某次钓鱼邮件分析(Emotet木马)
字数 1438 2025-08-27 12:33:48

Emotet木马钓鱼邮件分析教学文档

一、Emotet木马概述

Emotet最初于2014年作为银行木马出现,经过多年发展已演变为功能完整的恶意软件分发服务平台。其主要通过钓鱼邮件传播,具有以下特点:

  • 主要传播方式:钓鱼邮件附带恶意Office文档
  • 常用文件类型:doc、docm、xls、xlsm等支持宏的Office文件
  • 攻击手法:利用社会工程学诱导用户启用宏

二、钓鱼邮件样本分析

1. 邮件特征

  • 邮件内容伪装成普通业务邮件
  • 附件为带密码的压缩包(密码通常在邮件正文中提供)
  • 解压后获得恶意Office文件(本例为xlsm文件)

2. 恶意XLSM文件分析

文件结构分析

  • 将xlsm后缀改为zip后可解压查看内部结构
  • 关键文件:
    • sharedStrings.xml:包含恶意代码执行路径
    • workbook.xml:记录隐藏的工作表信息
    • macrosheets文件夹:存放混淆的宏代码

恶意代码执行机制

  1. 自动执行机制

    • 定义_xlnm.Auto_Open单元格(类似VBA中的Sub Auto_Open()
    • 用户启用宏时自动执行恶意代码

  2. 代码混淆技术

    • 使用隐藏工作表(Grrr1与Sbrr1)作为字典进行混淆
    • 实际恶意代码存储在EFWFSFG工作表中
    • 最终还原出的代码使用urlmon远程下载并执行恶意文件

  3. 视觉欺骗

    • Sheet1第一行覆盖图片,显示为空白文档
    • 实际包含5个隐藏工作表存放恶意代码

恶意行为

  • 通过regsvr32.exe远程加载恶意DLL
  • 从指定URL下载后续恶意载荷

三、技术分析流程

1. 静态分析

  1. 修改后缀为zip并解压
  2. 检查关键XML文件:
    • sharedStrings.xml:查找可疑URL或命令
    • workbook.xml:检查隐藏工作表定义
    • macrosheets:分析混淆的宏代码

2. 动态分析(沙箱)

  • 监控进程树,观察是否加载远程文件
  • 检查网络连接行为
  • 多引擎扫描确认恶意性

3. 威胁情报关联

  1. 搜索样本中的URL和HASH
  2. 对比已知Emotet样本:
    • 文件结构相似度
    • 关键字段一致性
  3. 参考威胁情报平台(如MALWARE bazaar)的标记结果

四、防御建议

1. 用户层面

  • 警惕包含附件的可疑邮件,特别是:
    • 要求启用宏的Office文档
    • 带密码的压缩包附件
  • 不轻易打开来源不明的Office文件
  • 打开文档时选择"禁用宏"

2. 企业层面

  • 部署邮件安全网关过滤可疑附件
  • 限制Office宏执行权限
  • 监控异常网络连接(如regsvr32.exe外联)
  • 定期进行安全意识培训

3. 技术防护

  • 保持反病毒软件更新
  • 启用应用程序白名单
  • 监控和阻断已知恶意URL

五、事件响应流程

  1. 发现阶段

    • 鼓励员工报告可疑邮件
    • 收集完整邮件样本(包括邮件头和附件)

  2. 分析阶段

    • 静态分析附件内容
    • 沙箱动态行为分析
    • 威胁情报比对

  3. 处置阶段

    • 阻断相关IoC(URL、HASH等)
    • 检查内网是否已有感染迹象
    • 评估可能的信息泄露范围

  4. 后续跟进

    • 更新防护规则
    • 通报全员提高警惕
    • 复盘攻击路径,加固薄弱环节

六、Emotet最新动态

根据威胁情报显示,Emotet近期新增特征:

