充任Nozelesn讹诈软件加载器的Emotet变种 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

充任Nozelesn讹诈软件加载器的Emotet变种

申博_新闻事件 申博 360次浏览 已收录 0个评论

亚洲黑帽大会光年实验室亮“瑞士军刀”,让IoT装备阔别黑客进击

在新加坡召开的全球顶级黑帽盛会“Blackhat ASIA亚洲黑帽大会”上,支付宝光年安全实验室展示了一种新的漏洞检测工具,能提前发现IOT 设备的问题,避免黑客攻击。 随着物联网(IoT)技术的发展,嵌入式设备已经渗透入各个领域,如智能家

2019年2月,趋向科技在针对旅店行业的一个MDR(managed detection and response)监测端点中检测到了一种迥殊的Emotet变体。此次进击行动经由过程Emotet歹意软件下载Nymaim歹意软件,并应用Nymaim来加载Nozelesn讹诈软件。在此次要挟视察中,我们还从遥测中获取了580个相似的Emotet文件附件样本,并网络了2019年1月9日至2019年2月7日之间的数据。

要挟视察

2月11日,我们最先对MDR监控端点的Emotet检测状况做视察。在端点EP01中,我们注重到以下可疑文件:

充任Nozelesn讹诈软件加载器的Emotet变种

表1.Emotet歹意软件沾染时候线

当我们视察可以或许再次沾染的情况时,我们收到了一份申报,称在另一个端点(此次是服务器)上发明了名为How_Fix_Nozelesn_files.htm的文件。经由过程挪用服务器S01显现,该服务器受到了Nozelesn讹诈软件的沾染,文件似乎是在2月15日前后被写入的磁盘。在进一步磨练了这些运动后发明与它们大多都与初始事宜相干。为了更好的明白这些事宜,我们对EP01进行了二次视察,并将其称之为泉源链剖析(RCA)。

剖析

充任Nozelesn讹诈软件加载器的Emotet变种

图1.该Emotet样本沾染的根本原因的剖析图表

基于RCA的剖析,歹意文件经由过程谷歌Chrome下载并用Microsoft Word翻开。在翻开歹意文档以后,会马上天生PowerShell.exe并衔接到种种IP所在,终究在体系中建立了另一个名为942.exe的文件。

充任Nozelesn讹诈软件加载器的Emotet变种

图2. 衔接到种种IP所在并建立942.exe的PowerShell剧本

检测到的组件indexerneutral.exe是Emotet的重要组件,它实际上是移动到另一个地位的942.exe。它经由过程explorer.exe历程注入内存中并连结驻留。依据其行动,歹意软件可以或许会衔接到多个IP所在并下载将在体系中实行的另一个歹意软件。我们注重到它还赓续下载本身的更新,每次都联络一组新的敕令和掌握(C&C)服务器。除更新Emotet变体以外,它还建立了两个带有随机文件名的文件(如表1中所示),我们将其识别为次级payload。应当注重的是,在雷同的时候范围内,另有其他几个次级payload(gigabit-8.exe, wcdma-78.exe, etc等)会在EP01的分歧地位建立,以下所示:

充任Nozelesn讹诈软件加载器的Emotet变种

表2.次级payload

我们注重到,次级payload与Nymaim在文件定名和行动上有很多相似性,可以或许联想到客岁的Nozelesn讹诈软件事宜。Nozelesn是进击者于2018年7月在针对波兰的进击行动中运用的讹诈软件,它加密文件运用的文件扩大名为“.nozelesn”,并附带一份名为HOW_FIX_NOZELESN_FILES.htm的讹诈信。虽然没有找到Nozelesn讹诈软件样本,但我们平安基础设施的数据显现此次行动与Nymaim相干联,Nymaim是一种已知的歹意软件下载顺序。关于这类状况,我们疑心Nymaim可以或许已下载了Nozelesn讹诈软件,并运用无文件实即将讹诈软件加载到机械的内存中。

RCA的另一个值得注重的亮点是Emotet可以或许经由过程治理同享将本身复制到网络中的多台机械上。 indexerneutral.exe的副本以[8位] .exe的情势分发给\\ {host} \ ADMIN $ \。

基于这些信息,我们提出了两个关于S01怎样被Nozelesn讹诈软件进击的可以或许计划:

· Emotet被胜利复制并经由过程治理同享实行到S01。以后,S01中复制的Emotet下载了Nymaim歹意软件,该歹意软件又加载了内存中的Nozelesn讹诈软件;

