虽然Emotet已经过时,但它仍在不断进化,一直是最具威胁的木马之一。Emotet的技术迭代历史(2014-2017)2018年1月,Emotet开始传播银行木马Panda(ZeusPanda,2016年首次发现,基于银行木马Zbot泄露的源代码进行攻击,拦截按键输入网站形式内容)。4月9日:4月初,Emotet获得了一个散布在无线网络中的模块(MD5:75d65cea0a33d11a2a74c703dbd2ad99),该模块试图通过字典攻击访问Wi-Fi。它的代码类似于具有Wi-Fi连接的NetworkSpreader模块(bypass.exe)。如果暴力攻击成功,该模块会将有关网络的数据传输到C&C。与bypass.exe一样,此模块也作为独立文件(a.exe)传播到自解压存档(MD5:5afdcffca43f8e7f848ba154ecf12539)。该存档还包含前面提到的service.exe(MD5:5d6ff5cc8a429b17b5b5dfbf230b2ca4),与第一个版本一样,它除了将受感染计算机的名称发送给C&C之外什么都不做。一个自解压的RAR文件,其组件可以通过Wi-Fi传播。黑客迅速更新模块,并在几个小时内检测到第一个版本。研究人员收到了更新后的自解压文件(MD5:d7c5bf24904fc73b0481f6c7cde76e2a),其中包含一个新的service.exe,其中包含Emotet(MD5:26d21612b676d66b93c51c611fa46773)。自解压RAR文件更新service.exeBinaryDefense公司直到2020年1月才公开描述该模块,回到旧的传播机制并使用旧模块的代码似乎有点奇怪,因为在2017年绕过了。exe和service.exe已合并为一个DLL模块。4月14日:Emotet再次开始使用GET请求在HTTP标头的Cookie字段中进行数据传输,以实现小于1KB的数据传输大小,同时开始对大量数据(MD5:38991b639b2407cbfa2e7c64bb4063c4)进行POST请求。填充Cookie字段的模板也不一样,以前是Cookie:%X=的形式,现在是Cookie:%u=。数字和等号之间新添加的空格有助于识别Emotet流量。示例GET请求4月30日:C&C服务器暂停了它们的活动,直到5月16日才恢复,之后GET请求中的空间消失了。GET请求的更新示例6月,另一个银行木马开始使用Emotet进行自我传播,这次是Trickster(或Trickbot),这是一种模块化的银行木马,自2016年以来一直存在,是Dyreza的最佳替代品。2019年,Trickster网银木马排名第三,占所有已发现的企业金融威胁的12%。2015年被银行木马攻击的用户中,超过40%被Dyreza攻击。Dyreza通过有效的网络植入窃取数据和访问网上银行系统。7月首次获得基于libminiupnpc包(MD5:0f1d4dd066c0277f82f74145a7d2c48e)的所谓UPnP模块。该模块应本地网络中主机的请求启用路由器上的端口转发。这不仅让攻击者可以访问位于NAT后面的本地网络计算机,还可以将受感染的计算机变成C&C代理。8月,出现了一种新的Ryuk勒索软件感染报告,它是2017年Hermes勒索软件的修改版。后来发现感染链始于Emotet,它下载了Trickster,后者又安装了Ryuk。此时,Emotet和Trickster都具备通过本地网络传播的能力,而Trickster利用SMB中的已知漏洞,进一步促进了恶意软件在本地网络中的传播。结合Ryuk,这是一个特别强大的组合。Ryuk勒索病毒家族最早可以追溯到2018年8月,起源于Hermes勒索病毒家族。该勒索病毒主要通过垃圾邮件、僵尸网络分发、RDP爆破和漏洞传播。它使用RSA+AES来加密用户文件。没有密钥就无法恢复文件。月底更新网络扩展模块的密码列表。它们的编号仍然是1000,但大约有100个已更改(MD5:3f82c2a733698f501850fdf4f7c00eb7)。解密密码列表10月12日:当研究人员没有注册传播新模块或更新时,C&C服务器暂停他们的活动,直到10月26日。10月30日:更新Outlook的数据过滤模块(MD5:64C78044D2F6299873881F8B08D40995)。关键创新是能够窃取消息本身的内容。尽管如此,可窃取的数据量限制为16KB(较大的消息将被截断)。Outlook数据导出模块新旧版本代码对比11月,当研究人员没有注册传播新模块或更新时,C&C服务器暂停了他们的活动。活动要到12月6日才会恢复。12月的C&C活动直到2019年1月10日才恢复,因此停机时间更长。2019年3月14日:Emotet再次修改部分HTTP协议,改用POST请求,并使用字典创建路径。Referer字段现在已填充,并且Content-Type:multipart/form-data出现了。(MD5:beaf5e523e8e3e3fb9dc2a361cda0573):POST请求生成函数的代码POST请求示例3月20日协议的HTTP部分的另一个更改,Emotet删除了Content-Type:multipart/form-data。数据本身使用Base64和UrlEncode(MD5:98fe402ef2b8aa2ca29c4ed133bbfe90)进行编码。更新后的POST请求生成函数的代码POST请求示例4月份的初步报告似乎表明Emotet垃圾邮件正在使用Outlook的新数据泄露模块窃取的信息:被盗主题、邮件列表和电子邮件内容的使用。5月,C&C服务器长时间停止工作(三个月)。活动于2019年8月21日恢复。但是,在接下来的几周内,服务器仅传播更新和模块,未检测到垃圾邮件活动。这段时间可用于恢复与受感染系统的通信、收集和处理数据以及在本地网络上传播。开发人员在11月对协议的HTTP部分做了一个小改动,此时Emotet放弃了使用字典来创建路径,选择了随机生成的字符串(MD5:dd33b9e4f928974c72539cd784ce9d20)。2月6日的POST请求示例:这是对协议HTTP部分的另一个更改,现在,路径由几个随机生成的单词组成,而不是单个字符串。Content-Type又是multipart/form-data。POST请求示例随着HTTP部分的更新,二进制部分也会更新。加密保持不变,但Emotet删除了GoogleProtocolBuffers并切换到自己的格式。压缩算法也发生了变化,liblzf取代了zlib。有关新协议的更多详细信息,请参阅英特尔和CERTPolska报告。2020-02-07C&C活动直到2020年7月才恢复。在此期间,垃圾邮件数量降至零。与此同时,BinaryDefense以及各种CERT和信息安全社区开始传播EmoCrash,这是一种PowerShell脚本,可以为Emotet使用的系统注册表项创建不正确的值。这会导致恶意软件在安装过程中“崩溃”。这个killswitch一直持续到8月6日,当时Emotet背后的开发人员修补了漏洞。就在7月垃圾邮件活动恢复几天后,有报道称有人用图像和模因替换了受攻击网站上的恶意模因。因此,单击垃圾邮件中的链接会打开普通图像而不是恶意文档。这并没有持续多久,到7月28日,恶意文件无法再用图像替换。总结尽管Emotet已经过时,但它仍在不断发展,并且仍然是目前最具威胁性的特洛伊木马之一。2020年11月最活跃的C&C:本文翻译自:https://securelist.com/the-chronicles-of-emotet/99660/
