自从首次发现银行木马Emotet以来已经过去了六年多。在此期间,它一直更新变化着,改变攻击目标,寻求合作伙伴,增加新的恶意功能,常常发起重大攻击事件并造成数百万美元的损失。目前,该木马仍然处于危险状态,并且仍然是最强大的网络安全威胁之一。该木马通过垃圾邮件进行分发,可以在本地网络上传播并下载其他恶意软件。
卡巴斯基发表了一篇报告,回顾了Emotet木马的发展历程,从中我们可以看出该木马的功能在逐渐进化。
关键词: Emotet银行木马,垃圾邮件,窃取凭证
6月
2014年6月下旬,TrendMicro首次发现Emotet木马。该恶意软件使用浏览器数据包劫持技术(man-in-the-browser)窃取用户银行凭证。该木马的早期版本就是多模块的,可从C&C服务器下载单独的恶意模块、Web注入用的配置文件,从而实现拦截浏览器流量的恶意功能。当时该木马的主要目标是德国和奥地利银行的客户,主要分发的媒介是垃圾邮件,发件人伪装为银行,邮件中通常带有恶意附件或恶意链接(点击链接后,会下载含有恶意可执行程序的ZIP压缩包)。
![银行木马Emotet发展历程]( "银行木马Emotet发展历程")
![银行木马Emotet发展历程]( "银行木马Emotet发展历程")
带有链接和附件的恶意电子邮件示例
11月
2014年秋天,卡巴斯基发现了Emotet的修改版,其中包含以下组件:
卡巴斯基的工作人员发现了修改版捆绑了其他恶意软件的情况。开发人员很可能没有意识到该恶意软件的存在。不过,该模块的C&C服务器没有响应,并且它本身也没有更新(编译日期:2014年10月19日)。
此外,新的修改版已开始采用所谓的自动转帐系统(ATS),自动从受害者的银行帐户中窃取资金。
12月
C&C服务器停止响应,Emotet木马的活动显著下降。
1月
2015年初,新的Emotet变种出现,与之前的修改版并没有什么大的不同。其变化包括:内置了新的RSA公钥,大多数字符串已加密,用于Web注入的ATS脚本清除了注释,攻击目标包括瑞士银行的客户。
6月
C&C服务器再次变得不可用,这时发现Emotet已经18个月了。从带有网络注入的配置文件来看,该木马最近的受害者是奥地利、德国和波兰银行的客户。
12月
Emotet redux:经过较长一段时间后,再次发现了Emotet木马的新变种。此版本使用RIG-E和RIG-V漏洞利用工具包感染了网络上的受害者。该传递方法以前未被该木马使用,并且以后也没有再使用。卡巴斯基的研究人员认为,这种传播木马的方式,可能并不是Emotet作者的意图,有可能是恶意软件分发者(比如合作伙伴或者购买此木马的客户)对新的传递机制的尝试。
此修改版中的C&C通信协议也已做了修改:对于小于4 KB的数据量,使用GET请求,并且数据本身在HTTP数据包头部的Cookie字段中传输。对于较大的数据量传输,使用了POST请求。RC4加密算法已被AES取代,通信协议使用了,经过修改的Google Protocol Buffer协议。作为对请求的响应,C&C服务器返回一个带有404 Not Found错误的头,但这只是伪装,响应报文中已包含了加密后的恶意载荷。
![银行木马Emotet发展历程]( "银行木马Emotet发展历程")
Emotet使用的GET和POST请求示例
2月
到目前为止,卡巴斯基的工作人员还没有确认Emotet是否可以独立发送垃圾邮件。在C&C服务器重新投入使用几个月后,从那里下载到了垃圾邮件模块,从而得到了证明。
4月
在4月初,发现大量针对波兰用户的垃圾邮件。以物流公司DHL的名义发送的电子邮件要求收件人下载并打开JavaScript格式的“报告”文件。有趣的是,攻击者没有尝试将可执行的JavaScript隐藏为PDF。但结果似乎表明,许多用户不知道JavaScript根本不是一种文档或报告文件格式。
dhl__numer__zlecenia___4787769589_____kwi___12___2017.js (MD5:7360d52b67d9fbb41458b3bd21c7f4de)
4月,将恶意JS伪装为发票,针对英国和德国的用户进行攻击。
invoice__924__apr___24___2017___lang___gb___gb924.js (MD5:e91c6653ca434c55d6ebf313a20f12b1)
