欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

Emotet的演变:从银行木马到网络威胁分销商

来源:本站整理 作者:佚名 时间:2018-08-04 TAG: 我要投稿


有证据表明,Emotet背后的运营团队Mealybug已经从维护自己的自定义银行木马发展成为了其他组织的恶意软件的分销商。
Mealybug是一个网络犯罪组织,自2014年以来一直保持活跃。我们可以通过其使用的自定义恶意软件Trojan.Emotet来识别它。近几年来,Mealybug似乎已经改变了其商业模式,从针对欧洲的银行客户转变为了使用其基础设施为全球其他威胁行为者提供恶意软件包装和交付服务。
由于Emotet可以自我传播,因此它给受害者组织带来了额外的挑战。网络蠕虫已经经历了一次复兴,这里有一些众所周知的例子,如WannaCry(Ransom.Wannacry)和Petya/NotPetya(Ransom.Petya)。通过网络传播还意味着受害者能够在不点击恶意链接或下载恶意附件的情况下受到感染。一旦降落到受害者组织的设备上,Emotet会下载并执行一个包含一个密码列表的扩展模块,用于暴力访问同一网络上的其他设备。
Emotet的自我传播以及暴力访问有可能会给受害者组织带来更大的麻烦,因为它可能会产生多次失败的登录尝试,进而导致用户被锁定在他们的网络账户之外。这也产生了对IT服务台的需求增加以及一般生产力下降的连带反应,而这正是臭名昭著的Conficker蠕虫(W32.Downadup)的一个代表性标志,在经历了十年之后,引起类似问题的始作俑者换成了Emotet。
除了通过暴力访问之外,Emotet还可以通过在受感染设备上安装的垃圾电子邮件模块来传播到其他设备上去。该模块生成的电子邮件使用了标准的社会工程技术,其主题通常包含类似于“Invoice”这样的单词。一些主题还包含了被泄露的电子邮件账户所有者的名字,以使它看起来并不像是垃圾电子邮件。这些电子邮件通常包含恶意链接或恶意附件,如果被打开,受害者的设备将会被Trojan.Emotet所感染。
最近,Mealybug似乎已经扩大了其业务,主要成为了其他攻击组织的恶意软件分销商。 
Emotet成为全球威胁
当Mealybug于2014年首次被发现时,它正在使用Emotet来传播银行木马,并专注于针对德国的银行客户。当时,Mealybug使用Trojan.Emotet作为Cridex银行木马的一个修改版本W32.Cridex.B的加载程序组件。在2015年,Mealybug开始瞄准瑞士银行客户,并将Emotet升级为更具模块化的恶意软件。新版本的Emotet为其加载程序、银行数据窃取、电子邮件凭证窃取、分布式拒绝服务(DDoS)攻击和恶意电子垃圾邮件提供了单独的模块。
Mealybug主要致力于使用Emotet来交付银行木马。在2017年,它成为了第一个交付IcedID(Trojan.IcedID)银行木马的组织。同样在2017年,它还被观察到交付了Trojan.Trickybot和Ransom.UmbreCrypt勒索软件。经过多年的发展,Mealybug已经提升了自己的能力,现在似乎提供了一种“端到端”的恶意软件交付服务。它不仅交付了恶意软件,而且还对它们进行了混淆以减少被检出的机率,并提供了一个扩展模块来允许恶意软件自我传播。
Emotet通过发送包含能够导致文档被下载的恶意链接或附有恶意文档的电子邮件,在受害者的设备或网络上获得初步立足点。至少从2015年开始,Emotet就拥有了反分析技术。在2018年,Emotet的有效载荷包含了一个含有其主要组件和一个反分析模块的压缩文件。反分析模块会执行多次检查以确保它并不是运行在用于恶意软件研究的设备上,然后才会加载主要组件。PowerShell或JavaScript都用于下载这个木马,该木马会将一个经打包的有效载荷文件交付到受害者的设备上。一旦降落到受害者的设备上,最新版本的Emotet将执行以下操作:
将自身移动到其首选目录
在启动文件夹中创建指向自身的LNK文件
收集受害者的设备信息并将其发送到C&C服务器
然后,它可以从C&C服务器下载新的有效载荷,并执行它们。Emotet可以下载自身的更新版本或任何其他恶意软件。现有版本的Emotet将从C&C服务器下载模块,包括:
银行业务模块:此模块用于拦截来自浏览器的网络流量,以窃取用户输入的银行详细信息。这就是Trojan.Emotet被分类为银行木马的原因。
电子邮件客户端信息窃取模块:此模块用于窃取电子邮件客户端软件中的电子邮件凭证。
浏览器信息窃取模块:此模块用于窃取浏览历史记录和已保存的密码等信息。
PST信息窃取模块:此模块用于读取Outlook的电子邮件存档,并提取电子邮件的发件人姓名和电子邮件地址,可能用于发送垃圾电子邮件。
由这些模块窃取的所有信息都将被发送到C&C服务器。Emotet还有一个DDoS模块,可以将受感染的设备添加到僵尸网络中,以执行DDoS攻击。

图1.Trojan.Emotet主要关注位于美国的目标
多年来,Emotet的地理目标也在显著增加。在经历了2015年以来相对平静的一段时期之后,在2017年下半年,Emotet的检出率开始激增。而在那一年,Mealybug的目标包括了位于加拿大、中国、英国和墨西哥的受害者。然而,根据赛门铁克2018年上半年的遥测数据显示,其关注的焦点目前主要集中在位于美国的目标身上。

图2.按地理区域划分的Trojan.Emotet检出率
Qakbot木马
自2018年2月以来,Emotet已被用于传播W32.Qakbot,这是一个以网络蠕虫行为而闻名的银行木马家族。

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载