歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

充當Nozelesn勒索軟件加載器的Emotet變種

來源:本站整理 作者:佚名 時間:2019-04-02 TAG: 我要投稿

2019年2月,趨勢科技在針對酒店行業的一個MDR(managed detection and response)監測端點中檢測到了一種特殊的Emotet變體。此次攻擊行動通過Emotet惡意軟件下載Nymaim惡意軟件,并利用Nymaim來加載Nozelesn勒索軟件。在這次威脅調查中,我們還從遙測中獲取了580個類似的Emotet文件附件樣本,并收集了2019年1月9日至2019年2月7日之間的數據。
威脅調查
2月11日,我們開始對MDR監控端點的Emotet檢測情況做調查。在端點EP01中,我們注意到以下可疑文件:

表1.Emotet惡意軟件感染時間線
當我們觀察可能再次感染的環境時,我們收到了一份報告,稱在另一個端點(這次是服務器)上發現了名為How_Fix_Nozelesn_files.htm的文件。通過調用服務器S01顯示,該服務器受到了Nozelesn勒索軟件的感染,文件似乎是在2月15日前后被寫入的磁盤。在進一步檢驗了這些活動后發現與它們大多都與初始事件相關。為了更好的理解這些事件,我們對EP01進行了二次調查,并將其稱之為根源鏈分析(RCA)。
分析

圖1.該Emotet樣本感染的根本原因的分析圖表
基于RCA的分析,惡意文件通過谷歌Chrome下載并用Microsoft Word打開。在打開惡意文檔之后,會立即生成PowerShell.exe并連接到各種IP地址,最終在系統中創建了另一個名為942.exe的文件。

圖2. 連接到各種IP地址并創建942.exe的PowerShell腳本
檢測到的組件indexerneutral.exe是Emotet的主要組件,它實際上是移動到另一個位置的942.exe。它通過explorer.exe進程注入內存中并保持駐留。根據其行為,惡意軟件可能會連接到多個IP地址并下載將在系統中執行的另一個惡意軟件。我們注意到它還不斷下載自身的更新,每次都聯系一組新的命令和控制(C&C)服務器。除了更新Emotet變體之外,它還創建了兩個帶有隨機文件名的文件(如表1中所示),我們將其識別為次級payload。應該注意的是,在相同的時間范圍內,還有其他幾個次級payload(gigabit-8.exe, wcdma-78.exe, etc等)會在EP01的不同位置創建,如下所示:

表2.次級payload
我們注意到,次級payload與Nymaim在文件命名和行為上有許多相似性,可以聯想到去年的Nozelesn勒索軟件事件。Nozelesn是攻擊者于2018年7月在針對波蘭的攻擊行動中使用的勒索軟件,它加密文件使用的文件擴展名為“.nozelesn”,并附帶一份名為HOW_FIX_NOZELESN_FILES.htm的勒索信。雖然沒有找到Nozelesn勒索軟件樣本,但我們安全基礎設施的數據顯示此次行動與Nymaim相關聯,Nymaim是一種已知的惡意軟件下載程序。對于這種情況,我們懷疑Nymaim可能已經下載了Nozelesn勒索軟件,并使用無文件執行將勒索軟件加載到機器的內存中。
RCA的另一個值得注意的亮點是Emotet能夠通過管理共享將自身復制到網絡中的多臺機器上。 indexerneutral.exe的副本以[8位] .exe的形式分發給\\ {host} \ ADMIN $ \。
基于這些信息,我們提出了兩個關于S01如何被Nozelesn勒索軟件攻擊的可能方案:
· Emotet被成功復制并通過管理共享執行到S01。之后,S01中復制的Emotet下載了Nymaim惡意軟件,該惡意軟件又加載了內存中的Nozelesn勒索軟件;
· Nymaim在EP01中加載Nozelesn勒索軟件,然后通過共享文件夾在S01中加密文件。
從這兩種可能性來看,我們更傾向于第一種情況,因為我們的監測沒有顯示EP01中有任何Nozelesn勒索軟件感染。
調查重點
以下是我們調查的重點,包括我們在MDR客戶檢測后從遙測中收集的數據。
Emotet目前的傳播現狀是利用垃圾郵件持續發展。在短短一個月的時間內(2019年1月9日至2019年2月7日),我們的遙測技術在全球范圍內檢測到超過14,000個類似的垃圾郵件。1月23日在英國檢測到的次數最多,2月1日在塞浦路斯和德國,2月4日在塞浦路斯和委內瑞拉,2月5日發生在塞浦路斯和阿根廷。1月28日,我們在加拿大也發現了大量檢測,而2月2日則是多個地點同時發生。
到1月底,我們觀察到此Emotet垃圾郵件活動中使用的最常見的電子郵件主題是“最新的緊急出口地圖”,而在2月則轉換成了更為常見的主題,如“最新發票”,“配送詳細信息”, “近日電報”和“緊急送達”等。雖然大多數電子郵件主題與付款有關,但我們注意到了犯罪分子使用的每一個變化,如下所示。


表3.在調查期間觀察到的Emotet常見的垃圾郵件活動主題和電子郵件主題
我們還注意到,垃圾郵件的更改取決于預期的收件人。雖然它根據發送日期保持了類似的主題,但使用了不同的語言來針對使用這些語言的特定國家。例如,1月23日,除了“最新緊急出口地圖”,我們還看到“NOTAUSGANGKARTE AKTUELLE”被發送給德國收件人。類似地,“Factura”(發票的西班牙語術語)也被發送到講西班牙語的地方。在這個特別的行動中,我們觀察了三種語言的使用:英語、德語和西班牙語。

[1] [2]  下一頁

【聲明】:黑吧安全網(http://www.pcpbjo.tw)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        云南快乐十分前三电视