telekom_2017_04rechnung_60030039794.js (MD5:bcecf036e318d7d844448e4359928b56)
然后在4月下旬,当垃圾邮件中添加PDF附件时,策略稍有改变,当打开PDF附件时,通知用户可以通过给定的链接下载JavaScript格式的报告。
Document_11861097_NI_NSO___11861097.pdf (MD5: 2735A006F816F4582DACAA4090538F40)
![银行木马Emotet发展历程]( "银行木马Emotet发展历程")
PDF文件内容示例
Document_43571963_NI_NSO___43571963.pdf (MD5: 42d6d07c757cf42c0b180831ef5989cb)
![银行木马Emotet发展历程]( "银行木马Emotet发展历程")
PDF文件内容示例
至于JavaScript文件本身,它是一个典型的木马下载程序,可以下载并运行Emotet。成功感染系统后,脚本向用户显示了一个错误窗口。
![银行木马Emotet发展历程]( "银行木马Emotet发展历程")
恶意JavaScript文件显示的错误消息
5月
5月份,通过垃圾邮件分发Emotet的方案稍有变化。这次,附件中包含一个Office文档(或指向该文档的链接),该文档内容伪装为Word软件的提示,宣称文档使用旧版本的Word创建,想要查看文档需要点击启用宏的按钮。如果受害者点击了“启用”,则会执行一个恶意宏,启动一个PowerShell脚本来下载并运行Emotet。
![银行木马Emotet发展历程]( "银行木马Emotet发展历程")
打开的恶意文档ab-58829278.dokument.doc的屏幕截图(MD5:21542133A586782E7C2FA4286D98FD73)
同样在5月,据报道Emotet正在下载并安装银行木马 Qbot(QakBot)。但是无法确认此信息,因为在受Emotet攻击的超过120万用户中,仅在几十起案件中检测到Qbot。
6月
从6月1日开始,从Emotet C&C服务器开始分发一种用于在本地网络上传播恶意代码的工具(Network Spreader),该工具后来成为恶意软件模块之一。恶意应用程序包含一个自解压缩的RAR存档,其中包含文件bypass.exe(MD5:341ce9aaf77030db9a1a5cc8d0382ee1)和service.exe(MD5:ffb1f5c3455b471e870328fd399ae6b8)。
![银行木马Emotet发展历程]( "银行木马Emotet发展历程")
使用bypass.exe和service.exe的自解压RAR存档
bypass.exe:
![银行木马Emotet发展历程]( "银行木马Emotet发展历程")
用于创建服务的函数的屏幕截图(bypass.exe)
![银行木马Emotet发展历程]( "银行木马Emotet发展历程")
带有暴力密码列表的截图(bypass.exe)
在功能方面,service.exe的功能非常少,只能将计算机名称发送到攻击者的服务器。
![银行木马Emotet发展历程]( "银行木马Emotet发展历程")
用于生成要发送给C&C数据的函数
![银行木马Emotet发展历程]( "银行木马Emotet发展历程")
向C&C发送数据的函数
邮件显然是一个测试版本,而第二天卡巴斯基的工作人员检测到该文件的更新版本。自解压文件已配备了用于自动运行bypass.exe(MD5:5d75bbc6109dddba0c3989d25e41851f)的脚本,该脚本没有进行更改,而service.exe(MD5:acc9ba224136fc129a3622d2143f10fb)的大小增长了数十倍。
![银行木马Emotet发展历程]( "银行木马Emotet发展历程")
使用bypass.exe和service.exe的自解压RAR存档
更新后的service.exe较大,因为其内部现在包含Emotet的副本。添加了一个函数,可以将Emotet保存到磁盘并运行,然后再将有关受感染计算机的数据发送到C&C。
![银行木马Emotet发展历程]( "银行木马Emotet发展历程")
