管Emotet已經(jīng)過時(shí)，但它仍在不斷演變，并一直是當(dāng)前最具威脅的木馬之一。

Emotet的技術(shù)迭代史(2014-2017年)

2018

1月

Emotet開始傳播銀行木馬Panda(Zeus Panda，于2016年首次發(fā)現(xiàn)，并基于泄漏的Zbot銀行木馬源代碼進(jìn)行攻擊，并攔截網(wǎng)站上的擊鍵和輸入表單內(nèi)容)。

4月

4月9日：

4月初，Emotet獲得了一個(gè)通過無線網(wǎng)絡(luò)傳播的模塊(MD5： 75d65cea0a33d11a2a74c703dbd2ad99)，該模塊試圖通過字典攻擊訪問Wi-Fi。它的代碼類似于帶有Wi-Fi連接功能的Network Spreader模塊(bypass.exe)。如果暴力攻擊成功，模塊就會(huì)將有關(guān)網(wǎng)絡(luò)的數(shù)據(jù)傳輸?shù)紺&C。

與bypass.exe一樣，該模塊也作為獨(dú)立文件(a.exe)傳播到自解壓文件(MD5：5afdcffca43f8e7f848ba154ecf12539)中。該存檔文件還包含上述service.exe(MD5：5d6ff5cc8a429b17b5b5dfbf230b2ca4)，與第一個(gè)版本一樣，它除了將受感染計(jì)算機(jī)的名稱發(fā)送給C&C之外，什么也不能做。

自解壓的RAR文件，帶有可通過Wi-Fi傳播的組件

黑客迅速更新了模塊，在幾個(gè)小時(shí)內(nèi)檢測到第一個(gè)版本，研究人員收到了更新的自提取文件(MD5： d7c5bf24904fc73b0481f6c7cde76e2a)，其中包含了一個(gè)新的service.exe，其中包含了Emotet (MD5： 26d21612b676d66b93c51c611fa46773)。

具有更新的service.exe的自解壓RAR文件

Binary Defense公司直到2020年1月才首次公開描述了該模塊，回到舊的傳播機(jī)制和使用舊模塊的代碼看起來有點(diǎn)奇怪，因?yàn)樵?017年bypass.exe和service.exe已經(jīng)合并到一個(gè)DLL模塊中。

4月14日：

Emotet再次開始在HTTP標(biāo)頭的Cookie字段中使用GET請求進(jìn)行數(shù)據(jù)傳輸，以實(shí)現(xiàn)小于1 KB的數(shù)據(jù)傳輸大小，同時(shí)啟動(dòng)POST請求以獲取大量數(shù)據(jù)(MD5：38991b639b2407cbfa2e7c64bb4063c4)。填充Cookie字段的模板也不同，如果以前使用的是Cookie：%X =的形式，那么現(xiàn)在是Cookie：%u =。數(shù)字和等號(hào)之間新添加的空格有助于識(shí)別Emotet流量。

GET請求示例

4月30日：

C&C服務(wù)器暫停了他們的活動(dòng)，直到5月16日才恢復(fù)，之后GET請求中的空間就消失了。

更新后的GET請求示例

6月

另一個(gè)銀行木馬開始使用Emotet進(jìn)行自我傳播，這次是Trickster(或Trickbot)，這是自2016年以來就開始出現(xiàn)的模塊化銀行木馬，也是Dyreza的最佳替代者。2019年Trickster網(wǎng)銀木馬位列第三位,占所有發(fā)現(xiàn)的針對(duì)企業(yè)的金融威脅的12%。2015年內(nèi)，受到銀行木馬攻擊的用戶中，超過40%的用戶是受到Dyreza的攻擊。Dyreza通過有效的網(wǎng)絡(luò)植入，竊取數(shù)據(jù)和網(wǎng)銀系統(tǒng)入口。

7月

首次獲得基于libminiupnpc軟件包的所謂的UPnP模塊(MD5：0f1d4dd066c0277f82f74145a7d2c48e)。該模塊根據(jù)本地網(wǎng)絡(luò)中主機(jī)的請求在路由器上啟用端口轉(zhuǎn)發(fā)。這不僅使攻擊者能夠訪問位于NAT之后的本地網(wǎng)絡(luò)計(jì)算機(jī)，還可以將受感染的計(jì)算機(jī)轉(zhuǎn)變?yōu)镃&C代理。

8月

8月，有報(bào)道稱新的Ryuk勒索軟件感染了病毒，這是自2017年以來對(duì)Hermes勒索軟件的修改。后來發(fā)現(xiàn)，感染鏈?zhǔn)加贓motet，后者下載了Trickster，反過來又安裝了Ryuk。此時(shí)，Emotet和Trickster都配備了通過本地網(wǎng)絡(luò)傳播的功能，而且Trickster利用了SMB中的已知漏洞，這進(jìn)一步促進(jìn)了惡意軟件在本地網(wǎng)絡(luò)中的傳播。再加上Ryuk，這是一個(gè)攻擊力特別強(qiáng)的組合。Ryuk勒索家族最早可追溯至2018年8月，起源于Hermes勒索家族, 此勒索病毒主要通過垃圾郵件、僵尸網(wǎng)絡(luò)下發(fā)、RDP爆破以及漏洞進(jìn)行傳播，使用RSA+AES的方式加密用戶文件,在無私鑰的情況下無法恢復(fù)文件。

