Emotet银行木马分析报告
字数 2849 2025-08-15 21:33:10

Emotet银行木马全面分析报告

一、Emotet概述

Emotet是一种高度复杂的银行木马,自2014年首次被发现以来,不断进化演变,已成为网络安全领域最严重的威胁之一。其主要特点包括:

  • 初始目标:主要针对德国和奥地利银行客户
  • 传播方式:通过垃圾邮件传播,带有恶意附件或链接
  • 功能演变:从简单的银行凭证窃取发展为模块化恶意软件平台
  • 持久性:活跃6年以上,持续更新攻击技术和功能模块

二、历史演变与技术发展

2014年

  • 首次发现:2014年6月由TrendMicro发现
  • 初始功能:浏览器劫持用户银行凭证
  • 传播媒介:伪装成银行电子邮件的垃圾邮件
  • 秋季更新
    • HTTP(S)流量模块
    • Outlook电子邮件地址收集模块
    • Mail PassView密码窃取模块
    • 垃圾邮件模块
    • DDoS攻击模块
    • 自动转账系统(ATS)功能

2015年

  • 新版本变化
    • 新的内置RSA公钥
    • 字符串加密
    • ATS脚本更新
    • 目标扩展至瑞士银行客户
  • 年中活动:C&C服务器无响应,目标为奥地利、德国和波兰客户

2016年

  • Emotet redux版本
    • 使用RIG-E和RIG-V漏洞工具包
    • C&C通信协议变更:
      • 小数据量(<4KB):GET请求,数据在HTTP头Cookie字段传输
      • 大数据量:POST请求
    • 加密算法从RC4升级为AES
    • C&C服务器返回404错误头,正文传输加密负载

2017年

  • 4月攻击

    • 波兰大规模垃圾邮件攻击
    • 使用JavaScript文件伪装(如DHL、发票等文件名)
    • 示例JS文件:
      • dhl__numer__zlecenia___4787769589_____kwi___12___2017.js
      • invoice__924__apr___24___2017___lang___gb___gb924.js
      • telekom_2017_04rechnung_60030039794.js

  • 5月演变

    • 传播方式改为Office文档附件
    • 文档包含伪装成MS Word消息的图像
    • 诱导用户启用宏

  • 6月更新

    • 引入Network Spreader工具(后成为模块)
    • 示例文件:
      • bypass.exe:通过内置字典搜索网络资源
      • service.exe:在远程系统创建自动运行

  • 7月协议变更

    • 弃用GET请求,全部使用POST
    • 示例MD5:643e1f4c5cbaeebc003faee56152f9cb

  • 8月更新

    • Network Spreader作为DLL集成
    • 新模块编译日期:2017年7月24日
    • 示例MD5:9c5c9c4f019c330aadcefbb781caac41

2018年

  • 1月:开始传播Panda银行木马(Zeus Panda)

  • 4月

    • 新增无线网络模块
      • 使用字典攻击访问Wi-Fi
      • 示例MD5:75d65cea0a33d11a2a74c703dbd2ad99
    • 更新模块包含新service.exe
      • 示例MD5:d7c5bf24904fc73b0481f6c7cde76e2a
    • 恢复GET请求(用于<1KB数据)
      • Cookie字段格式变更:%u =(新增空格)

  • 6月:Trickster/Trickbot开始利用Emotet传播

  • 7月

    • 新增UPnP模块(基于libminiupnc)
      • 在路由器上启用端口转发
      • 使受感染计算机成为C&C代理
      • 示例MD5:0f1d4dd066c0277f82f74145a7d2c48e

  • 8月

    • 出现Ryuk勒索软件感染链(Emotet→Trickster→Ryuk)
    • Network Spreader密码列表更新
      • 示例MD5:3f82c2a733698f501850fdf4f7c00eb7

  • 10月

    • Outlook模块更新
      • 窃取数据限制为16KB(大消息截断)
      • 示例MD5:64C78044D2F6299873881F8B08D40995

2019年

  • HTTP协议变更

    • 切换到POST请求
    • 使用字典创建路径
      • 示例MD5:beaf5e523e8e3e3fb9dc2a361cda0573

  • 3月

    • 删除HTTP内容类型:multipart/form data
    • 数据使用Base64和UrlEncode编码
      • 示例MD5:98fe402ef2b8aa2ca29c4ed133bbfe90

  • 5-8月:C&C服务器暂停活动

  • 11月

    • HTTP路径改为随机生成字符串
      • 示例MD5:dd33b9e4f928974c72539cd784ce9d20

2020年

  • 2月

    • HTTP路径改为随机生成单词
    • 二进制部分更新:
      • 放弃Google Protocol Buffer
      • 压缩算法从zlib改为liblzf

