钓鱼邮件分发Emotet银行木马
字数 1417 2025-08-18 11:39:08

Emotet银行木马分析与防护指南

1. Emotet背景介绍

Emotet是一种高度模块化的银行木马恶意软件,最初设计用于窃取银行凭证,但后来演变为一个恶意软件分发平台。其主要特点包括:

  • 通过代码注入网络堆栈获取财务信息
  • 模块化架构允许灵活扩展功能
  • 具备自我传播能力
  • 为其他威胁行为者提供恶意软件包装和交付服务

2. 攻击行为流程分析

2.1 初始感染阶段:钓鱼邮件

攻击者使用包含恶意宏代码的Microsoft文档作为邮件附件,诱骗受害者启用宏功能。具体过程:

  1. 邮件附件包含经过混淆的宏代码
  2. 宏代码核心功能:调用powershell.exe执行Base64编码的加密代码
  3. 解密后的代码从指定URL下载恶意负载(620.exe)
  4. 文件大小检查:仅当下载文件大于35841字节时才执行

已知恶意下载URL:

http://timurjayaindosteel.com/wp-content/suqzjgt3871/
http://gioitrerusseykeo.com/wp-content/81q8053/
https://insideiost.com/is32htu/zbmm4323/
http://supremesaadiq.com/wordpress/uf7kz53/
http://kelseygouldie.com/cgi-bin/91ap40244/

2.2 Emotet核心功能分析

下载的样本执行以下操作:

  1. 内存操作

    • 在内存中分配空间
    • 释放并解密shellcode(Emotet核心代码)

  2. 进程检查

    • 生成参数判断进程启动方式
    • 无参启动:创建含参子进程后退出父进程
    • 含参启动:继续执行恶意功能

  3. 持久化机制

    • 生成随机字符串拼接文件名(如wcequery)
    • 获取用户名生成通信标识(如ROOTXPC_20C82D8C)
    • 尝试删除machinefolders.exe
    • 复制自身至system32目录
    • 将复制体创建为服务
    • 修改服务描述增强隐蔽性
    • 添加注册表自启动项

  4. C&C通信

    • 生成加密密钥
    • 枚举进程信息并与主机信息一起加密
    • 从内存地址获取C&C服务器IP(如181.59.253.20)
    • 随机选取字符串拼接URL
    • 构建HTTP Referer字段
    • 使用Base64编码加密数据
    • 生成随机字符串作为参数
    • 特殊字符替换("+"→"%2B", "/"→"%2F", "="→"%3D")
    • 拼接通信信息发送至C&C
    • IP失效时自动切换至备用IP

  5. 数据执行

    • 通过CreateThread()执行获取的shellcode
    • 通过CreateProcessAsUserW()执行下载文件
    • 通过CreateProcessW()执行下载文件

2.3 后续恶意组件

虽然部分URL已失效,但关联分析表明可能下载的组件包括:

  1. 私密信息窃取模块:收集用户名密码等凭证
  2. 内网横向移动模块:感染内网其他主机
  3. 银行木马模块:如TrickBot等
  4. 勒索软件模块:加密文件勒索赎金

3. 技术指标(IOCs)

MD5哈希:

7229569b8e3d544c2901bcfa622c0c28
e83c5ba6be05ec51ae6ceb2470fcfdf3

C&C服务器:

81.59.253.20
14.160.93.230
74.208.68.48
104.131.58.132
68.183.190.199
62.75.143.100
159.203.204.126
151.80.142.33
123.168.4.66
46.28.111.142
46.101.212.195
183.82.97.25
190.10.194.42
217.199.160.224
186.1.41.111
185.86.148.222
185.187.198.10
114.79.134.129
200.57.102.71
80.85.87.122
87.106.77.40
190.230.60.129
125.99.61.162
142.93.82.57
77.55.211.77
82.196.15.205
139.5.237.27
178.249.187.151

