??

 Emotet在2014年出現(xiàn)時只是一款銀行木馬，經(jīng)過近幾年的發(fā)展，Emotet的功能不斷擴展，已經(jīng)進化成為完整的惡意軟件分發(fā)服務。

Emotet發(fā)展史

Emotet 惡意軟件第一個版本出現(xiàn)于2014年，通過攔截互聯(lián)網(wǎng)流量來竊取銀行憑證信息。當時，Emotet惡意軟件的攻擊目標是德國和奧地利的銀行。

很快，第二個版本出現(xiàn)了，并增加了一些額外的模塊，比如轉(zhuǎn)賬、垃圾郵件、DDoS和地址簿竊取模塊。Emotet 第三版出現(xiàn)于2015年，主要升級了反繞過功能，并將瑞士的銀行加入了潛在攻擊目標列表。

2016年12月，Emotet第4個版本出現(xiàn)，修改了攻擊向量。第4版最初主要依賴RIG 4.0漏洞利用套件來進入受害者計算機，隨后轉(zhuǎn)向垃圾郵件。之后，第4版從使用自己的銀行模塊轉(zhuǎn)向在受感染的機器上釋放其他的木馬。

根據(jù)使用的模塊不同，Emotet 惡意軟件可以執(zhí)行大量的惡意活動。病毒的大多數(shù)版本包括一個垃圾郵件模塊，可以通過從受感染的機器來發(fā)送惡意郵件來傳播惡意軟件。另一個非常常見的模塊是憑證竊取模塊，允許Emotet 來從web瀏覽器和郵件客戶端竊取敏感信息。

從2017年開始，Emotet木馬中出現(xiàn)了傳播器模塊，可以用來感染通過本地網(wǎng)絡互聯(lián)的所有機器。此外，病毒還實現(xiàn)了地址簿竊取模塊，分析了郵件發(fā)送者和接收者之間的關(guān)系，并用收集來的信息來增強隨后從用戶計算機發(fā)起的攻擊活動的有效性，用個人定制化的垃圾郵件來攻擊朋友、家庭成員和大學同學。

Emotet 惡意軟件通過模塊的使用和不同的反繞過函數(shù)提供了許多靈活的功能，還實現(xiàn)了駐留。為確保惡意軟件在受感染的機器中，惡意軟件會注入運行的進程中，一般是Explorer.exe。此外，惡意軟件還用計劃任務和修改注冊表的方法。

Emotet 惡意軟件分析

ANY.RUN 的一個視頻展示了Emotet的執(zhí)行過程，對該惡意軟件的行為進行了詳細分析。

??

圖 1: emotet執(zhí)行的進程樹

??

圖 2: Emotet 分析的文本報告

Emotet 執(zhí)行過程

Emotet 木馬最初是通過惡意垃圾郵件傳播的，攻擊鏈的第一步就是使用社會工程技術(shù)誘使?jié)撛谑芎φ叽蜷_office 附件。文件打開并啟用了宏后，用戶無需進行其他操作。下載的文件包含有惡意的VBA 代碼，代碼會在文件被打開后運行。感染過程中的其他選項包括使用WMI 來啟用下載payload的Powershell 腳本。Powershell 腳本是編碼的，，Emotet 需要其他的步驟來在受感染的系統(tǒng)中實現(xiàn)駐留，復制自己到%AppData% 文件夾中，并修改注冊表中的autorun值。經(jīng)過所有的感染過程，惡意軟件會與服務器發(fā)送信息和接收信息。在執(zhí)行的最后一步，Emotet 會等待來自C2 服務器的命令。

Emotet傳播方式

Emotet惡意軟件最主要的傳播方式是惡意垃圾郵件活動。該木馬使用地址簿竊取模塊來獲取受害者郵件賬戶的所有垃圾郵件，并發(fā)送給被劫持賬戶的所有聯(lián)系人。

由于收到郵件的人一般都是發(fā)送者認識的人，因此Emotet攻擊的成功率很高。受害者接收到的郵件中一般都含有一個惡意URL，點擊后會下載惡意軟件。垃圾郵件并不是Emotet使用的唯一傳播方式，還會使用特定的Windows漏洞在用戶完全不知情的情況下入侵用戶機器。

總結(jié)

Emotet 惡意軟件是目前活躍的最復雜、最具破壞性的木馬。自2014年出現(xiàn)開始，就不斷進化，引入了反繞過特征，獲取了蠕蟲功能，甚至從最初的信息竊取轉(zhuǎn)向在被感染的機器上安裝其他木馬。Emotet 可以在臨近系統(tǒng)中傳播，可以很容易地感染同一網(wǎng)絡中的其他機器，使得該攻擊成為受害者的噩夢。隨著惡意軟件中加入了一系列的反分析技術(shù)使得這一情況變得更加復雜。

本文翻譯自：https://any.run/malware-trends/emotet如若轉(zhuǎn)載，請注明原文地址。