月底，網(wǎng)絡(luò)擴(kuò)展器模塊的密碼列表被更新。它們?nèi)匀痪幪?hào)為1000，但是大約有100個(gè)被更改了(MD5： 3f82c2a733698f501850fdf4f7c00eb7)。

解密后的密碼列表

10月

10月12日：

當(dāng)研究人員沒有注冊傳播新模塊或更新時(shí)，C&C服務(wù)器就會(huì)暫停他們的活動(dòng)，直到10月26日活動(dòng)才恢復(fù)。

10月30日：

Outlook的數(shù)據(jù)過濾模塊(MD5：64C78044D2F6299873881F8B08D40995)進(jìn)行了更新。關(guān)鍵的創(chuàng)新是能夠竊取信息本身的內(nèi)容。盡管如此，可竊取數(shù)據(jù)的數(shù)量被限制為16 KB(較大的消息被截?cái)?。

Outlook數(shù)據(jù)導(dǎo)出模塊新舊版本的代碼比較

11月

當(dāng)研究人員沒有注冊傳播新模塊或更新時(shí)，C&C服務(wù)器暫停了他們的活動(dòng)?；顒?dòng)直到12月6日才恢復(fù)。

12月

C&C活動(dòng)僅在2019年1月10日恢復(fù)，因此停機(jī)時(shí)間更長。

2019

3月

3月14日：

Emotet再次修改了HTTP協(xié)議的一部分，切換到POST請求，并使用字典創(chuàng)建路徑。現(xiàn)在已填充了Referer字段，，并且出現(xiàn)了 Content-Type: multipart/form-data appeared. (MD5: beaf5e523e8e3e3fb9dc2a361cda0573)：

POST請求生成函數(shù)的代碼

POST請求的示例

3月20日

協(xié)議的HTTP部分的另一個(gè)更改，Emotet刪除了Content-Type：multipart / form-data。數(shù)據(jù)本身使用Base64和UrlEncode(MD5：98fe402ef2b8aa2ca29c4ed133bbfe90)進(jìn)行編碼。

更新后的POST請求生成函數(shù)的代碼

POST請求的示例

4月

最初的報(bào)告似乎表明，Emotet垃圾郵件正在使用Outlook的新數(shù)據(jù)泄漏模塊所竊取的信息：在電子郵件中觀察到被盜主題、郵件列表和郵件內(nèi)容的使用。

5月

C&C服務(wù)器停止工作了很長一段時(shí)間(三個(gè)月)?；顒?dòng)于2019年8月21日恢復(fù)。然而，在接下來的幾個(gè)星期里，服務(wù)器只傳播更新和模塊，沒有發(fā)現(xiàn)任何垃圾郵件活動(dòng)。這些時(shí)間可能用于恢復(fù)與受感染系統(tǒng)的通信，收集和處理數(shù)據(jù)，以及在本地網(wǎng)絡(luò)上傳播。

11月

開發(fā)者對(duì)協(xié)議的HTTP部分進(jìn)行了微小的更改，此時(shí)Emotet放棄使用字典來創(chuàng)建路徑，選擇隨機(jī)生成的字符串(MD5： dd33b9e4f928974c72539cd784ce9d20)。

POST請求的示例

2月

2月6日：

這是協(xié)議的HTTP部分的另一個(gè)變化，現(xiàn)在，路徑不由單個(gè)字符串組成，而是由幾個(gè)隨機(jī)生成的單詞組成。 Content-Type再次成為多部分/表單數(shù)據(jù)。

POST請求的示例

隨著HTTP部分的更新，二進(jìn)制部分也被更新。加密保持不變，但Emotet刪除谷歌協(xié)議緩沖區(qū)并切換到自己的格式。壓縮算法也發(fā)生了變化，liblzf取代了zlib。關(guān)于新協(xié)議的更多細(xì)節(jié)可以在英特爾和CERT Polska 報(bào)告中找到。

2020

2月7日

C&C活動(dòng)直到2020年7月才恢復(fù)。在此期間，垃圾郵件的數(shù)量降至零。與此同時(shí)，Binary Defense與各種CERT和infosec社區(qū)一起開始傳播EmoCrash，這是一個(gè)PowerShell腳本，可為Emotet使用的系統(tǒng)注冊表項(xiàng)創(chuàng)建不正確的值。這導(dǎo)致惡意軟件在安裝過程中“崩潰”。這個(gè)killswitch一直持續(xù)到8月6日，當(dāng)時(shí)Emotet背后的開發(fā)者修補(bǔ)了該漏洞。

7月

就在垃圾郵件活動(dòng)恢復(fù)幾天后，就有報(bào)告顯示，有人用圖片和表情包替換了受攻擊網(wǎng)站的惡意表情包。因此，點(diǎn)擊垃圾郵件的鏈接，打開的是普通圖片，而不是惡意文檔。這并沒有持續(xù)太久，到7月28日，惡意文件已經(jīng)不能再被替換為圖像。

總結(jié)

盡管Emotet已經(jīng)過時(shí)，但它仍在不斷演變，并一直是當(dāng)前最具威脅的木馬之一。

2020年11月最活躍的C&C：

本文翻譯自：https://securelist.com/the-chronicles-of-emotet/99660/