欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

Emotet银行木马分析报告

来源:本站整理 作者:佚名 时间:2018-08-16 TAG: 我要投稿

获取到的主机进程列表,如下:

3.然后将之前获取的主机用户名,操作系统版本以及进程列表信息拼接成字符串,通过算法进行加密,如下:

4.获取远程服务器地址,如下:

5.通过GetTickCount获取随机数字,如下:

然后拼接之成加密的数据,如下:

最后通过Cookie发送到远程恶意服务器,下载相应的恶意模块,如下:

6.恶意服务器地址,会随机改变,如下:

得到的相关的恶意服务器地址,见IOC表
7.读取相应的恶意服务器网站数据,如下:

读取到的数据,如下:

网络流量分析
1.下载Emotet母体样本,流量如下:

下载相应的Emotet母体样本,如下:

2.上传主机的相关信息,流量如下:

3.返回的相应的数据包,如下:

四、解决方案
深信服EDR已经能有效检测御防此类银行木马家族及其变种,同时深信服EDR安全团队提醒广大用户:
1.不要点击来源不明的邮件附件,不从不明网站下载软件
2.及时给主机打补丁,修复相应的高危漏洞
3.对重要的数据文件定期进行非本地备份
4.尽量关闭不必要的文件共享权限以及关闭不必要的端口,如:445,135,139,3389等
5.RDP远程服务器等连接尽量使用强密码,不要使用弱密码
6.安装专业的终端安全防护软件,为主机提供端点防护和病毒检测清理功能
五、相关IOC
MD5
18080C897FEE73EFED43FD054CD8941F 
509048748DA8071701D37B2E85698C09 
99E71C359A0278A11FD3702D51157997  
IP
50.23.215.155
206.198.226.9
207.150.220.204
78.100.162.222
63.230.124.249
186.71.61.91
5.32.119.58
80.69.56.6
149.62.173.247
103.59.201.76
108.170.54.171
49.62.173.247
3.230.124.249
80.69.56.5
208.97.32.81
173.197.222.214
190.143.132.114
186.71.61.91
190.131.167.194
208.104.22.125
190.131.6.100
204.184.25.164
98.190.202.177
DNS
vdtogt.nl
viciousenterprises.com
unclebudspice.com
thesilveramericaneagle.com
valiunas.com
URL
http://vdtogt.nl/amyQ
http://viciousenterprises.com/qXUuXq
http://unclebudspice.com/80d
http://thesilveramericaneagle.com/tb
http://valiunas.com/G8CooI
http://63.230.124.249:443/
http://82.28.208.186/
http://78.100.163.222/
http://24.224.45.166:8080/
http://149.62.173.247:8080/
http://108.170.54.171:8080
http://208.97.32.81:8080/
http://208.104.22.125:990/
http://80.69.56.5:50000/
http://173.197.222.214:443/
 

上一页  [1] [2] [3] 

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载