Emotet在2014年出现时只是一个银行木马,经过几年的发展,Emotet的功能不断扩展,已经演变成一个完整的恶意软件分发服务.Emotet的历史Emotet恶意软件的第一个版本出现于2014年,它拦截互联网流量以窃取银行凭证。当时,Emotet恶意软件针对德国和奥地利的银行。很快,第二个版本出现并添加了一些额外的模块,例如汇款、垃圾邮件、DDoS和地址簿窃取模块。Emotet的第三个版本出现于2015年,主要升级了反绕过功能,并将瑞士银行加入了潜在攻击目标列表。2016年12月,第四版Emotet出现,修改了攻击向量。版本4最初主要依靠RIG4.0漏洞利用工具包来访问受害计算机,然后转向垃圾邮件。后来,版本4从使用自己的银行模块转为在受感染的机器上投放其他木马。根据使用的模块,Emotet恶意软件可以执行大量恶意活动。大多数版本的病毒都包含一个垃圾邮件模块,该模块通过从受感染的机器发送恶意电子邮件来传播恶意软件。另一个非常常见的模块是凭据窃取模块,它允许Emotet从Web浏览器和邮件客户端窃取敏感信息。自2017年以来,Emotet木马中出现了一个传播模块,可用于感染通过本地网络连接的所有机器。此外,该病毒还实现了地址簿窃取模块,分析邮件的发件人和收件人之间的关系,并利用收集到的信息来增强后续从用户计算机发起的攻击的有效性。攻击朋友、家人和大学同学。Emotet恶意软件通过使用模块和不同的反绕过功能提供了许多灵活的特性,并且还实现了持久化。为了确保恶意软件在受感染的机器上,恶意软件被注入到正在运行的进程中,通常是Explorer.exe。此外,恶意软件使用计划任务并修改注册表。Emotet恶意软件分析来自ANY.RUN的视频展示了Emotet的运行情况,提供了对恶意软件行为的详细分析。图1:Emotet执行流程树图2:Emotet分析文本报告Emotet执行流程Emotet木马首先通过恶意垃圾邮件进行传播,攻击链的第一步是利用社会工程技术引诱潜在受害者打开office附件。在启用宏的情况下打开文件后,用户无需执行进一步操作。下载的文件包含打开文件时运行的恶意VBA代码。感染过程中的其他选项包括使用WMI启用下载有效负载的Powershell脚本。Powershell脚本被编码,Emotet采取额外步骤驻留在受感染的系统上,将自身复制到%AppData%文件夹,并修改注册表中的自动运行值。在完成所有感染过程后,恶意软件会向服务器发送信息并从服务器接收信息。在执行的最后一步,Emotet等待来自C2服务器的命令。Emotet如何传播Emotet恶意软件最常见的传播方式是通过恶意垃圾邮件活动。木马利用通讯录窃取模块获取受害者邮箱账户的所有垃圾邮件,并将其发送给被劫持账户的所有联系人。Emotet攻击的成功率很高,因为电子邮件的收件人通常为发件人所知。受害者通常会收到包含恶意URL的电子邮件,单击该URL会下载恶意软件。垃圾邮件并不是Emotet使用的唯一分发方法,Emotet还使用特定的Windows漏洞在用户不知情的情况下渗透到用户的机器中。总结Emotet恶意软件是当前活跃的最复杂和最具破坏性的特洛伊木马。自2014年出现以来,它不断进化,引入了反绕过功能、获取蠕虫功能,甚至从最初的信息窃取转向在被感染机器上安装其他木马。Emotet可以在相邻系统中传播,并可以轻松感染同一网络上的其他机器,使这种攻击成为受害者的噩梦。由于向恶意软件添加了一系列反分析技术,情况变得更加复杂。本文翻译自:https://any.run/malware-trends/emotet如有转载请注明出处。