service.exe中的新函数,用于将Emotet保存到磁盘并运行
7月
Emotet加载模块的更新已通过僵尸网络分发。一个需要注意的更改:Emotet在HTTP请求头的Cookie字段中删除了具有数据传输功能的GET请求。此后,所有C&C通信都使用POST(MD5:643e1f4c5cbaeebc003faee56152f9cb)。
8月
Network Spreader以DLL(MD5:9c5c9c4f019c330aadcefbb781caac41)的形式包含在Emotet的“distribution kit”中,新模块的编译日期为2017年7月24日,但在8月才捕获到。分发机制并没有太大变化,但是暴力破解密码的列表扩展到了1000个。
![银行木马Emotet发展历程]( "银行木马Emotet发展历程")
解密密码列表的截图
11月
2017年11月,IBM X-Force发布了有关新IcedId银行木马的报告。据研究人员称,已经发现了Emotet在传播。卡巴斯基在4月获得了第一个IcedId样本(MD5:7e8516db16b18f26e504285afe4f0b21),然后发现它使用了与Emotet相同的壳。Emotet样本(MD5:2cd1ef13ee67f102cb99b258a61eeb20)。
1月
Emotet开始分发银行木马Panda(Zeus Panda,于2016年首次发现,并基于泄露的Zbot银行木马源代码,使用浏览器数据包截获技术(man-in-the-browser),拦截网站上的按键和输入表单内容)。
4月
4月9日
4月初,Emotet添加了一个通过无线网络分发的模块(MD5:75d65cea0a33d11a2a74c703dbd2ad99),该模块尝试使用字典攻击来访问Wi-Fi。它的代码类似于Network Spreader模块(bypass.exe)的代码,该模块已添加Wi-Fi连接功能。如果暴力破解成功,则模块就会将有关网络的数据传输到C&C。
与bypass.exe一样,该模块在自解压存档(MD5:5afdcffca43f8e7f848ba154ecf12539)中作为单独的文件(a.exe)分发。该存档文件还包含上述service.exe(MD5:5d6ff5cc8a429b17b5b5dfbf230b2ca4),该文件与第一个版本一样,除了将受感染计算机的名称发送给C&C之外,什么也不能做。
![银行木马Emotet发展历程]( "银行木马Emotet发展历程")
自解压RAR存档,带有可通过Wi-Fi分发的组件
攻击者迅速更新了该模块,在检测到第一个版本后的几个小时内,收到了更新的自解压存档(MD5:d7c5bf24904fc73b0481f6c7cde76e2a),其中包含带有Emotet的新service.exe(MD5:26d21612b676d66b93c51c611fa46773)。
![银行木马Emotet发展历程]( "银行木马Emotet发展历程")
具有更新的service.exe的自解压RAR存档
该模块仅在2020年1月由Binary Defence公开描述。回到旧的分发机制以及旧模块中代码的使用看起来有些奇怪,因为早在2017年,bypass.exe和service.exe就已合并到一个DLL模块中。
4月14日
Emotet再次开始在HTTP请求头的Cookie字段中使用GET请求进行数据传输,以实现小于1 KB的数据传输大小,同时启动POST请求以获取大量数据。(MD5:38991b639b2407cbfa2e7c64bb4063c4)。填充Cookie字段的模板也不同。如果以前使用的是“Cookie:%X =”的形式,那么现在是“Cookie:%u =”。数字和等号之间新添加的空格有助于识别Emotet流量。
![银行木马Emotet发展历程]( "银行木马Emotet发展历程")
GET请求的示例
4月30日
C&C服务器暂停了它们的活动,直到5月16日才恢复,此后GET请求的空间就消失了。
![银行木马Emotet发展历程]( "银行木马Emotet发展历程")
更正的GET请求示例
6月
另一个银行木马开始使用Emotet进行自我传播。这次是Trickster(Trickbot),是自2016年以来闻名的模块化银行木马,也是Dyreza银行木马的继任者。
