文版本的钓鱼邮件。

aUZVrer.jpg!web


report

Recommend

About Joyk


Aggregate valuable and interesting links.
Joyk means Joy of geeK