臭名昭著的恶意软件僵尸网络于2020年10月下旬关闭,并于2020年12月21日再次活跃。Emotet充当恶意软件的桥头堡,在受感染的主机上安装其他恶意软件。目前,已经观察到Emotet在野外分发TrickBot。立陶宛国家公共卫生中心遭到Emotet攻击,感染了其内部网络并开始下载其他恶意软件。这导致立陶宛国家公共卫生中心暂时禁用电子邮件系统,直到从内部网络中删除恶意软件。本文将介绍Emotet的新Loader,并与之前的Loader进行比较。在解压缩顺序、文件的新属性和新的混淆方法方面存在差异,同时讨论了使用的检测规避技术。DifferentialExecutionProcess最后的Payload在执行前执行了多个步骤:观察最近收集的样本,执行步骤数减少:原因不明,但推测较长的执行过程并没有有效降低检出率。Emotet使用一种称为反射加载的技术在所有阶段进行加载,因此如果一个安全产品可以检测到反射加载,多次使用将无助于逃避检测。另一个可能的原因是攻击者试图逃避专门为Emotet创建的检测启发式方法。这成为一个独特的功能,因为以前的执行流程很长。如果检测到如此长的执行流,也可以发现Emotet,因此更改执行流的公共读取可能会有所帮助。LoaderLoader也发生了一些变化。第一个变化是从可执行文件切换到DLL。该DLL文件具有导出函数RunDLL和Control_RunDLL,这使得检测由Emotet引起的感染成为可能。如果使用与导出匹配的参数启动进程rundll32.exe,系统就会感染Emotet。import"pe"privaterulemotet_exports{condition:pe.exports("RunDLL")orpe.exports("Control_RunDLL")}privateruleis_dll{condition:pe.characteristics&pe.DLL}ruleemotet{condition:is_dllandemotet_exports}混淆技术通过Loader提取Payload一种新的混淆使用的技术是使用多个位运算而不是单个位运算来设置局部变量中的值。这种混淆在不执行代码的情况下很难理解,调试过程也很繁琐。相似度解密算法Payload加密存储在Loader中。之前开发的静态解密提取PayloadforEmotet的工具仍然有效,加密算法没有改变。代码混淆除了上述混淆技术外,代码中还包含复杂的条件分支和不必要的跳转指令,这使得分析代码执行顺序变得异常困难。隐藏数据负载通过不列出WindowsAPI的名称或任何有意义的字符串来隐藏功能。研究人员必须调试才能知道有效负载的作用,字符串以加密方式存储,API使用名称的哈希值进行解析。进化Emotet的进化是在2020年底,试图尽可能地降低被发现的概率。由于感染数量众多,追踪Emotet的不断进化至关重要,因为它的变化很可能导致广泛感染。参考来源:DeepInstinct