  • 2-7月:C&C活动下降,垃圾邮件数量降至零

  • 7月后

    • 垃圾邮件活动恢复
    • 出现图片和memes替换恶意载荷的变种

三、技术细节分析

传播方式

  1. 初始传播

    • 垃圾邮件携带恶意附件或链接
    • 伪装成银行、物流公司等正式邮件
    • 使用社会工程学诱导用户执行恶意文件

  2. 文件类型演变

    • JavaScript文件(2017年初)
    • Office文档(2017年中)
    • 宏启用诱导

模块化架构

  1. 核心模块

    • 网络通信
    • 持久化
    • 更新机制

  2. 功能模块

    • 邮件窃取(Outlook)
    • 密码窃取(Mail PassView)
    • 网络传播(Network Spreader)
    • 无线网络攻击
    • UPnP端口转发

C&C通信

  1. 协议演变

    • 早期:明文HTTP
    • 2016年:AES加密,404错误伪装
    • 数据传输方式变更:
      • GET→POST→GET/POST混合→纯POST
    • 路径生成方式变更:
      • 固定→字典生成→随机字符串→随机单词

  2. 加密方式

    • 早期:RC4
    • 2016年后:AES

横向移动

  1. Network Spreader

    • 内置字典攻击
    • 自动复制到网络共享
    • 创建自动运行项

  2. UPnP模块

    • 路由器端口转发
    • 绕过NAT限制
    • 建立C&C代理

四、攻击链与关联威胁

  1. 独立攻击

    • 银行凭证窃取
    • 自动转账(ATS)
    • 数据窃取

  2. 关联恶意软件

    • Panda银行木马(2018)
    • Trickster/Trickbot(2018)
    • Ryuk勒索软件(2018)

五、防御建议

  1. 技术防护

    • 禁用Office宏执行
    • 阻止可疑JavaScript文件
    • 监控异常网络通信(特别是404响应含加密数据)
    • 限制UPnP功能

  2. 安全意识

    • 警惕不明邮件附件
    • 验证发件人真实性
    • 不启用不明文档的宏

  3. 系统加固

    • 更新漏洞补丁
    • 使用强密码策略
    • 限制网络共享权限

六、IOC(入侵指标)

C&C服务器

173.212.214.235:7080
167.114.153.111:8080
67.170.250.203:443
121.124.124.40:7080
103.86.49.11:8080
172.91.208.86:80
190.164.104.62:80
201.241.127.190:80
66.76.12.94:8080
190.108.228.27:443

恶意URL

hxxp://tudorinvest[.]com/wp-admin/rGtnUb5f/
hxxp://dp-womenbasket[.]com/wp-admin/Li/
hxxp://stylefix[.]co/guillotine-cross/CTRNOQ/
hxxp://ardos.com[.]br/simulador/bPNx/
hxxps://sangbadjamin[.]com/move/r/
hxxps://asimglobaltraders[.]com/baby-rottweiler/duDm64O/
hxxp://sell.smartcrowd[.]ae/wp-admin/CLs6YFp/
hxxps://chromadiverse[.]com/wp-content/OzOlf/
hxxp://rout66motors[.]com/wp-admin/goi7o8/
hxxp://caspertour.asc-florida[.]com/wp-content/gwZbk/

样本MD5

4c3b6e5b52268bb463e8ebc602593d9e
0ca86e8da55f4176b3ad6692c9949ba4
8d4639aa32f78947ecfb228e1788c02b
28df8461cec000e86c357fdd874b717e
82228264794a033c2e2fc71540cb1a5d
8fc87187ad08d50221abc4c05d7d0258
b30dd0b88c0d10cd96913a7fb9cd05ed
c37c5b64b30f2ddae58b262f2fac87cb
3afb20b335521c871179b230f9a0a1eb
92816647c1d61c75ec3dcd82fecc08b2

七、总结

Emotet展现了现代恶意软件的典型特征:模块化设计、持续进化、多阶段攻击链。其从单纯的银行木马发展为恶意软件分发平台的过程,体现了网络犯罪生态系统的专业化分工。防御Emotet需要多层次的安全措施,包括技术防护、用户教育和威胁情报共享。