7月
首次获得基于libminiupnpc软件包的UPnP模块(MD5:0f1d4dd066c0277f82f74145a7d2c48e)。该模块根据本地网络中主机的请求在路由器上启用端口转发。这不仅使攻击者能够访问位于NAT之后的本地网络计算机,还可以将受感染的计算机转变为C&C代理。
8月
8月,出现了感染Ryuk勒索软件的报道,此勒索软件是2017年流行的Hermes勒索软件的修改版本,感染链始于Emotet,首先下载了Trickster,后来又安装了Ryuk。此时Emotet和Trickster都已具备在本地网络上传播的功能,此外Trickster利用SMB中的已知漏洞,进一步帮助恶意软件在本地网络中的传播,再加上Ryuk,成为了致命组合。
月底,“Network Spreader”模块中的密码列表已更新。它们仍然有1,000个,但已更改了约100个(MD5:3f82c2a733698f501850fdf4f7c00eb7)。
![银行木马Emotet发展历程]( "银行木马Emotet发展历程")
解密密码列表的屏幕截图
10月
10月12日
C&C服务器暂停了活动,在10月26日恢复。但是没有升级,也没有增加新模块。
10月30日
Outlook的数据泄露模块(MD5:64C78044D2F6299873881F8B08D40995)已更新。主要的变化是,提高了窃取邮件内容的能力。同样,可窃取的数据量被限制为16 KB(较大的消息被截断)。
![银行木马Emotet发展历程]( "银行木马Emotet发展历程")
Outlook数据泄露模块的旧版本和新版本的代码比较
11月
C&C服务器暂停了活动,在12月6日恢复。但是没有升级,也没有增加新模块。
12月
C&C活动仅在2019年1月10日恢复,因此停机时间更长。
3月
3月14日
Emotet再次修改了HTTP协议的一部分,切换到POST请求并使用字典创建路径。现在已经填充了Referer字段,出现了Content-Type: multipart/form-data。(MD5: beaf5e523e8e3e3fb9dc2a361cda0573)
![银行木马Emotet发展历程]( "银行木马Emotet发展历程")
POST请求生成函数的代码
![银行木马Emotet发展历程]( "银行木马Emotet发展历程")
POST请求的示例
3月20日
协议的HTTP部分的另一个更改。Emotet删除了Content-Type:multipart / form-data。数据本身使用Base64和UrlEncode(MD5:98fe402ef2b8aa2ca29c4ed133bbfe90)进行编码。
![银行木马Emotet发展历程]( "银行木马Emotet发展历程")
更新的POST请求生成函数的代码
![银行木马Emotet发展历程]( "银行木马Emotet发展历程")
POST请求的示例
4月
最初的报告显示,Emotet木马正在使用新版的数据泄漏模块,窃取Outlook的信息,并用于垃圾邮件分发活动:在垃圾邮件中可以观察到被窃取的主题、邮件列表和邮件的内容。
5月
C&C服务器停止工作了一段时间(三个月)。活动仅在2019年8月21日恢复。但是在接下来的几周中,服务器仅分发了更新程序和相关模块,未发现垃圾邮件活动。这段时间攻击者可能在恢复与受感染系统的通信、收集和处理数据以及在受害者本地网络上传播木马。
11月
协议的HTTP部分有较小更改。Emotet没有使用字典来创建路径,而是选择了一个随机生成的字符串(MD5:dd33b9e4f928974c72539cd784ce9d20)。
![银行木马Emotet发展历程]( "银行木马Emotet发展历程")
POST请求的示例
2月
2月6日
协议的HTTP部分的另一个更改。现在,路径不是由单个字符串组成,而是由几个随机生成的单词组成。Content-Type再次变为multipart / form-data。
![银行木马Emotet发展历程]( "银行木马Emotet发展历程")
POST请求的示例
