248cc永利集团备用网址-永利集团全部网址

联系大家

售前服务电话:800-820-8876
售后服务电话:800-820-8839
手机用户可拨打:400-820-8839

【病毒预警】EMOTET 银行木马变种预警

事件描述


近日,亚信安全截获新型 EMOTET 银行木马变种, 其主要通过垃圾邮件的方式进行传播,是一款比较著名且复杂的银行木马。 EMOTET 银行木马最早可以追溯到 2014 年,其主要使用网络嗅探技术窃取数据。 在之后的几年里, 该木马表现得并不活跃且慢慢开始淡出人们的视线。 然而, 2017 年8 月份 EMOTET 又“卷土重来”, 亚信安全截获了多个变种,这些变种主要攻击美国、英国和加拿大等国家。 此后, EMOTET 一直处于活跃阶段。


本次截获的 EMOTET 银行木马同样是通过带有附件的垃圾邮件进行传播, 诱导用户点击带有宏病毒的附件文档,一旦宏启动,恶意的宏代码将会运行,通过 PowerShell 命令下载恶意程序,窃取用户敏感信息。 亚信安全将其命名为 Trojan.W97M.POWLOAD.TIOIBEFV。


详细分析


EMOTET 银行木马主要通过垃圾邮件进行传播, 下图是大家截获的垃圾邮件样本, 主题为“付款汇款通知” 。



打开文档后,会提示开启宏,一旦运行后,将会实行恶意的宏代码。



通过 olevbs 工具查看,该样本含有宏代码模块,并且都是混淆的代码,可以通过动态调试,获取其最终运行的 PowerShell 命令行。





由于命令行是通过 base64 加密的,大家可以将其解密,解密后的代码如下所示,其主要功能是从 C&C 服务器上下载恶意的可实行程序 523.exe 到系统用户目录, 并实行该程序。



523.exe 文件分析


该程序的核心代码是通过高度加密的, 其将资源区的内容和静态变量中的加密字符串进行整合,然后动态分配内存,进行解密。


首先通过修改注册表关闭进程的 DEP 策略(数据实行保护策略) , 通过资源操作 API 获取资源节区内容。



多次分配内存,解密这些加密的字符串。




整合 PE 数据。



获取操作系统的位数,名称和版本信息。



动态获取要使用的 API 函数地址。



通过 GetModuleFileNameW 函数获取当前进程路径。




然后再次创建一个挂起的子进程。



然后通过修改其子进程的主线程上下文内容,将其重新指向该程序入口地址 0x00400000。




修改线程上下文内容后,然后恢复,运行子进程。



通过调用 ExitPorcess 函数,结束其父进程。



其子进程的主要功能是与 C&C 服务器进行通信,窃取系统敏感信息和远程控制用户电脑等恶意行为。 它会不断尝试可以进行连接的网址,有些网址目前已经无法连接。



最后会通过修改注册表,添加启动项。



总结:


亚信安全通过持续的追踪调查发现, 从 9 月 16 日首次发现本次变种后,截止今日该病毒仍然在不断的更新,比较显著的变化是 C&C 服务器地址以及落地到系统中的可实行文件名称,从 523.exe到 572.exe、 208.exe 和 972.exe 等,同样地, 下载这些文件的 URL 地址也发生了改变。



最新的 EMOTET 相关 C2 信息。



从 9 月中旬开始,利用垃圾邮件传播 EMOTET 银行木马的活动持续增加,如下是其垃圾邮件样例。目前垃圾邮件的使用的语言以德语,波兰语和意大利语居多,不排除将来会有中文版本的钓鱼邮件。



解决方案


●    不要点击来源不明的邮件以及附件;


●    不要点击来源不明的邮件中包含的链接;


●    打全系统及应用程序补丁;


●    采用高强度的密码,避免使用弱口令密码,并定期更换密码;


●    尽量关闭不必要的文件共享;


亚信安全解决方案


●    亚信安全病毒码版本 15.373.60, 云病毒码版本 15.373.71, 全球码版本 15.373.00 已经可以检测,请用户及时升级病毒码版本。


IOC


SHA-1


6b6f838eab12486f80fae8c83e116620ef188053

248cc永利集团备用网址|永利集团全部网址

XML 地图 | Sitemap 地图