Emotet银行木马全面分析报告 一、Emotet概述 Emotet是一种高度复杂的银行木马,自2014年首次被发现以来,不断进化演变,已成为网络安全领域最严重的威胁之一。其主要特点包括: 初始目标 :主要针对德国和奥地利银行客户 传播方式 :通过垃圾邮件传播,带有恶意附件或链接 功能演变 :从简单的银行凭证窃取发展为模块化恶意软件平台 持久性 :活跃6年以上,持续更新攻击技术和功能模块 二、历史演变与技术发展 2014年 首次发现 :2014年6月由TrendMicro发现 初始功能 :浏览器劫持用户银行凭证 传播媒介 :伪装成银行电子邮件的垃圾邮件 秋季更新 : HTTP(S)流量模块 Outlook电子邮件地址收集模块 Mail PassView密码窃取模块 垃圾邮件模块 DDoS攻击模块 自动转账系统(ATS)功能 2015年 新版本变化 : 新的内置RSA公钥 字符串加密 ATS脚本更新 目标扩展至瑞士银行客户 年中活动 :C&C服务器无响应,目标为奥地利、德国和波兰客户 2016年 Emotet redux版本 : 使用RIG-E和RIG-V漏洞工具包 C&C通信协议变更: 小数据量( <4KB):GET请求,数据在HTTP头Cookie字段传输 大数据量:POST请求 加密算法从RC4升级为AES C&C服务器返回404错误头,正文传输加密负载 2017年 4月攻击 : 波兰大规模垃圾邮件攻击 使用JavaScript文件伪装(如DHL、发票等文件名) 示例JS文件: dhl__numer__zlecenia___4787769589_____kwi___12___2017.js invoice__924__apr___24___2017___lang___gb___gb924.js telekom_2017_04rechnung_60030039794.js 5月演变 : 传播方式改为Office文档附件 文档包含伪装成MS Word消息的图像 诱导用户启用宏 6月更新 : 引入Network Spreader工具(后成为模块) 示例文件: bypass.exe :通过内置字典搜索网络资源 service.exe :在远程系统创建自动运行 7月协议变更 : 弃用GET请求,全部使用POST 示例MD5:643e1f4c5cbaeebc003faee56152f9cb 8月更新 : Network Spreader作为DLL集成 新模块编译日期:2017年7月24日 示例MD5:9c5c9c4f019c330aadcefbb781caac41 2018年 1月 :开始传播Panda银行木马(Zeus Panda) 4月 : 新增无线网络模块 使用字典攻击访问Wi-Fi 示例MD5:75d65cea0a33d11a2a74c703dbd2ad99 更新模块包含新service.exe 示例MD5:d7c5bf24904fc73b0481f6c7cde76e2a 恢复GET请求(用于 <1KB数据) Cookie字段格式变更: %u = (新增空格) 6月 :Trickster/Trickbot开始利用Emotet传播 7月 : 新增UPnP模块(基于libminiupnc) 在路由器上启用端口转发 使受感染计算机成为C&C代理 示例MD5:0f1d4dd066c0277f82f74145a7d2c48e 8月 : 出现Ryuk勒索软件感染链(Emotet→Trickster→Ryuk) Network Spreader密码列表更新 示例MD5:3f82c2a733698f501850fdf4f7c00eb7 10月 : Outlook模块更新 窃取数据限制为16KB(大消息截断) 示例MD5:64C78044D2F6299873881F8B08D40995 2019年 HTTP协议变更 : 切换到POST请求 使用字典创建路径 示例MD5:beaf5e523e8e3e3fb9dc2a361cda0573 3月 : 删除HTTP内容类型:multipart/form data 数据使用Base64和UrlEncode编码 示例MD5:98fe402ef2b8aa2ca29c4ed133bbfe90 5-8月 :C&C服务器暂停活动 11月 : HTTP路径改为随机生成字符串 示例MD5:dd33b9e4f928974c72539cd784ce9d20 2020年 2月 : HTTP路径改为随机生成单词 二进制部分更新: 放弃Google Protocol Buffer 压缩算法从zlib改为liblzf 2-7月 :C&C活动下降,垃圾邮件数量降至零 7月后 : 垃圾邮件活动恢复 出现图片和memes替换恶意载荷的变种 三、技术细节分析 传播方式 初始传播 : 垃圾邮件携带恶意附件或链接 伪装成银行、物流公司等正式邮件 使用社会工程学诱导用户执行恶意文件 文件类型演变 : JavaScript文件(2017年初) Office文档(2017年中) 宏启用诱导 模块化架构 核心模块 : 网络通信 持久化 更新机制 功能模块 : 邮件窃取(Outlook) 密码窃取(Mail PassView) 网络传播(Network Spreader) 无线网络攻击 UPnP端口转发 C&C通信 协议演变 : 早期:明文HTTP 2016年:AES加密,404错误伪装 数据传输方式变更: GET→POST→GET/POST混合→纯POST 路径生成方式变更: 固定→字典生成→随机字符串→随机单词 加密方式 : 早期:RC4 2016年后:AES 横向移动 Network Spreader : 内置字典攻击 自动复制到网络共享 创建自动运行项 UPnP模块 : 路由器端口转发 绕过NAT限制 建立C&C代理 四、攻击链与关联威胁 独立攻击 : 银行凭证窃取 自动转账(ATS) 数据窃取 关联恶意软件 : Panda银行木马(2018) Trickster/Trickbot(2018) Ryuk勒索软件(2018) 五、防御建议 技术防护 : 禁用Office宏执行 阻止可疑JavaScript文件 监控异常网络通信(特别是404响应含加密数据) 限制UPnP功能 安全意识 : 警惕不明邮件附件 验证发件人真实性 不启用不明文档的宏 系统加固 : 更新漏洞补丁 使用强密码策略 限制网络共享权限 六、IOC(入侵指标) C&C服务器 恶意URL 样本MD5 七、总结 Emotet展现了现代恶意软件的典型特征:模块化设计、持续进化、多阶段攻击链。其从单纯的银行木马发展为恶意软件分发平台的过程,体现了网络犯罪生态系统的专业化分工。防御Emotet需要多层次的安全措施,包括技术防护、用户教育和威胁情报共享。