一
背景概述
根据Check Point Research 发布的全球威胁指数,emotet长期位居榜首,而Check Point Research (CPR) 的 2022 年安全报告中的亮点则是emotet回归,emotet是史上最危险、最臭名昭著的僵尸网络之一。自 Emotet 11 月回归以来,CPR 认为该恶意软件的活动至少是 2021 年 1 月(即在其最初被删除前不久)看到的水平的 50%。
近日,安恒信息CSIRT监测到emotet木马针对国内某公司发起的钓鱼邮件攻击,emotet最早发现于2014年,以银行木马程序的形式出现在大众视野(窃取银行凭证信息),背后的黑客组织是TA542。经过几年的发展,emotet的功能不断扩展,进化成完整的恶意软件分发服务。在2021年1月,emotet遭到全球多国联合执法打击摧毁,而在同年11月份,emotet卷土重来。下图为emotet近年发展历程:
emotet发展历程
二
样本分析
下图是我们监测到的钓鱼邮件内容:
钓鱼邮件正文
钓鱼邮件附件为恶意office宏病毒,样本执行流程如下:
病毒执行流程
钓鱼邮件通常通过夹带恶意链接或恶意附件的形式传播病毒,此次捕获钓鱼邮件通过诱导用户下载附件文件的方式进行传播,附件为office宏病毒,文件类型为xls,当用户点击下载并打开附件时,病毒文档会进一步诱导用户点击启动office宏,从而执行恶意代码。
xls文件正文
宏代码如下,主要功能是获取到穿插在Sheet1表格中恶意代码,并拼接出完整的恶意脚本代码,分别释放在“C:ProgramDatatjspowj.vbs”、 “ C:ProgramDatauidpjewl.bat”,随后执行vbs脚本。
部分宏代码
vbs脚本用于执行前述释放的bat文件,并通过rundll32.exe运行c:programdatapuihoud.dll。
Vbs脚本代码
bat脚本负责发起调用PowerShell从内置的URL列表中尝试下载名为puihoud.dll的恶意程序存放于c:programdata目录。
bat脚本代码
vbs及bat脚本与以往emotet木马代码风格一致,而puihoud.dll则用于加载内存马并与C&C进行通信。puihoud.dll运行时会判断进程列表中是否存在已经运行的emotet其他版本,存在则不进行操作。
经分析发现,puihoud.dll伪装成JkDefrag磁盘清理工具,大部分代码直接负责Github开源代码,下图左为病毒代码,右为GitHub开源项目。
部分代码
真实的恶意代码加密后存放在资源区ZANTRA中,解密后仍为一个DLL,DLL自解密之后会重新通过rundll32执行DllRegisterServer函数。而DllRegisterServer函数会将程序自身移动到“c:Windowssystem32”目录,并随机创建目录和随机重命名文件,并将恶意程序自身注册为自启动服务,并且在注册服务时会将服务程序描述随机伪装为系统服务描述,以此来提高隐秘度,而该程序作为服务运行时会再次通过rundll32执行DllRegisterServer函数。
注册表服务项
DllRegisterServer最终函数会解码一个内置的C2列表,用于收集终端信息与控制受害终端,下图中部分IP地址与以往emotet木马的C&C地址重叠,因此可以确认此次分析钓鱼邮件属emotet组织所创。
内置IP列表
三
IOC
|
58.227.42[.]236 |
|
8.9.11[.]48 |
|
200.17.134[.]35 |
|
207.38.84.195 |
|
79.172.212[.]216 |
|
45.176.232[.]124 |
|
45.118.135[.]203 |
|
162.243.175[.]63 |
|
110.232.117[.]186 |
|
103.75.201[.]4 |
|
195.154.133[.]20 |
|
160.16.102[.]168 |
|
164.68.99[.]3 |
|
131.100.24[.]231 |
|
216.158.226[.]206 |
|
159.89.230[.]105 |
|
178.79.147[.]66 |
|
178.128.83[.]165 |
|
212.237.5[.]209 |
|
82.165.152[.]127 |
|
50.116.54[.]215 |
|
58.227.42[.]236 |
|
119.235.255[.]201 |
|
144.76.186[.]49 |
|
138.185.72[.]26 |
|
162.214.50[.]39 |
|
81.0.236[.]90 |
|
https://youlanda[.]org/eln-images/n8DPZISf/ |
|
http://rosevideo[.]net/eln-images/EjdCoMlY8Gy/ |
|
http://vbaint[.]com/eln-images/H2pPGte8XzENC/ |
|
https://framemakers[.]us/eln-images/U5W2IGE9m8i9h9r/ |
|
http://niplaw[.]com/asolidfoundation/yCE9/ |
|
http://robertmchilespe[.]com/cgi/3f/ |
|
http://vocoptions[.]net/cgi/ifM9R5ylbVpM8hfR/ |
|
http://missionnyc[.]org/fonts/JO5/ |
|
http://robertflood[.]us/eln-images/DGI2YOkSc99XPO/ |
|
http://mpmcomputing[.]com/fonts/fJJrjqpIY3Bt3Q/ |
|
http://dadsgetinthegame[.]com/eln-images/tAAUG/ |
|
http://smbservices[.]net/cgi/JO01ckuwd/ |
|
http://stkpointers[.]com/eln-images/D/ |
|
http://rosewoodcraft[.]com/Merchant2/5.00/PGqX/ |
|
xls |
7B93902926791F6CE56C9BC5EFB59A99 |
|
tjspowj.vbs |
24A3CD3164D4DB5A47B7A321AA51B0C6 |
|
uidpjewl.bat |
6AF598C95C689C2BE476D63C499354DB |
|
|
E0AFF1DA312BD3833778A51651A4E652 |
|
puihoud.dll |
77EEB66F96FD8DD8E98C26F061BA7A8B |
四
总结及防护建议
此次分析样本为emotet钓鱼邮件。emotet近期在国内高度活跃,通常使用钓鱼邮件对企业用户发起攻击。建议终端用户不要点击下载不明来历软件或未知邮件附件,下载软件尽量去厂商官网下载;不随意点击不明链接,陌生文件下载运行前可使用文件威胁分析平台进行检测(https://ti.dbappsecurity.com.cn/),避免感染病毒;定期查杀病毒,清理可疑文件,备份数据。
钓鱼邮件通用解决方案如下:
1.首先通过下面的命令查询本地安装office版本
reg query"HKEY_CLASSES_ROOTWord.ApplicationCurVer"
2.随后新建后缀为reg文件,内容如下,其中“15.0”对应前述查询本地office版本,请针对终端所使用office版本进行修改替换
WindowsRegistry Editor Version 5.00
[]"VBAWarnings"=dword:4
[]"VBAWarnings"=dword:4
3.保存文件后双击运行,弹出提示框时选择是,随后便会在注册表自动添加禁用office宏内容并不发送通知,即使有office文档存在宏代码,也不会提示点击启用宏。
注意:此方法仅针对office宏病毒有效,而无法解决office漏洞利用病毒,如CVE-2017-11882,CVE-2017-0199等。
五
参考链接
https://intel471.com/blog/emotet-returns-december-2021
原文始发于微信公众号(E安全):预警:十大顶级恶意软件榜首Emotet卷土重来
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论