登陆

Emotet银行木马家族新变种再度来袭

admin 2019-10-04 172人围观 ,发现0个评论
Emotet银行木马家族新变种再度来袭 Emotet银行木马家族新变种再度来袭

近来,亚信安全截获新式的EEmotet银行木马家族新变种再度来袭MOTET银行木马新变种,其首要经过废物邮件的方法进行传达,是一款比较闻名且杂乱的银行木马。EMOTET银行木马最早能够追溯到2014年,其首要运用网络嗅探技能盗取数据。在之后的几年里,EMOTET体现得并不活泼且渐渐开端淡出人们的视野。但是,2017年8月份EMOTET又“东山再起”,亚信安全截获了多个变种,这些变种首要进犯美国、英国和加拿大等国家,尔后,EMOTET一向处于活泼阶段。

本次截获的Emotet银行木马同样是经过带有附件的废物邮件进行传达,诱导用户点击带有宏病毒的附件文档,一旦宏发动,歹意的宏代码将会运转,经过PowerShell指令下载歹意程序,盗取用户灵敏信息。亚信安全将其命名为Trojan.W97M.POWLOAD.TIOIBEFV。

详细剖析

Emotet银行木马首要经过废物邮件进行传达,下图是咱们截获的废物邮件样本,主题为“付款汇款告诉”。

打开文档后,会提示敞开宏,一旦运转后,将会履行歹意的宏代码。

经过olevbs东西检查,该样本含有宏代码模块,而且都是混杂的代码,能够经过动态调试,获取其终究运转的PowerShell指令行。

因为指令行是经过base64加密的,咱们能够将其解密,解密后的代码如下所示,其首要功用是从C&C服务器上下载歹意的可履行程序523.exe到体系用户目录,并履行该程序。

523.exe文件剖Emotet银行木马家族新变种再度来袭析

该程序的中心代码是经过高度加密的,其将资源区的内容和静态变量中的加密字符串进行整合,然后动态分配内存,进行解密。

首要经过修正注册表封闭进程的DEP战略(数据履行维护热播电视剧战略),经过资源操作API获取资源节区内容。

屡次分配内存,解密这些加密的字符串。

整合PE数据。

获取操作体系的位数,称号和版别信息。

动态获取要运用的API函数地址。

经过GetModuleFileNameW函数获取当时进程途径。

然后再次创立一个挂起的子进程。

然后经过修正其子进程的主线程上下文内容,将其从头指向该程序进口地址000400000。

修正线程上下文内容后,然后康复,运转子进程。

经过调用ExitPorcess函数,完毕其父进程。

其子进程的首要功用是与C&C服务器进行通讯,盗取体系灵敏信息和长途操控用户电脑等歹意行为。它会不断测验能够进行衔接的网址,有些网址现在现已无法衔接。

最终会经过修正注册表,添加发动项。

总结:

亚信安全经过继续的追踪调查发现,从9月16日初次发现本次变种后,截止今天该病毒仍然在不断的更新,比较显著的改动是C&C服务器地址以及落地到体系中的可履行文件称号,从523.exe到572.exe、208.exe和 972.exe等,同样地,下载这些文件的URL地址也发生了改动。

最新的Emotet相关C2信息。

从9月中旬开端,运用废物邮件传达EMOTET银行木马的活动继续添加,如下是其废物邮件样例。现在废物邮件的运用的言语以德语,波兰语和意大利语居多,不扫除将来会有中文版别的垂钓邮件。

解决方案

不要点击来源不明的邮件以及附件;

不要点击来源不明的邮件中包括的链接;

打全体系及应用程序补丁;

Emotet银行木马家族新变种再度来袭

选用高强度的暗码,防止运用弱口令暗码,并定时替换暗码;

尽量封闭不必要的文件同享;

不要点击来源不明的邮件以及附件;

不要点击来源不明的邮件中包括的链接;

打全体系及应用程序补丁;

选用高强度的暗码,防止运用弱口令暗码,并定时替换暗码;

尽量封闭不必要的文件同享;

IOC

SHA-1

6b6f838eab12486f80fae8c83e116620ef188053

SHA-1

6b6f838eEmotet银行木马家族新变种再度来袭ab12486f80fae8c83e116620ef188053

请关注微信公众号
微信二维码
不容错过
Powered By Z-BlogPHP