欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

EMOTET使用一次性C2服务器

来源:本站整理 作者:佚名 时间:2019-09-23 TAG: 我要投稿

SentinelOne研究人员分析发现Emotet使用一次性C2服务器来绕过IP ACL和域名过滤的检测。
随着Emotet这种模块化下载器的增长,攻击从单一攻击来引发大型灾难。本文分析Emotet用来绕过IP ACL和域名过滤的方法。
样本静态分析
如果样本文件被标记为恶意的,研究人员想更多地了解该样本与其他Emotet样本的不同。研究人员看到的是一个XML文件:

文件的熵值大约为6,因此可能隐藏了什么,因为office文档的熵值一般都很高,而熵值高并不能表明文件的内容是恶意的:

分析文件头部,研究人员确认XML文件尝试模拟DOC文件:

提取加密的PowerShell
研究人员使用OLETools来提取嵌入的宏并查看文件的作用。

宏文件内容很大,但是如果复制到文件中就可以搜索其结果了。宏文件是经过高度混淆的,但是可以看出其使用字符串的模式。有大量的字符串使用+来链接到其他的字符串熵,所有研究人员使用sed来移除这部分的混淆内容:
$: sed 's/"\ +\ "//g'
这里的目的不是得到一个功能性的脚本。而是暴力搜索字符串,那么最佳的开始位置应该是powershell:
$: sed 's/"\ +\ "//g' | grep -i powershell
这会返回空内容。因为宏并不是100%完全反混淆了,因此研究人员再次使用了暴力破解的方法。下面开始移除字母:
$: sed 's/"\ +\ "//g'  | grep -i owershell
得到的内容为:
    zkAJGDhw = "oWersheLL -e JABEAFkAaQBhAGYAUw"
反编译base64字符串,方法如下:
· 启动Test Lab VM;
· 安装office;
· 保存恶意DOC文件到虚拟机硬盘,并打开doc文件;
· 打开procmon。
使用 Ctrl+t 来打开树形试图,并找到WINWORD.EXE,可以看到PowerShell命令:

然后就可以提取base64编码的命令语法了:

解码和修改语法来查看其作用:

通过特殊的变量和URL,研究人员判断这是通用的Emotet dropper命令,其中含有5个硬编码的URL来提取final payload:

有多个URL不仅可以容错,还可以快速修改主机IP地址来修改DNS记录。如果网络设备不仅过滤DNS,仅仅依赖IP的话,那么就可以确保无法有效检测攻击,仍然很容易绕过。
验证C2服务器,搜索payload
研究人员使用cURL来向这些URL发送请求,并查看那些域名仍然活跃:

以上URL有302重定向,但是最终返回的是200响应。

第二个URL不在服务于payload。403 forbidden响应表明URL仍然是活动的,但403错误可能是因为主体提供商删掉了内容。

第三个URL也不在服务于payload,因为返回的404错误代码,因此该主机应该也是活动的。

第4个URL应该仍然是服务于Emotet payload的。

第5和第6个URL的行为和第2和第3个URL相同。
从这2个活动的URL上,研究人员获取了final payload:

这两个文件都与Emotet有关:
Payload URL: zeAtqnKQbF SHA1 = a7f4a98536f65c027fc10c057e3873e6c4cee9be Saved File Name: 200.exe
执行payload
初始进程在重新初始化之后就中止了:

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载