4. 防护措施建议

  1. 宏安全

    • 不执行来历不明文档中的宏代码
    • 在办公软件中禁用宏或设置为高安全级别

  2. 邮件安全

    • 不下载可疑邮件附件
    • 对邮件附件进行沙箱检测

  3. 系统防护

    • 及时更新杀毒软件病毒库
    • 定期进行系统安全扫描
    • 监控系统服务异常变更

  4. 高级防护方案

    • 部署"铁穹高级持续性威胁系统"
    • 结合流量检测与沙箱分析技术
    • 监控网络异常通信行为

  5. 网络防护

    • 阻断已知恶意IP和域名的通信
    • 监控异常外连行为

  6. 安全意识

    • 定期进行员工安全意识培训
    • 建立可疑邮件报告机制

5. 分析工具与方法

  1. 分析环境

    • Windows 7 32位系统

  2. 使用工具

    • Ollydbg:动态调试分析
    • Wireshark:网络流量分析

  3. 分析方法

    • 行为监控:记录样本文件操作、注册表修改等
    • 代码逆向:分析核心功能实现
    • 网络通信分析:解密C&C通信协议
    • 关联分析:识别相关恶意组件
Emotet银行木马分析与防护指南 1. Emotet背景介绍 Emotet是一种高度模块化的银行木马恶意软件,最初设计用于窃取银行凭证,但后来演变为一个恶意软件分发平台。其主要特点包括: 通过代码注入网络堆栈获取财务信息 模块化架构允许灵活扩展功能 具备自我传播能力 为其他威胁行为者提供恶意软件包装和交付服务 2. 攻击行为流程分析 2.1 初始感染阶段:钓鱼邮件 攻击者使用包含恶意宏代码的Microsoft文档作为邮件附件,诱骗受害者启用宏功能。具体过程: 邮件附件包含经过混淆的宏代码 宏代码核心功能:调用powershell.exe执行Base64编码的加密代码 解密后的代码从指定URL下载恶意负载(620.exe) 文件大小检查:仅当下载文件大于35841字节时才执行 已知恶意下载URL: 2.2 Emotet核心功能分析 下载的样本执行以下操作: 内存操作 : 在内存中分配空间 释放并解密shellcode(Emotet核心代码) 进程检查 : 生成参数判断进程启动方式 无参启动:创建含参子进程后退出父进程 含参启动:继续执行恶意功能 持久化机制 : 生成随机字符串拼接文件名(如wcequery) 获取用户名生成通信标识(如ROOTXPC_ 20C82D8C) 尝试删除machinefolders.exe 复制自身至system32目录 将复制体创建为服务 修改服务描述增强隐蔽性 添加注册表自启动项 C&C通信 : 生成加密密钥 枚举进程信息并与主机信息一起加密 从内存地址获取C&C服务器IP(如181.59.253.20) 随机选取字符串拼接URL 构建HTTP Referer字段 使用Base64编码加密数据 生成随机字符串作为参数 特殊字符替换("+"→"%2B", "/"→"%2F", "="→"%3D") 拼接通信信息发送至C&C IP失效时自动切换至备用IP 数据执行 : 通过CreateThread()执行获取的shellcode 通过CreateProcessAsUserW()执行下载文件 通过CreateProcessW()执行下载文件 2.3 后续恶意组件 虽然部分URL已失效,但关联分析表明可能下载的组件包括: 私密信息窃取模块:收集用户名密码等凭证 内网横向移动模块:感染内网其他主机 银行木马模块:如TrickBot等 勒索软件模块:加密文件勒索赎金 3. 技术指标(IOCs) MD5哈希: C&C服务器: 4. 防护措施建议 宏安全 : 不执行来历不明文档中的宏代码 在办公软件中禁用宏或设置为高安全级别 邮件安全 : 不下载可疑邮件附件 对邮件附件进行沙箱检测 系统防护 : 及时更新杀毒软件病毒库 定期进行系统安全扫描 监控系统服务异常变更 高级防护方案 : 部署"铁穹高级持续性威胁系统" 结合流量检测与沙箱分析技术 监控网络异常通信行为 网络防护 : 阻断已知恶意IP和域名的通信 监控异常外连行为 安全意识 : 定期进行员工安全意识培训 建立可疑邮件报告机制 5. 分析工具与方法 分析环境 : Windows 7 32位系统 使用工具 : Ollydbg:动态调试分析 Wireshark:网络流量分析 分析方法 : 行为监控:记录样本文件操作、注册表修改等 代码逆向:分析核心功能实现 网络通信分析:解密C&C通信协议 关联分析:识别相关恶意组件