在六个月几乎没有任何活动之后,臭名昭著的Emotet僵尸网络正在分发恶意垃圾邮件。让我们深入了解细节并讨论您需要了解的关于这个臭名昭著的恶意软件的所有信息以对抗它。为什么每个人都害怕Emotet?Emotet是迄今为止最危险的特洛伊木马之一。该恶意软件的规模和复杂性不断增加,成为极具破坏性的程序。受害者可以是任何暴露于垃圾邮件活动的人,从企业用户到私人用户。僵尸网络通过包含恶意Excel或Word文档的网络钓鱼消息进行分发。当用户打开这些文档并启用宏时,EmotetDLL将被下载并加载到内存中。它搜索电子邮件地址并窃取它们用于垃圾邮件活动。此外,僵尸网络还会投放额外的有效负载,例如CobaltStrike或其他勒索软件诱导攻击。Emotet的多态性和它包含的许多模块使得恶意软件难以识别。Emotet团队不断改变其策略、技术和程序,以确保无法应用现有的检测规则。作为其在受感染系统上保持隐蔽的策略的一部分,恶意软件使用多个步骤下载额外的有效负载。Emotet行动的结果对网络安全专家来说是毁灭性的:恶意软件几乎无法删除。它传播迅速,生成虚假指标,并适应攻击者的需求。这些年来Emotet是如何升级的?Emotet是一种先进且不断变化的模块化僵尸网络。该恶意软件于2014年作为一个简单的银行木马开始了它的旅程。但从那以后,它获得了一系列不同的功能、模块和活动:2014年。汇款、垃圾邮件、DDoS和地址簿窃取模块。2015.规避功能。2016.垃圾邮件、RIG4.0漏洞利用工具包和其他特洛伊木马的传播。2017.通信器和地址簿窃取器模块。2021.XLS恶意模板,使用MSHTA,已被CobaltStrike移除。2022。一些功能保持不变,但今年也带来了一些更新。这一趋势证明,尽管频繁“休假”,甚至官方停产,Emotet也好不到哪里去。恶意软件发展迅速并适应一切。Emotet2022新版本获得了哪些特性?经过近半年的休整,Emotet僵尸网络以更强势的姿态卷土重来。以下是您需要了解的有关2022新版本的信息:它删除了IcedID,这是一种模块化的银行木马。该恶意软件加载XMRig,这是一种窃取钱包数据的矿工。该木马有二进制更改。Emotet使用64位代码库来逃避检测。新版本使用了一个新命令:用一个随机命名的DLL调用rundll32.exe并导出PluginInit。Emotet的目标是从GoogleChrome和其他浏览器获取凭据。它还旨在使用SMB协议收集公司数据。就像六个月前,僵尸网络使用XLS作为恶意诱饵,但这次它使用了一个新的:如何检测Emotet?Emotet面临的主要挑战是在系统中快速准确地检测到它。除此之外,恶意软件分析师应该了解僵尸网络的行为,以防止未来的攻击并避免可能的损失。经过漫长的发展过程,Emotet加强了其反逃避策略。恶意软件通过进程执行链的演变和受感染系统内恶意软件活动的变化彻底改变了检测技术。例如,在2018年,可以通过查看进程的名称来检测银行家-它是以下之一:eventswrap、implrandom、turnavatar、soundser、archivesymbol、wabmetagen、msrasteps、secmsi、crsdcard、narrowpurchase、smxsel、watchvsgd、mfidlisvc,searchatsd,lpiograd,noticesman,appxmware,sansidaho后来,在2020年第一季度,Emotet开始在注册表中创建特定的键——它写入长度为8个符号(字母和字符)的值键HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\探索者价值。当然,Suricata规则将始终识别此恶意软件,但检测系统通常会在第一波之后继续进行,因为规则需要更新。检测此银行家的另一种方法是其恶意文档-骗子使用特定的模板和诱饵,即使其中存在语法错误。检测Emotet的最可靠方法之一是通过YARA规则。要克服恶意软件的反规避技术并捕获僵尸网络-使用恶意软件沙箱作为最简单的工具。在ANY.RUN中,您不仅可以检测、监控和分析恶意对象,还可以从样本中提取配置。有一些功能仅适用于Emotet分析:使用FakeNet揭示恶意样本的C2链接使用Suricata和YARA规则集成功识别僵尸网络从样本的内存转储中获取有关C2服务器、密钥和字符串的数据收集新的恶意软件的IOC工具有助于快速准确地执行成功的调查,因此恶意软件分析人员可以节省宝贵的时间。Emotet尚未展示完整的功能和一致的后续有效负载交付。使用在线恶意软件沙箱等现代工具来提高网络安全性并有效检测此僵尸网络。保持安全和良好的威胁狩猎!
