本文翻译自:
https://www.menlosecurity.com/blog/emotet-a-small-change-in-tactics-leads-to-a-spike-in-attacks


自2019年1月中旬开始,Menlo Security的安全研究人员就发现Emotet木马活动频繁。

Emotet是一款从2014年起开始活跃的恶意软件,最初设计为从受感染的终端窃取敏感和隐私信息的银行木马。之后不断发展,还加入了恶意软件传播服务,包括传播其他银行木马。US-CERT 2018年发布预警信息称,Emotet将继续影响各级政府和企业,是一款非常具有破坏性的恶意软件。本文主要介绍:

  • Emotet使用的主要的恶意文档种类以及攻击的行业;
  • 当前使用的传播机制:在XML文件中嵌入宏并伪装成word文档;
  • 在Windows命令行或powerShell中使用Invoke-DOSfucation技术。

传播机制

研究人员在Emotet攻击活动中共发现两种恶意文档传播方式:

  • 通过位于攻击者控制的基础设施上的URL
  • 通过邮件附件

下图是研究人员根据2019年1月收集的数据对Emotet攻击的行业分布图:

根据收集的数据,研究人员还对保存恶意文档的网站点击时(click-time)分类进行了分析,如下图所示:

商业类(Business)占比最大,将恶意文件隐藏在合法类型之后使攻击很难检测。
研究人员还发现有些恶意文档是通过邮件附件进行传播的。下图是一些例子:

这些受感染的文档都使用嵌入宏来传播木马,这也是Emotet木马的一个特点。在这些文档中可以看出来,大约有80%都伪装为.doc扩展的word文档,但实际上是XML文件。使用这种技术的目的可能是为了绕过沙箱的检测,因为沙箱使用真实的文件类型而不是扩展来识别应用。因为真实的文件类型为XML,但在终端上还是用word来打开的,也会弹出启用嵌入的宏的提示。剩余20%的恶意文档使用的含有嵌入的恶意宏的标准word文档。其中AV对10%的恶意文件的扫描结果是unknown,也就是说AV无法判别这些文档是恶意的。

分析

研究人员对这些文档进行分析,发现文档的内容使用含有Microsoft Office logo的主题消息来诱使用户启用文档中的宏。

在一些文档中,研究人员发现无法查看宏的内容,VBA项目也被锁定了,这可能是为了防止安全研究人员对宏的内容进行分析。

XML/DOC文件

在恶意文档中一共使用了两个文档格式,分别是XML和DOC。
XML文件使用的频率更多,恶意XML文件中含有标准的XML header加上Microsoft Word Document XML格式标签。是经过base64编码的数据加上压缩的和混淆的VBA宏代码。文件本身使用的是.doc扩展。

将word文档伪造为含有base64编码的数据的XML文档的目的可能是为了绕过AV的检测。研究人员对这些文件进行了AV检测,结果表明检测成功率很低。

Doc文件类型含有嵌入了恶意宏的普通word文档。

嵌入宏

嵌入的VBA宏代码是严重混淆的,还加入了dead code insertion。宏代码最终调用了一个含有vbHide参数集的shell函数。有趣的是剩下的命令如何在shell函数从VBA宏中调用后构建呢?

  • 使用set命令将编码的变量内容保存在环境变量中;
  • 使用Invoke-DOSfucation技术,比如%ProgramData:~0,1%%ProgramData:~9,2%,这是cmd形式的编码;
  • 将命令行参数/V和 /C传递给cmd,并加入另一级执行。/V选项使用延迟的变量扩展,使用该选项可以动态生成变量,并生成另一个cmd进程。/C选项用来运行该命令和终止进程。
  • 最终会生成多个cmd进程,树形中最后的cmd进行会通过调用PowerShell终止。
  • Powershell脚本使用Net.WebClient类方法DownloadFile来下载初始的Emotet payload到TEMP目录并开始该进程。
  • 在特定文档中,研究人员发现PowerShell脚本调用Get-Item和检查文件的大小来确保大于特定的下限,然后调用Invoke-Item来执行payload。
  • 研究人员还发现PowerShell脚本尝试在一个URL列表中循环尝试,如果成功就中断。

工作流

工作流:

VBA调用含有vbHide参数集的shell函数 示例如下:

CMD/PowerShell脚本使用Invoke-DOSfucation技术示例如下:

在成功执行PowerShell脚本后,研究人员发现最终的payload是Emotet木马,该木马会建立与攻击者基础设施的C2信道。经过不断的发展,Emotet已经变得高度定制化了,所以攻击者可以使用C2信道来发送其他的恶意软件。

总结

过去Emotet主要通过普通的含有恶意宏的word文档进行传播,最近将XML文档伪装为word文档成为Emotet的一种新的传播方式。Emotet所使用的技术不断更新,研究人员预测这一攻击活动会继续发展并变得更加复杂。Emotet是2018年传播最为广泛的银行木马,2019年这一趋势应该会继续。

IOCs

Domains (Hosting the Malicious Documents):

www[.]ploeger[.]ru

id14[.]good-gid[.]ru

zobzarrinco[.]ir

aziendaagricolamazzola[.]it

dmoving[.]co[.]il

expoluxo[.]com

kamdhenu[.]technoexam[.]com

ldztmdy[.]cf

mstudija[.]lt

puntodeencuentrove[.]com

somov-igor[.]ru

www[.]purifiq[.]co[.]za

www[.]topstick[.]co[.]kr

URLs (PowerShell Callbacks):

hxxp://stoutarc[.]com/JbCOGyE

hxxp://www.modern-autoparts[.]com/ezFUGpI

hxxp://antigua.aguilarnoticias[.]com/LNOGFuYx

hxxp://uicphipsi[.]com/4d20qS_izTLi7wu1_uuk

hxxp://vuonnhatrong[.]com/FSrJps_iKqwbRFjH

hxxp://themissfitlife[.]com/5wn_YAsyS0M

hxxp://evoqueart[.]com/Wk0MdRvGzW

hxxp://leptokurtosis[.]com/wmK5XminG

hxxp://mimiabner[.]com/tvprRKdT

Emotet Payload Hashes:

7c5cdc5b738f5d7b40140f2cc0a73db61845b45cbc2a297bee2d950657cab658

37a000cd97233076cd3150c4dbde11d3d31237906b55866b7503fdc38cd1de08

Filenames:

Untitled_attachment_22012019.doc

2050822044828453.doc

ATT2469528456278769653.doc

PAY199472702716599.doc

Email “From:” Address Domains:

altopro[.]com[.]mx

bir[.]gov[.]ph

cafemarino[.]com[.]mx

daawat[.]com[.]pk

ecop[.]org[.]ph

iata[.]org

insular[.]com[.]ph

insurance[.]gov[.]ph

lbstation[.]co[.]uk

phil-union[.]com

rubiconeng[.]com

telkomsa[.]net

thielenhaus[.]cn

trmdemexico[.]com

wbf[.]ph

Email MIME Type:

application/xml and filename endswith .doc

参考链接:
https://www.us-cert.gov/ncas/alerts/TA18-201A
https://www.blackhat.com/docs/asia-18/asia-18-bohannon-invoke_dosfuscation_techniques_for_fin_style_dos_level_cmd_obfuscation.pdf

点击收藏 | 0 关注 | 1
  • 动动手指,沙发就是你的了!
登录 后跟帖