為什么每個人都害怕Emotet?
Emotet是迄今為止最危險的特洛伊木馬之一。該惡意軟件隨著規模和復雜性的增長而成為極具破壞性的程序。受害者可以是暴露于垃圾郵件活動的任何人,從公司用戶到私人用戶。
僵尸網絡通過包含惡意Excel或Word文檔的網絡釣魚進行分發。當用戶打開這些文檔并啟用宏時,EmotetDLL將下載并加載到內存中。
它搜索電子郵件地址并竊取它們用于垃圾郵件活動。此外,僵尸網絡還會投放額外的有效載荷,例如CobaltStrike或其他導致勒索軟件的攻擊。
Emotet的多態性及其包含的許多模塊使得惡意軟件難以識別。Emotet團隊不斷改變其策略、技術和程序,以確保無法應用現有的檢測規則。作為在受感染系統中保持隱身的策略的一部分,惡意軟件使用多個步驟下載額外的有效負載。
Emotet行為的結果對網絡安全專家來說是毀滅性的:惡意軟件幾乎不可能被刪除。它傳播迅速,生成錯誤指標,并根據攻擊者的需要進行調整。
這些年來,Emotet是如何升級的?
Emotet是一種先進且不斷變化的模塊化僵尸網絡。該惡意軟件于2014年作為一個簡單的銀行木馬開始其旅程。但從那時起,它獲得了一系列不同的功能、模塊和活動:
2014.匯款、垃圾郵件、DDoS和地址簿竊取模塊。
2015.規避功能。
2016.垃圾郵件、RIG4.0漏洞攻擊包、其他木馬的傳播。
2017.一個傳播者和地址簿竊取器模塊。
2021.XLS惡意模板,使用MSHTA,由CobaltStrike刪除。
2022。一些功能保持不變,但今年也帶來了一些更新。
這種趨勢證明,盡管頻繁“休假”,甚至官方關閉,Emotet也好不到哪兒去。惡意軟件發展迅速并適應一切。
新的Emotet2022版本獲得了哪些功能?
經過將近半年的休整,Emotet僵尸網絡以更加強大的姿態卷土重來。以下是您需要了解的有關2022新版本的信息:
它會釋放IcedID,一種模塊化的銀行木馬。
該惡意軟件加載XMRig,這是一種竊取錢包數據的礦工。
該木馬有二進制更改。
Emotet使用64位代碼庫繞過檢測。
新版本使用新命令:
使用隨機命名的DLL和導出PluginInit調用rundll32.exe
Emotet的目標是從GoogleChrome和其他瀏覽器獲取憑據。
它還旨在利用SMB協議收集公司數據
與六個月前一樣,僵尸網絡使用XLS惡意誘餌,但這次它采用了一種新的誘餌:
如何檢測Emotet?
Emotet面臨的主要挑戰是在系統中快速準確地檢測到它。除此之外,惡意軟件分析師應該了解僵尸網絡的行為,以防止未來的攻擊并避免可能的損失。
經歷了漫長的發展歷程,Emotet在反逃避策略上加緊了步伐。通過進程執行鏈的演變和受感染系統內部惡意軟件活動的變化,惡意軟件已經徹底改變了檢測技術。
例如,在2018年,可以通過查看進程的名稱來檢測這位銀行家——它是其中之一:
eventswrap,implrandom,turnavatar,soundser,archivesymbol,wabmetagen,msrasteps,secmsi,crsdcard,narrowpurchase,smxsel,watchvsgd,mfidlisvc,searchatsd,lpiograd,noticesman,appxmware,sansidaho
后來,在2020年第一季度,Emotet開始在注冊表中創建特定的密鑰——它將長度為8個符號(字母和字符)的值寫入密鑰HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER值。
當然,Suricata規則始終會識別此惡意軟件,但檢測系統通常會在第一波之后繼續進行,因為規則需要更新。
檢測此銀行家的另一種方法是其惡意文檔-騙子使用特定的模板和誘餌,即使其中存在語法錯誤。檢測Emotet最可靠的方法之一是通過YARA規則。
要克服惡意軟件的反規避技術并捕獲僵尸網絡——使用惡意軟件沙箱作為實現此目標的最便捷工具。在ANY.RUN中,您不僅可以檢測、監控和分析惡意對象,還可以從樣本中獲取已提取的配置。
有一些功能僅供Emotet分析使用:
使用FakeNet揭示惡意樣本的C2鏈接
使用Suricata和YARA規則集成功識別僵尸網絡
從樣本的內存轉儲中獲取有關C2服務器、密鑰和字符串的數據
收集新的惡意軟件的IOC
該工具有助于快速準確地執行成功的調查,因此惡意軟件分析人員可以節省寶貴的時間。
Emotet尚未展示完整的功能和一致的后續有效負載交付。使用在線惡意軟件沙箱等現代工具來提高網絡安全并有效檢測此僵尸網絡。保持安全和良好的威脅狩獵!
