变种入侵?Emotet木马变种预警
字数 1663 2025-08-18 11:38:37

Emotet木马变种分析与防护指南

一、Emotet木马概述

1.1 木马定义

木马程序(Trojan horse program)是一种潜伏在计算机系统中,可受外部用户控制以窃取本机信息或控制权的恶意软件。主要危害包括:

  • 占用系统资源,降低计算机性能
  • 窃取敏感信息(QQ账号、游戏账号、银行账号等)
  • 将受感染主机作为攻击跳板

1.2 Emotet背景

Emotet最初是一种银行木马,通过注入计算机代码到受感染计算机的网络堆栈来获取财务信息。其特点包括:

  • 模块化架构:可根据不同需求加载不同功能模块
  • 自我传播能力:可在网络内自动扩散
  • 商业模式转变:从专门针对银行客户转变为为其他威胁行为者提供恶意软件分发服务

二、样本基本信息

  • 发现时间:2019年5月(样本创建于2015年11月12日)
  • 运行环境:Windows 7 32位系统
  • 分析工具:Ollydbg、Wireshark、IDA Pro
  • 文件MD5:046029df31a8d03a48e12d144fa51f0a

三、行为流程分析

3.1 初始阶段

  1. 代码解密:在内存中提取并解密一段代码,跳转到该代码执行
  2. 自修改功能:向内存地址00400000写入新代码,逐节修改原样本
  3. 进程创建
    • 创建命令行参数用于进程判断
    • 主进程通过CreateProcess()创建子进程后退出
    • 子进程以悬挂模式生成

3.2 子进程行为

  1. 系统信息收集

    • 获取驱动器信息
    • 创建互斥量(Global开头)
    • 加载advapi32.dll、shell32.dll中的函数

  2. 持久化机制

    • 随机拼接字符串作为文件名(如"random"、"key")
    • 将自身复制到C:\Windows\system32\目录
    • 创建服务并修改服务描述增加迷惑性
    • 启动服务后结束子进程

3.3 服务模式行为

  1. 功能模块加载

    • 加载crypt32.dll、urlmon.dll等关键库
    • 准备加密和网络通信功能

  2. 信息收集与外传

    • 收集用户名、系统版本、运行进程等信息
    • 从内存地址0040F710获取C&C服务器IP(如80.0.106.83)
    • 随机选取字符串拼接URL
    • 构造HTTP请求(包含Referer等头字段)
    • 使用GetTickCount()返回值加密作为参数名
    • 加密系统信息作为请求体发送

  3. 命令执行

    • 循环尝试连接不同C&C服务器直至成功
    • 读取服务器返回数据(InternetReadFile())
    • 解密返回数据后执行后续操作

  4. 后续攻击

    • 可能下载内网感染组件、暴力破解工具或勒索软件
    • 造成大规模财产损失

四、威胁指标(IOCs)

4.1 文件指标

  • MD5: 046029df31a8d03a48e12d144fa51f0a

4.2 C&C服务器

80.0.106.83/odbc
80.0.106.83/schema/forced 
186.71.75.2/acquire
186.71.75.2/iplk/prep/loadan/merge
186.71.75.2/enabled/nisp/free

五、防护措施

5.1 基础防护

  1. 端口管理

    • 关闭易受攻击端口(139, 445等)

  2. 密码策略

    • 避免使用弱口令密码
    • 实施强密码策略

  3. 安全更新

    • 定期更新病毒库
    • 及时安装系统安全补丁

5.2 高级防护

  1. 威胁检测系统

    • 部署"铁穹高级持续性威胁预警系统"
    • 实时监控异常网络行为

  2. 行为分析

    • 监控可疑的进程创建行为
    • 警惕系统目录下的异常文件创建

  3. 网络监控

    • 拦截对已知C&C服务器的连接尝试
    • 分析异常HTTP请求模式

六、应急响应建议

  1. 隔离感染主机:立即断开网络连接
  2. 收集证据:保留内存转储和磁盘镜像
  3. 彻底清除
    • 检查并删除system32目录下的可疑文件
    • 清理异常服务项
  4. 全网扫描:检查内网其他主机是否被感染
  5. 密码重置:更换所有可能泄露的凭证

