Emotet线程劫持邮件攻击技术分析教学文档

Emotet线程劫持邮件攻击技术分析教学文档 一、Emotet恶意软件概述 Emotet是目前互联网安全环境下最常见的基于电子邮件的安全威胁，其传播能力远超其他恶意软件家族。该恶意软件主要通过恶意垃圾邮件活动进行传播。 二、线程劫持技术简介 线程劫持(Thread Hijacking)是一种高级电子邮件攻击技术，Emotet利用该技术实现更高效的传播： 从受感染设备的电子邮件客户端窃取原始邮件和回复信息 伪造被盗邮件的回复信息来欺骗合法用户 相比传统技术，成功率更高，因为： 利用了真实的邮件往来记录 伪装成已知联系人 邮件内容更具可信度 三、攻击流程分析 1. 感染初始阶段 攻击目标：存在漏洞的Windows 10主机 使用的邮件客户端：Microsoft Outlook 感染方式：通过包含恶意宏的Word文档 2. 数据收集阶段 Emotet通过HTTP POST请求发送从目标主机收集的数据： 数据传输特点： 数据在发送前会进行编码或加密 大多数POST请求包含少量编码信息( <1000字节) 包含4KB数据填充和表单Header数据 关键数据收集： 在感染后约1小时(示例中16:34 UTC)发送大量数据(13.9KB) 这些数据包含来自邮件客户端的完整邮件链信息 3. 线程劫持实施 攻击者利用收集的邮件信息实施线程劫持： 选择目标：原始邮件的发送者(示例中t**** .h****** @yahoo.com) 伪造回复： 伪装成受感染邮箱(k r ****** @outlook.com)发送 内容基于真实邮件往来 攻击载荷： 包含恶意宏的Word文档附件 或包含恶意文档下载链接 4. 邮件伪造细节 虽然邮件显示来自受感染主机的邮箱地址，但通过Header分析可发现： 实际发送者：位于巴西地区的僵尸主机 技术要点：发件人地址可伪造，但邮件头会暴露真实来源 四、技术防御建议 用户教育： 警惕来自已知联系人的异常邮件 不轻易打开附件或点击链接，即使邮件看似可信 技术防护： 启用宏安全设置，禁用来自互联网的宏 部署邮件安全网关，检测异常邮件头 监控异常HTTP POST请求(特别是包含编码数据的小流量) 系统防护： 及时更新Windows系统和Office软件 使用高级威胁防护解决方案 五、取证分析要点 网络流量分析： 关注异常的HTTP POST请求 注意小数据量(约1KB)后突然出现的大数据量传输(约14KB) 邮件分析： 检查邮件头信息，识别真实发送源 比对邮件内容与历史邮件的一致性 主机取证： 检查Outlook客户端的异常活动 查找可疑的Word文档和宏执行记录 六、参考资源 Emotet线程劫持合法邮件样本 Emotet线程劫持恶意邮件样本