深入分析恶意软件 Emotet 的最新变种
字数 2139 2025-08-06 08:35:37

Emotet恶意软件最新变种深入分析与防御指南

1. Emotet恶意软件概述

Emotet是一种成熟的恶意软件家族,已经活跃多年。最新捕获的变种采用Microsoft Word文档作为初始感染载体,通过宏代码执行恶意行为,最终下载并运行Emotet有效载荷。

2. 感染链分析

2.1 初始感染载体

  • 文件名称: PAY09735746167553.doc
  • 诱骗手段: 文档打开时显示安全警告,诱导用户点击"启用内容"按钮
  • 恶意组件: 文档包含恶意VBA宏代码

2.2 宏代码执行流程

  1. 用户启用宏内容后,VBA代码自动执行
  2. 生成并执行大型PowerShell脚本
  3. PowerShell脚本从动态生成的URL下载Emotet有效载荷

2.3 有效载荷部署

下载的Emotet执行以下操作:

  1. 检查自身是否位于%LocalAppData%\culturesource\目录
  2. 如不在目标位置,则:
    • 创建culturesource目录
    • 将自身从临时目录移动到%LocalAppData%\culturesource\
    • 重命名为culturesource.exe
  3. 通过CreateProcessW启动新位置的副本
  4. 原始进程退出

3. 反分析技术

3.1 代码混淆技术

  • 函数分割: 将单个函数分割成多个部分,通过jmp指令连接
  • 字符串加密: 所有字符串和API名称都经过加密,使用时动态解密
  • API动态解析: 通过解密后的字符串动态加载DLL和解析API地址

3.2 执行流程混淆

  • Timer回调机制: 使用SetTimer设置1000ms间隔的回调函数
  • 分阶段执行: 通过Timer回调函数的不同case执行不同功能

4. 持久化机制

4.1 服务创建

  • 通过OpenSCManagerW打开服务控制管理器
  • 创建名为"culturesource"的Windows服务
  • 将自身复制到%windir%\system32
  • 设置服务启动类型为"自动"

4.2 注册表修改

  • HKCU\Software\Microsoft\Windows\CurrentVersion\Run下添加自启动项
  • 项名称为"culturesource"

5. 功能分析

5.1 信息收集

收集的系统信息包括:

  • 计算机名称(GetComputerNameW)
  • 文件系统和卷信息(GetVolumeInformationW)
  • Windows版本(RtlGetVersion)
  • 系统和CPU信息(GetNativeSystemInfo)
  • 运行进程列表(CreateToolhelp32Snapshot, Process32FirstW, Process32NextW)
  • 从PEB偏移0x1D4处获取Session ID
  • 计算自身文件的CRC32值

5.2 C&C通信

  • 数据封装: 收集的信息被组织到特定数据结构中
  • 数据加密: 整个数据结构加密后Base64编码
  • 通信伪装: Base64数据作为HTTP cookie值传输
  • C&C服务器响应: 可能包含更新的Emotet二进制文件

6. 网络基础设施

6.1 C&C服务器列表

样本硬编码了62个C&C服务器的IP和端口组合,部分示例如下:

71.91.161.118:217
70.164.196.211:995
175.101.79.120:80
187.233.136.39:143
35.107.250.192:995
50.224.156.190:8080
...

6.2 下载URL示例

hxxp://muathangnhom.com/6DOpkmOL9_yfO
hxxp://gmcvietnam.vn/abMbIaTzHSDkAq
hxxp://hugoclub.sk/yCq4xkYzeqAJK_v
hxxp://foreprojects.webedge.com.ng/Lc3UYXyQixr_Dp
hxxp://evonline.liceoriosdechile.com/NpDgofVhpankbq_I8AaJbzQj

7. 检测与防御

7.1 检测指标

  • 文件哈希:

    • PAY09735746167553.doc: 1194bab2c4a8e63e59ef01220ebe8e4d3511b12a16da30e713c2fbee6c2cb520
    • Emotet有效载荷: 7C5CDC5B738F5D7B40140F2CC0A73DB61845B45CBC2A297BEE2D950657CAB658

  • 检测名称:

    • 恶意文档: VBA/Agent.AFD!tr.dldr
    • Emotet有效载荷: W32/Kryptik.GBUH!tr

7.2 防御措施

  1. 宏安全:

    • 禁用Office文档中的宏执行
    • 对可信文档启用宏前进行验证

  2. 端点防护:

    • 部署能够检测Emotet变种的反病毒解决方案
    • 监控可疑的PowerShell活动

  3. 网络防护:

    • 阻止已知的C&C服务器IP和URL
    • 部署IPS特征检测C&C通信

  4. 系统加固:

    • 监控服务创建和注册表修改
    • 限制PowerShell执行权限

  5. 用户教育:

    • 培训用户识别可疑文档
    • 警告不要启用未知文档的宏内容

8. 应急响应建议

  1. 隔离感染主机
  2. 检查以下项目:
    • %LocalAppData%\culturesource\culturesource.exe
    • %windir%\system32\culturesource.exe
    • 服务列表中名为"culturesource"的服务
    • 注册表HKCU\Software\Microsoft\Windows\CurrentVersion\Run中的"culturesource"项
  3. 收集网络日志检查与C&C服务器的通信
  4. 更新安全防护规则以检测此变种
  5. 全盘扫描系统查找残留组件

通过以上全面的分析和防御措施,组织可以有效应对Emotet最新变种的威胁,保护系统安全。

Emotet恶意软件最新变种深入分析与防御指南 1. Emotet恶意软件概述 Emotet是一种成熟的恶意软件家族,已经活跃多年。最新捕获的变种采用Microsoft Word文档作为初始感染载体,通过宏代码执行恶意行为,最终下载并运行Emotet有效载荷。 2. 感染链分析 2.1 初始感染载体 文件名称 : PAY09735746167553.doc 诱骗手段 : 文档打开时显示安全警告,诱导用户点击"启用内容"按钮 恶意组件 : 文档包含恶意VBA宏代码 2.2 宏代码执行流程 用户启用宏内容后,VBA代码自动执行 生成并执行大型PowerShell脚本 PowerShell脚本从动态生成的URL下载Emotet有效载荷 2.3 有效载荷部署 下载的Emotet执行以下操作: 检查自身是否位于 %LocalAppData%\culturesource\ 目录 如不在目标位置,则: 创建 culturesource 目录 将自身从临时目录移动到 %LocalAppData%\culturesource\ 重命名为 culturesource.exe 通过 CreateProcessW 启动新位置的副本 原始进程退出 3. 反分析技术 3.1 代码混淆技术 函数分割 : 将单个函数分割成多个部分,通过jmp指令连接 字符串加密 : 所有字符串和API名称都经过加密,使用时动态解密 API动态解析 : 通过解密后的字符串动态加载DLL和解析API地址 3.2 执行流程混淆 Timer回调机制 : 使用 SetTimer 设置1000ms间隔的回调函数 分阶段执行 : 通过Timer回调函数的不同case执行不同功能 4. 持久化机制 4.1 服务创建 通过 OpenSCManagerW 打开服务控制管理器 创建名为"culturesource"的Windows服务 将自身复制到 %windir%\system32 设置服务启动类型为"自动" 4.2 注册表修改 在 HKCU\Software\Microsoft\Windows\CurrentVersion\Run 下添加自启动项 项名称为"culturesource" 5. 功能分析 5.1 信息收集 收集的系统信息包括: 计算机名称( GetComputerNameW ) 文件系统和卷信息( GetVolumeInformationW ) Windows版本( RtlGetVersion ) 系统和CPU信息( GetNativeSystemInfo ) 运行进程列表( CreateToolhelp32Snapshot , Process32FirstW , Process32NextW ) 从PEB偏移0x1D4处获取Session ID 计算自身文件的CRC32值 5.2 C&C通信 数据封装 : 收集的信息被组织到特定数据结构中 数据加密 : 整个数据结构加密后Base64编码 通信伪装 : Base64数据作为HTTP cookie值传输 C&C服务器响应 : 可能包含更新的Emotet二进制文件 6. 网络基础设施 6.1 C&C服务器列表 样本硬编码了62个C&C服务器的IP和端口组合,部分示例如下: 6.2 下载URL示例 7. 检测与防御 7.1 检测指标 文件哈希 : PAY09735746167553.doc: 1194bab2c4a8e63e59ef01220ebe8e4d3511b12a16da30e713c2fbee6c2cb520 Emotet有效载荷: 7C5CDC5B738F5D7B40140F2CC0A73DB61845B45CBC2A297BEE2D950657CAB658 检测名称 : 恶意文档: VBA/Agent.AFD !tr.dldr Emotet有效载荷: W32/Kryptik.GBUH !tr 7.2 防御措施 宏安全 : 禁用Office文档中的宏执行 对可信文档启用宏前进行验证 端点防护 : 部署能够检测Emotet变种的反病毒解决方案 监控可疑的PowerShell活动 网络防护 : 阻止已知的C&C服务器IP和URL 部署IPS特征检测C&C通信 系统加固 : 监控服务创建和注册表修改 限制PowerShell执行权限 用户教育 : 培训用户识别可疑文档 警告不要启用未知文档的宏内容 8. 应急响应建议 隔离感染主机 检查以下项目 : %LocalAppData%\culturesource\culturesource.exe %windir%\system32\culturesource.exe 服务列表中名为"culturesource"的服务 注册表 HKCU\Software\Microsoft\Windows\CurrentVersion\Run 中的"culturesource"项 收集网络日志 检查与C&C服务器的通信 更新安全防护 规则以检测此变种 全盘扫描 系统查找残留组件 通过以上全面的分析和防御措施,组织可以有效应对Emotet最新变种的威胁,保护系统安全。