  • 使用"粉色主题"xlsm文件作为诱饵
  • 持续更新社会工程学手段
  • 作为恶意软件分发平台,可能投放多种后续载荷

本教学文档基于实际案例分析,完整呈现了Emotet钓鱼邮件的技术细节和防御方法,可作为安全团队的分析参考和企业的安全意识培训材料。

Emotet木马钓鱼邮件分析教学文档 一、Emotet木马概述 Emotet最初于2014年作为银行木马出现,经过多年发展已演变为功能完整的恶意软件分发服务平台。其主要通过钓鱼邮件传播,具有以下特点: 主要传播方式:钓鱼邮件附带恶意Office文档 常用文件类型:doc、docm、xls、xlsm等支持宏的Office文件 攻击手法:利用社会工程学诱导用户启用宏 二、钓鱼邮件样本分析 1. 邮件特征 邮件内容伪装成普通业务邮件 附件为带密码的压缩包(密码通常在邮件正文中提供) 解压后获得恶意Office文件(本例为xlsm文件) 2. 恶意XLSM文件分析 文件结构分析 将xlsm后缀改为zip后可解压查看内部结构 关键文件: sharedStrings.xml :包含恶意代码执行路径 workbook.xml :记录隐藏的工作表信息 macrosheets 文件夹:存放混淆的宏代码 恶意代码执行机制 自动执行机制 : 定义 _xlnm.Auto_Open 单元格(类似VBA中的 Sub Auto_Open() ) 用户启用宏时自动执行恶意代码 代码混淆技术 : 使用隐藏工作表(Grrr1与Sbrr1)作为字典进行混淆 实际恶意代码存储在EFWFSFG工作表中 最终还原出的代码使用 urlmon 远程下载并执行恶意文件 视觉欺骗 : Sheet1第一行覆盖图片,显示为空白文档 实际包含5个隐藏工作表存放恶意代码 恶意行为 通过 regsvr32.exe 远程加载恶意DLL 从指定URL下载后续恶意载荷 三、技术分析流程 1. 静态分析 修改后缀为zip并解压 检查关键XML文件: sharedStrings.xml :查找可疑URL或命令 workbook.xml :检查隐藏工作表定义 macrosheets :分析混淆的宏代码 2. 动态分析(沙箱) 监控进程树,观察是否加载远程文件 检查网络连接行为 多引擎扫描确认恶意性 3. 威胁情报关联 搜索样本中的URL和HASH 对比已知Emotet样本: 文件结构相似度 关键字段一致性 参考威胁情报平台(如MALWARE bazaar)的标记结果 四、防御建议 1. 用户层面 警惕包含附件的可疑邮件,特别是: 要求启用宏的Office文档 带密码的压缩包附件 不轻易打开来源不明的Office文件 打开文档时选择"禁用宏" 2. 企业层面 部署邮件安全网关过滤可疑附件 限制Office宏执行权限 监控异常网络连接(如regsvr32.exe外联) 定期进行安全意识培训 3. 技术防护 保持反病毒软件更新 启用应用程序白名单 监控和阻断已知恶意URL 五、事件响应流程 发现阶段 : 鼓励员工报告可疑邮件 收集完整邮件样本(包括邮件头和附件) 分析阶段 : 静态分析附件内容 沙箱动态行为分析 威胁情报比对 处置阶段 : 阻断相关IoC(URL、HASH等) 检查内网是否已有感染迹象 评估可能的信息泄露范围 后续跟进 : 更新防护规则 通报全员提高警惕 复盘攻击路径,加固薄弱环节 六、Emotet最新动态 根据威胁情报显示,Emotet近期新增特征: 使用"粉色主题"xlsm文件作为诱饵 持续更新社会工程学手段 作为恶意软件分发平台,可能投放多种后续载荷 本教学文档基于实际案例分析,完整呈现了Emotet钓鱼邮件的技术细节和防御方法,可作为安全团队的分析参考和企业的安全意识培训材料。