· Nymaim在EP01中加载Nozelesn讹诈软件,然后经由过程同享文件夹在S01中加密文件。

————————————-

申博网络安全巴士站

申博-网络安全巴士站是一个专注于网络安全、系统安全、互联网安全、信息安全,全新视界的互联网安全新媒体。

————————————-

从这两种可以或许性来看,我们更倾向于第一种状况,由于我们的监测没有显现EP01中有任何Nozelesn讹诈软件沾染。

视察重点

以下是我们视察的重点,包孕我们在MDR客户检测后从遥测中网络的数据。

Emotet现在的流传近况是应用垃圾邮件持续发展。在短短一个月的时候内(2019年1月9日至2019年2月7日),我们的遥测手艺在环球范围内检测到凌驾14,000个相似的垃圾邮件。1月23日在英国检测到的次数最多,2月1日在塞浦路斯和德国,2月4日在塞浦路斯和委内瑞拉,2月5日发生在塞浦路斯和阿根廷。1月28日,我们在加拿大也发明了大批检测,而2月2日则是多个所在同时发生。

到1月尾,我们视察到此Emotet垃圾邮件运动中运用的最罕见的电子邮件主题是“最新的紧要出口舆图”,而在2月则转换成了更加罕见的主题,如“最新发票”,“配送详细信息”, “近日电报”和“紧要送达”等。虽然大多数电子邮件主题与付款有关,但我们注重到了犯罪分子运用的每一个转变,以下所示。

充任Nozelesn讹诈软件加载器的Emotet变种

充任Nozelesn讹诈软件加载器的Emotet变种

表3.在视察时期视察到的Emotet罕见的垃圾邮件运动主题和电子邮件主题

我们还注重到,垃圾邮件的变动取决于预期的收件人。虽然它依据发送日期连结了相似的主题,但运用了分歧的言语来针对运用这些言语的特定国度。比方,1月23日,除“最新紧要出口舆图”,我们还看到“NOTAUSGANGKARTE AKTUELLE”被发送给德国收件人。相似地,“Factura”(发票的西班牙语术语)也被发送到讲西班牙语的处所。在这个迥殊的行动中,我们视察了三种言语的运用:英语、德语和西班牙语。

充任Nozelesn讹诈软件加载器的Emotet变种

图3.每一个国度/区域Emotet罕见的电子邮件主题的散布

不管垃圾邮件的转变怎样,Emotet的重要沾染流程都连结稳定。一个典范的Emotet沾染链始于垃圾邮件,并用歹意文档作为附件;翻开附件后,宏会自动实行;然后终究挪用PowerShell从长途地位下载其他歹意软件。但它的payload不是恒定的,既可以或许直接下载终究payload,如Qakbot;也可以或许如本例中那样,下载Emotet并充任另一个歹意软件的加载顺序;另有一种状况是文件中含有一个指向XML文件的链接,经由过程嵌入歹意宏来隐匿反歹意软件的检测,歹意宏用于将重要payload隐藏在伪装成Word文档的XML文件中。而防备这些沾染的最简朴的要领就是连结小心,不随意马虎翻开未知文件。

只要胜利衔接到C&C服务器,Emotet才会下载并实行最后弗成见的多个文件。在某些状况下,它不会马上下载实在的payload。这也使得对它的剖析迥殊难题。

Emotet沾染不会在最后受影响的端点住手。它可以或许会流传到网络中其他衔接的盘算机上。

怎样抵抗这项顺手的要挟

新的一年,网络要挟依旧大批出现,并应用庞杂的手艺赓续发展壮大中,组织机构须要一直掌有对端点和网络平安的掌握能力。Emotet就是我们发明的一个很好的例子,它初次出现是在2014年,是一种瞬息万变的要挟。它可以或许调解本身payload,使之顺应网络平安防备体系。若是不加以发明,它会致使企业丧失大批数据和款项。但是这类要挟也只是内部平安团队须要小心的浩瀚要挟之一。

企业还应当接纳最佳实践来运用和珍爱PowerShell。PowerShell是一个治理框架,它也是经常被滥用的体系治理工具之一。为确保将其平安地用于运营和云情况中,IT/体系治理员应遵照微软实行战略的指导方针,并将PowerShell设置为ConstrainedLanguageMode,这些才是本质上经由过程PowerShell敕令加强体系的要领。企业客户还可以或许应用微软的新功能,对最后的沾染点接纳主动行动,比方,Office 2016可以或许阻挠宏并资助防备沾染,企业可以或许从团体上斟酌限定PowerShell。

IoC

此次进击行动触及很多文件、域名和IP所在。以下是值得注重的局部项目:

Emotet行动相干哈希值:

充任Nozelesn讹诈软件加载器的Emotet变种

识别使用随机后缀的勒索病毒Golden Axe

背景概述 国外安全研究员在3月发现了一款名为Golden Axe的勒索病毒,Golden Axe是一款用go语言编写的勒索病毒,使用基于RSA公匙加密体系的邮件加密软件PGP开源代码对文件进行加密。 国外安全研究员在曝光Golden Axe勒索病毒时提到,该勒


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明充任Nozelesn讹诈软件加载器的Emotet变种
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址