Emotet运用捏造的歹意宏来绕过反病毒检测 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

Emotet运用捏造的歹意宏来绕过反病毒检测

申博_安全预警 申博 239次浏览 已收录 0个评论

自2019年1月中旬以来,门洛安全公司的研究人员首次发明了仍在运行的Emotet木马。

Emotet是2014年第一批恶意软件之一,最终被设想为银行木马,从受感染的终端窃取敏感和私人信息。经过不断的增长,也出现了恶意软件传播服务,包括传播其他银行木马。Us-cert于2018年发布预警消息称,Emotet将继承各级政府和企业的影响力,是一款极具破坏性的恶意软件。本文的重要介绍:

Emotet使用了重要的恶意文档品种和侵略性行业;
传递机制的未来用途:在XML文件中嵌入宏并将它们伪装成word文档;
在Windows命令行或powerShell中创建。

流传机制

研究人员在Emotet进击运动中共发明两种歹意文档流传体式格局:

  • 经由过程位于进击者掌握的基础设施上的URL
  • 经由过程邮件附件

下图是研究人员依据2019年1月网络的数据对Emotet进击的行业分布图:

Emotet运用捏造的歹意宏来绕过反病毒检测

依据网络的数据,研究人员还对生存歹意文档的网站点击时(click-time)分类举行了剖析,以下图所示:

Emotet运用捏造的歹意宏来绕过反病毒检测

贸易类(Business)占比最大,将歹意文件隐藏在正当范例以后使进击很难检测。
研究人员还发明有些歹意文档是经由过程邮件附件举行流传的。下图是一些例子:

Emotet运用捏造的歹意宏来绕过反病毒检测

这些受感染的文档使用嵌入式宏来传播木马,这是Emotet木马的一个特性。正如您在这些文档中看到的,大约80%的文档被伪装成.doc展开的word文档,但实际上是XML文件。使用这些技术的目标可以是绕过沙箱检测,因为沙箱使用真实的文档示例,而不是展开以识别应用程序。因为实际文件示例为XML,但在终端上仍使用word打开,也会弹出启用嵌入式宏提醒。20%的剩余恶意文档使用嵌入恶意宏的规范word文档。AV扫描10%恶意文件的结果未知,这意味着AV无法将这些文件识别为恶意文件。

剖析

研究人员对这些文档举行剖析,发明文档的内容运用含有Microsoft Office logo的主题音讯来诱运用户启用文档中的宏。

Emotet运用捏造的歹意宏来绕过反病毒检测

在一些文档中,研究人员发明没法检察宏的内容,VBA项目也被锁定了,这能够是为了防备平安研究人员对宏的内容举行剖析。

Emotet运用捏造的歹意宏来绕过反病毒检测

Emotet运用捏造的歹意宏来绕过反病毒检测

XML/DOC文件

在歹意文档中一共运用了两个文档花样,分别是XML和DOC。
XML文件运用的频次更多,歹意XML文件中含有规范的XML header加上Microsoft Word Document XML花样标签。是经由base64编码的数据加上紧缩的和殽杂的VBA宏代码。文件自身运用的是.doc扩大。

Emotet运用捏造的歹意宏来绕过反病毒检测

将word文档捏造为含有base64编码的数据的XML文档的目标能够是为了绕过AV的检测。研究人员对这些文件举行了AV检测,结果表明检测胜利率很低。

————————————-

申博网络安全巴士站

申博-网络安全巴士站是一个专注于网络安全、系统安全、互联网安全、信息安全,全新视界的互联网安全新媒体。

————————————-

Emotet运用捏造的歹意宏来绕过反病毒检测

Doc文件范例含有嵌入了歹意宏的一般word文档。

嵌入宏

嵌入的VBA宏代码是严峻殽杂的,还到场了dead code insertion。宏代码终究挪用了一个含有vbHide参数集的shell函数。风趣的是剩下的敕令如安在shell函数从VBA宏中挪用后构建呢?