除了HTTP部分,二进制部分也进行了更新。加密保持不变,但是Emotet放弃了Google Protocol Buffer协议,并切换为自己的格式。压缩算法也发生了变化,将zlib替换为liblzf。有关新协议的更多详细信息,请参阅“ Threat Intel ”和“ CERT Polska”报告。
2月7日
C&C活动开始减少,直到2020年7月才恢复。在此期间,垃圾邮件数量降至零。同时,Binary Defense与各种CERT和infosec社区一起开始分发EmoCrash(PowerShell脚本),该脚本在系统注册表中创建特定的键值。从而使Emotet木马在安装过程中“崩溃。这个killswitch一直持续到8月6日,后来Emotet背后的攻击者修补了该漏洞。
7月
恢复垃圾邮件活动仅几天后,似乎是有人用正常的图片,取代了存储在Emotet下载服务器上的恶意图片。结果,单击垃圾邮件中的链接打开的是正常图片,而不是恶意文件。但这并没有持续多久,到7月28日,恶意文件又被换了回来。
Emotet虽然已经有了很长的历史,但它仍在不断进化,并仍然是当前最具威胁的一种银行木马。在经历了5个月的沉寂之后,除了感染量呈现出爆炸性增长之外,还没有看到任何以前未曾观察到的现象。
2020年11月最活跃的C&Cs:
173.212.214.235:7080167.114.153.111:808067.170.250.203:443121.124.124.40:7080103.86.49.11:8080172.91.208.86:80190.164.104.62:80201.241.127.190:8066.76.12.94:8080190.108.228.27:443
从恶意文档中提取的Emotet木马下载链接:
hxxp://tudorinvest[.]com/wp-admin/rGtnUb5f/hxxp://dp-womenbasket[.]com/wp-admin/Li/hxxp://stylefix[.]co/guillotine-cross/CTRNOQ/hxxp://ardos.com[.]br/simulador/bPNx/hxxps://sangbadjamin[.]com/move/r/hxxps://asimglobaltraders[.]com/baby-rottweiler/duDm64O/hxxp://sell.smartcrowd[.]ae/wp-admin/CLs6YFp/hxxps://chromadiverse[.]com/wp-content/OzOlf/hxxp://rout66motors[.]com/wp-admin/goi7o8/hxxp://caspertour.asc-florida[.]com/wp-content/gwZbk/
下载Emotet的恶意Office文档的MD5:
59d7ae5463d9d2e1d9e77c94a435a7867ef93883eac9bf82574ff2a75d04a5854b393783be7816e76d6ca4b4d8eaa14a
Emotet可执行文件的MD5:
4c3b6e5b52268bb463e8ebc602593d9e0ca86e8da55f4176b3ad6692c9949ba48d4639aa32f78947ecfb228e1788c02b28df8461cec000e86c357fdd874b717e82228264794a033c2e2fc71540cb1a5d8fc87187ad08d50221abc4c05d7d0258b30dd0b88c0d10cd96913a7fb9cd05edc37c5b64b30f2ddae58b262f2fac87cb3afb20b335521c871179b230f9a0a1eb92816647c1d61c75ec3dcd82fecc08b2
本文为CNTIC编译,不代表本公众号观点,转载请保留出处与链接。
联系信息进入公众号后点击“论坛信息”可见。
原文链接:https://securelist.com/the-chronicles-of-emotet/99660/
原文标题: The chronicles of Emotet
![银行木马Emotet发展历程]( "银行木马Emotet发展历程")
本文始发于微信公众号(国家网络威胁情报共享开放平台):银行木马Emotet发展历程
评论