6個(gè)月來(lái)，臭名昭著的Emotet僵尸網(wǎng)絡(luò)幾乎沒(méi)有任何活動(dòng)，現(xiàn)在它正在分發(fā)惡意垃圾郵件。讓我們深入了解細(xì)節(jié)并討論您需要了解的有關(guān)打擊它的臭名昭著的惡意軟件的所有信息。

為什么每個(gè)人都害怕Emotet？

Emotet是迄今為止最危險(xiǎn)的特洛伊木馬之一。該惡意軟件隨著規(guī)模和復(fù)雜性的增長(zhǎng)而成為極具破壞性的程序。受害者可以是暴露于垃圾郵件活動(dòng)的任何人，從公司用戶到私人用戶。

僵尸網(wǎng)絡(luò)通過(guò)包含惡意Excel或Word文檔的網(wǎng)絡(luò)釣魚(yú)進(jìn)行分發(fā)。當(dāng)用戶打開(kāi)這些文檔并啟用宏時(shí)，Emotet DLL將下載并加載到內(nèi)存中。

它搜索電子郵件地址并竊取它們用于垃圾郵件活動(dòng)。此外，僵尸網(wǎng)絡(luò)還會(huì)投放額外的有效載荷，例如Cobalt Strike或其他導(dǎo)致勒索軟件的攻擊。

Emotet的多態(tài)性及其包含的許多模塊使得惡意軟件難以識(shí)別。Emotet團(tuán)隊(duì)不斷改變其策略、技術(shù)和程序，以確保無(wú)法應(yīng)用現(xiàn)有的檢測(cè)規(guī)則。作為在受感染系統(tǒng)中保持隱身的策略的一部分，惡意軟件使用多個(gè)步驟下載額外的有效負(fù)載。

Emotet行為的結(jié)果對(duì)網(wǎng)絡(luò)安全專家來(lái)說(shuō)是毀滅性的：惡意軟件幾乎不可能被刪除。它傳播迅速，生成錯(cuò)誤指標(biāo)，并根據(jù)攻擊者的需要進(jìn)行調(diào)整。

這些年來(lái)，Emotet是如何升級(jí)的？

Emotet是一種先進(jìn)且不斷變化的模塊化僵尸網(wǎng)絡(luò)。該惡意軟件于2014年作為一個(gè)簡(jiǎn)單的銀行木馬開(kāi)始其旅程。但從那時(shí)起，它獲得了一系列不同的功能、模塊和活動(dòng)：

• 2014.匯款、垃圾郵件、DDoS和地址簿竊取模塊。
• 2015.規(guī)避功能。
• 2016.垃圾郵件、RIG4.0漏洞攻擊包、其他木馬的傳播。
• 2017.一個(gè)傳播者和地址簿竊取器模塊。
• 2021.XLS惡意模板，使用MSHTA，由Cobalt Strike刪除。
• 2022。一些功能保持不變，但今年也帶來(lái)了一些更新。

這種趨勢(shì)證明，盡管頻繁“休假”，甚至官方關(guān)閉，Emotet也好不到哪兒去。惡意軟件發(fā)展迅速并適應(yīng)一切。

新的Emotet2022版本獲得了哪些功能？

經(jīng)過(guò)將近半年的休整，Emotet僵尸網(wǎng)絡(luò)以更加強(qiáng)大的姿態(tài)卷土重來(lái)。以下是您需要了解的有關(guān)2022新版本的信息：

• 它會(huì)釋放IcedID，一種模塊化的銀行木馬。
• 該惡意軟件加載XMRig，這是一種竊取錢(qián)包數(shù)據(jù)的礦工。
• 該木馬有二進(jìn)制更改。
• Emotet使用64位代碼庫(kù)繞過(guò)檢測(cè)。
• 新版本使用新命令：

使用隨機(jī)命名的DLL和導(dǎo)出PluginInit調(diào)用rundll32.exe

• Emotet的目標(biāo)是從Google Chrome和其他瀏覽器獲取憑據(jù)。
• 它還旨在利用SMB協(xié)議收集公司數(shù)據(jù)
• 與六個(gè)月前一樣，僵尸網(wǎng)絡(luò)使用XLS惡意誘餌，但這次它采用了一種新的誘餌：

如何檢測(cè)Emotet？

Emotet面臨的主要挑戰(zhàn)是在系統(tǒng)中快速準(zhǔn)確地檢測(cè)到它。除此之外，惡意軟件分析師應(yīng)該了解僵尸網(wǎng)絡(luò)的行為，以防止未來(lái)的攻擊并避免可能的損失。

經(jīng)歷了漫長(zhǎng)的發(fā)展歷程，Emotet在反逃避策略上加緊了步伐。通過(guò)進(jìn)程執(zhí)行鏈的演變和受感染系統(tǒng)內(nèi)部惡意軟件活動(dòng)的變化，惡意軟件已經(jīng)徹底改變了檢測(cè)技術(shù)。

例如，在2018年，可以通過(guò)查看進(jìn)程的名稱來(lái)檢測(cè)這位銀行家——它是其中之一：

eventswrap, implrandom, turnavatar, soundser, archivesymbol, wabmetagen, msrasteps, secmsi, crsdcard, narrowpurchase, smxsel, watchvsgd, mfidlisvc, searchatsd, lpiograd, noticesman, appxmware, sansidaho

后來(lái)，在2020年第一季度，Emotet開(kāi)始在注冊(cè)表中創(chuàng)建特定的密鑰——它將長(zhǎng)度為8個(gè)符號(hào)（字母和字符）的值寫(xiě)入密鑰HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER值。

當(dāng)然，Suricata規(guī)則始終會(huì)識(shí)別此惡意軟件，但檢測(cè)系統(tǒng)通常會(huì)在第一波之后繼續(xù)進(jìn)行，因?yàn)橐?guī)則需要更新。

檢測(cè)此銀行家的另一種方法是其惡意文檔-騙子使用特定的模板和誘餌，即使其中存在語(yǔ)法錯(cuò)誤。檢測(cè)Emotet最可靠的方法之一是通過(guò)YARA規(guī)則。

要克服惡意軟件的反規(guī)避技術(shù)并捕獲僵尸網(wǎng)絡(luò)——使用惡意軟件沙箱作為實(shí)現(xiàn)此目標(biāo)的最便捷工具。在ANY.RUN中，您不僅可以檢測(cè)、監(jiān)控和分析惡意對(duì)象，還可以從樣本中獲取已提取的配置。

有一些功能僅供Emotet分析使用：

• 使用FakeNet揭示惡意樣本的C2鏈接
• 使用Suricata和YARA規(guī)則集成功識(shí)別僵尸網(wǎng)絡(luò)
• 從樣本的內(nèi)存轉(zhuǎn)儲(chǔ)中獲取有關(guān)C2服務(wù)器、密鑰和字符串的數(shù)據(jù)
• 收集新的惡意軟件的IOC

該工具有助于快速準(zhǔn)確地執(zhí)行成功的調(diào)查，因此惡意軟件分析人員可以節(jié)省寶貴的時(shí)間。

Emotet尚未展示完整的功能和一致的后續(xù)有效負(fù)載交付。使用在線惡意軟件沙箱等現(xiàn)代工具來(lái)提高網(wǎng)絡(luò)安全并有效檢測(cè)此僵尸網(wǎng)絡(luò)。保持安全和良好的威脅狩獵！