前言
Emotet 是一种计算机恶意软件,最初是作为所谓的银行目标病毒开发的。其目的是渗透到其他人的设备中,以窃取敏感的私人数据。Emotet 能够欺骗和规避普通的防病毒程序。
正文
上次分析完老版Emote后,今天来看一下最新的两个emote样本
其中一个是通过Excel隐匿传播。
其他表都是被隐藏的,EFALGV 表是执行宏命令的表,通过formula函数从其他表中拼接字符成恶意命令放入到EFALGV 表执行,最后会去一些已经被黑掉的网站去下载ocx文件,再用regsvr32.exe执行,窃取浏览器、系统信息等。
我们来看一下第二个样本,这是通过onenote文件进行隐藏执行
隐藏在view图标后面,移出来
动态调试脚本
可以看到
写入了文件
打开文件查看
下载的文件,添加00膨胀大小进行免杀绕过
通过异或解密资源节
然后APC注入
dump下来的shellcode分析
获取函数
PEB查找法
反射加载资源节解密的DLL
执行指定的导出函数
加载动态库
解密得到所需DLL
硬编码C2
探测存活
探测成功
创建持久化
加载子模块
参考:安全狗【安全研究】新型传播载荷之恶意OneNote文档
原文始发于微信公众号(Th0r安全):最新版Emote银行木马分析
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论