七、技术分析要点

  1. 自修改代码:样本在00400000地址重写自身代码
  2. 进程注入:通过CreateProcess和悬挂模式实现
  3. 持久化技术:服务安装+系统目录复制
  4. 通信加密:使用GetTickCount()值加密参数
  5. C&C通信:多IP轮询确保连接成功率

通过全面了解Emotet变种的工作机制,安全团队可以更有针对性地部署防御措施,有效遏制此类高级威胁的传播和破坏。

Emotet木马变种分析与防护指南 一、Emotet木马概述 1.1 木马定义 木马程序(Trojan horse program)是一种潜伏在计算机系统中,可受外部用户控制以窃取本机信息或控制权的恶意软件。主要危害包括: 占用系统资源,降低计算机性能 窃取敏感信息(QQ账号、游戏账号、银行账号等) 将受感染主机作为攻击跳板 1.2 Emotet背景 Emotet最初是一种银行木马,通过注入计算机代码到受感染计算机的网络堆栈来获取财务信息。其特点包括: 模块化架构:可根据不同需求加载不同功能模块 自我传播能力:可在网络内自动扩散 商业模式转变:从专门针对银行客户转变为为其他威胁行为者提供恶意软件分发服务 二、样本基本信息 发现时间 :2019年5月(样本创建于2015年11月12日) 运行环境 :Windows 7 32位系统 分析工具 :Ollydbg、Wireshark、IDA Pro 文件MD5 :046029df31a8d03a48e12d144fa51f0a 三、行为流程分析 3.1 初始阶段 代码解密 :在内存中提取并解密一段代码,跳转到该代码执行 自修改功能 :向内存地址00400000写入新代码,逐节修改原样本 进程创建 : 创建命令行参数用于进程判断 主进程通过CreateProcess()创建子进程后退出 子进程以悬挂模式生成 3.2 子进程行为 系统信息收集 : 获取驱动器信息 创建互斥量(Global开头) 加载advapi32.dll、shell32.dll中的函数 持久化机制 : 随机拼接字符串作为文件名(如"random"、"key") 将自身复制到 C:\Windows\system32\ 目录 创建服务并修改服务描述增加迷惑性 启动服务后结束子进程 3.3 服务模式行为 功能模块加载 : 加载crypt32.dll、urlmon.dll等关键库 准备加密和网络通信功能 信息收集与外传 : 收集用户名、系统版本、运行进程等信息 从内存地址0040F710获取C&C服务器IP(如80.0.106.83) 随机选取字符串拼接URL 构造HTTP请求(包含Referer等头字段) 使用GetTickCount()返回值加密作为参数名 加密系统信息作为请求体发送 命令执行 : 循环尝试连接不同C&C服务器直至成功 读取服务器返回数据(InternetReadFile()) 解密返回数据后执行后续操作 后续攻击 : 可能下载内网感染组件、暴力破解工具或勒索软件 造成大规模财产损失 四、威胁指标(IOCs) 4.1 文件指标 MD5: 046029df31a8d03a48e12d144fa51f0a 4.2 C&C服务器 五、防护措施 5.1 基础防护 端口管理 : 关闭易受攻击端口(139, 445等) 密码策略 : 避免使用弱口令密码 实施强密码策略 安全更新 : 定期更新病毒库 及时安装系统安全补丁 5.2 高级防护 威胁检测系统 : 部署"铁穹高级持续性威胁预警系统" 实时监控异常网络行为 行为分析 : 监控可疑的进程创建行为 警惕系统目录下的异常文件创建 网络监控 : 拦截对已知C&C服务器的连接尝试 分析异常HTTP请求模式 六、应急响应建议 隔离感染主机 :立即断开网络连接 收集证据 :保留内存转储和磁盘镜像 彻底清除 : 检查并删除 system32 目录下的可疑文件 清理异常服务项 全网扫描 :检查内网其他主机是否被感染 密码重置 :更换所有可能泄露的凭证 七、技术分析要点 自修改代码 :样本在00400000地址重写自身代码 进程注入 :通过CreateProcess和悬挂模式实现 持久化技术 :服务安装+系统目录复制 通信加密 :使用GetTickCount()值加密参数 C&C通信 :多IP轮询确保连接成功率 通过全面了解Emotet变种的工作机制,安全团队可以更有针对性地部署防御措施,有效遏制此类高级威胁的传播和破坏。