  • 运用set敕令将编码的变量内容生存在环境变量中;
  • 运用Invoke-DOSfucation手艺,好比%ProgramData:~0,1%%ProgramData:~9,2%,这是cmd情势的编码;
  • 将敕令行参数/V和 /C传递给cmd,并到场另外一级实行。/V选项运用耽误的变量扩大,运用该选项能够动态天生变量,并天生另外一个cmd历程。/C选项用来运转该敕令和停止历程。
  • 终究会天生多个cmd历程,树形中末了的cmd举行会经由过程挪用PowerShell停止。
  • Powershell剧本运用Net.WebClient类要领DownloadFile来下载初始的Emotet payload到TEMP目次并最先该历程。
  • 在特定文档中,研究人员发明PowerShell剧本挪用Get-Item和搜检文件的巨细来确保大于特定的下限,然后挪用Invoke-Item来实行payload。
  • 研究人员还发明PowerShell剧本实验在一个URL列表中轮回实验,若是胜利就中缀。

工作流

工作流:

Emotet运用捏造的歹意宏来绕过反病毒检测

VBA挪用含有vbHide参数集的shell函数 示例以下:

Emotet运用捏造的歹意宏来绕过反病毒检测

CMD/PowerShell剧本运用Invoke-DOSfucation手艺示例以下:

Emotet运用捏造的歹意宏来绕过反病毒检测

在胜利实行PowerShell剧本后,研究人员发明终究的payload是Emotet木马,该木马会竖立与进击者基础设施的C2信道。经由赓续的生长,Emotet已变得高度定制化了,以是进击者能够运用C2信道来发送其他的歹意软件。

总结

曩昔Emotet重要经由过程一般的含有歹意宏的word文档举行流传,近来将XML文档伪装为word文档成为Emotet的一种新的流传体式格局。Emotet所运用的手艺赓续更新,研究人员展望这一进击运动会继承生长并变得越发庞杂。Emotet是2018年流传最为普遍的银行木马,2019年这一趋向应该会继承。

IOCs

Domains (Hosting the Malicious Documents):

www[.]ploeger[.]ru

id14[.]good-gid[.]ru

zobzarrinco[.]ir

aziendaagricolamazzola[.]it

dmoving[.]co[.]il

expoluxo[.]com

kamdhenu[.]technoexam[.]com

ldztmdy[.]cf

mstudija[.]lt

puntodeencuentrove[.]com

somov-igor[.]ru

www[.]purifiq[.]co[.]za

www[.]topstick[.]co[.]kr

URLs (PowerShell Callbacks):

hxxp://stoutarc[.]com/JbCOGyE

hxxp://www.modern-autoparts[.]com/ezFUGpI

hxxp://antigua.aguilarnoticias[.]com/LNOGFuYx

hxxp://uicphipsi[.]com/4d20qS_izTLi7wu1_uuk

hxxp://vuonnhatrong[.]com/FSrJps_iKqwbRFjH

hxxp://themissfitlife[.]com/5wn_YAsyS0M

hxxp://evoqueart[.]com/Wk0MdRvGzW

hxxp://leptokurtosis[.]com/wmK5XminG

hxxp://mimiabner[.]com/tvprRKdT

Emotet Payload Hashes:

7c5cdc5b738f5d7b40140f2cc0a73db61845b45cbc2a297bee2d950657cab658

37a000cd97233076cd3150c4dbde11d3d31237906b55866b7503fdc38cd1de08

Filenames:

Untitled_attachment_22012019.doc

2050822044828453.doc

ATT2469528456278769653.doc

PAY199472702716599.doc

Email “From:” Address Domains:

altopro[.]com[.]mx

bir[.]gov[.]ph

cafemarino[.]com[.]mx

daawat[.]com[.]pk

ecop[.]org[.]ph

iata[.]org

insular[.]com[.]ph

insurance[.]gov[.]ph

lbstation[.]co[.]uk

phil-union[.]com

rubiconeng[.]com

telkomsa[.]net

thielenhaus[.]cn

trmdemexico[.]com

wbf[.]ph

Email MIME Type:

application/xml and filename endswith .doc


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明Emotet运用捏造的歹意宏来绕过反病毒检测
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址