Emotet木马病毒升级,对抗杀毒软件的能力再次增强

最新推荐文章于 2023-12-28 15:39:29 发布
最新推荐文章于 2023-12-28 15:39:29 发布
阅读量900 收藏
点赞数

美国网络安全公司Menlo Security在上周发文称,该公司在今年1月份发生的恶意网络攻击活动中发现了一个新的Emotet木马病毒变种。通过将用于释放主有效载荷的XML文件伪装成Word文档,新的Emotet变种变得更加难以检测。

什么是Emotet木马病毒?

Emotet(也被称为Geodo或Heodo),一种模块化木马病毒,据称是由黑客组织Mealybug于2014年开发的。Emotet最初被设计为银行木马,被Mealybug用来通过垃圾电子邮件感染受害者设备,并在受害者登陆网银或加密钱包时窃取登陆凭证、个人身份信息(PII)和财务信息等。

不仅如此,Emotet在后续的发展中还被添加了传播其他恶意软件的能力,包括其他银行木马(如Trickbot)。

新变种在今年1月被发现

根据Menlo Security公司的说法,新的Emotet变种是在今年1月份发现的,恶意文档主要通过以下两种方式呈现:

  • 恶意链接
  • 恶意电子邮件附件

从Menlo Security公司收集的数据来看,Emotet在今2019年1月份主要针对了医疗、银行、金融和零售等行业(具体分布见下图)。

恶意文档分为两类

在今年1月份,用来传播Emotet木马的恶意文档主要可以分为两类:第一类约占80%,虽然它们具有.doc扩展名,但实际上是XML文件;第二类则是典型的带有嵌入式恶意宏的Word文档。

Menlo Security公司表示,将具有Base64编码数据的XML文档伪装成Word文档可能是为了逃避杀毒软件的检测。实际上,确实只有很少的杀毒软件能将这些用来传播Emotet木马的文档检测为“恶意”。

虽然不同的恶意文档使用了的标题和内容也不尽相同,但几乎都使用了Microsoft Office的logo来诱使攻击目标启用恶意宏。

感染过程十分复杂

Menlo Security公司表示,新的Emotet变种的感染过程非常复杂,并遵循一个严格的流程。初始恶意脚本会生成多个进程,而这些进程将启动一个Powershell脚本,以将主有效载荷下载到受感染计算机的TEMP文件夹中。

一旦主有效载荷被下载到受感染计算机,它就将会被激活,并开始向包含在一个命令和控制服务器(C2)网址列表中的所有网址按顺序发出连接请求。一旦连接成功,Emotet与攻击者的C2服务器也就建立了连接,而攻击者便可以通过C2通信来发送其他恶意软件。

乖巧小墨宝
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
记一次Emotet木马处理案例
06-30 973
0x00、前言 用户的安全意识相对薄弱,面对来历不明的链接和附件,容易被诱导从而遭受木马的入侵。在日常使用过程中,有时电脑中病毒后会遇到木马不掉的情况,应该是如何处理呢?下面分享一个Emotet木马处理的案例,希望对你有所帮助。 0x01、案例说明 从流量侧监控到多个用户终端频繁发送邮件,涉及大量收件人与发件人并带有附件,疑似感染木马,用户手动软查无果。 0x02、原因分析 既然软无法......
emotet-utils
05-23
Emotet木马是一种高度复杂且危害极大的恶意软件,它最初设计为银行木马,但随着时间的推移,已经演变为一种多态性威胁,主要用作其他恶意软件的分发平台,包括勒索软件和其他银行木马。"emotet-utils"是一个专门用于...
Emotet分析报告
楠木种子的三亩地
06-30 1357
Emotet,是一种计算机恶意软件程序,最初是作为一种银行木马病毒开发的。其目的是访问外部设备并监视敏感的私有数据。Emotet 会骗过基本的防病毒程序并保持隐匿。一旦被感染,该恶意软件会像计算机蠕虫病毒一样传播,并试图渗透到网络中的其他计算机。 其中本样本在虚拟环境当中,不能直接运行,因为存在多种反逆向工程、反调试、反虚拟机技术,因此我们借助强大的第三方网站来帮助我们分析这个样...
检测Windows操作系统是否感染了Emotet木马病毒
最新发布
m0_74772114的博客
12-28 736
EmoCheck
Emotet***病毒升级对抗软件能力再次增强
weixin_34279579的博客
02-19 532
美国网络安全公司Menlo Security在上周发文称,该公司在今年1月份发生的恶意网络***活动中发现了一个新的Emotet***病毒变种。通过将用于释放主有效载荷的XML文件伪装成Word文档,新的Emotet变种变得更加难以检测。什么是Emotet***病毒Emotet(也被称为Geodo或Heodo),一种模块化***病毒,据称是由***组织Mealybug于20...
2021网络安全应急响应分析报告
glb111的博客
02-19 1023
本文是学习而整理的学习笔记,分享出来希望更多人受益,如果存在侵权请及时联系我们。
EmoCheck:Windows OS的Emotet检测工具
02-05
EmoCheck:Windows OS的Emotet检测工具
Update Emotet_jquery_
10-02
Emotet是一种先进的银行木马,随着时间的推移,它已经发展成为一种广泛传播的恶意软件,用于进行网络钓鱼攻击、垃圾邮件活动以及感染其他恶意软件。在该主题中,可能是指Emotet利用了jQuery库来提高其隐蔽性和功能。...
Update Emotet_jquery_源码.zip
11-01
1. **Emotet恶意软件概述**:Emotet最初是一种银行木马,于2014年首次出现,随着时间的推移,它逐渐演变为一种模块化的僵尸网络,用于分发其他恶意软件,如Trickbot和Ryuk勒索软件。它利用多种感染策略,包括钓鱼...
恶意文件Emotet新变种来袭
05-07
【恶意文件】Emotet新变种来袭
ViewFinder:ViewFinder - 用于安全性、自动化可见性和交互性的远程隔离浏览器 API。 打点。 生物多样性指数。 远程浏览器隔离、可嵌入的 BrowserView、安全的 chrome-as-a-service。 Pro 版本中提供托管、可变带宽和协同浏览选项。 像 S2、WebGap、Bromium、Authentic8、Menlo Security 和 Broadcom,但都是免费和开源的。 使用来自 https 的 CDR 集成安全文档查看
08-03
ViewFinderJS 是一个虚拟化浏览器,运行在您的浏览器中! 它是安全的、隔离的,可以在本地或任何云中或任何服务器上部署。 它是一个功能完整、无客户端、开源双许可的远程浏览器隔离解决方案。 如果您使用或喜欢这个,请不要忘记通过在或来表达您的感谢 :cat_with_tears_of_joy: 这是什么? ViewFinderJS是用于 Web 应用程序的可编程虚拟化浏览器。 您可以运行它来服务于您自己的远程浏览器隔离,将其集成为一个可嵌入的 BrowserView 以允许跨站点进程协调,或者将其构建到您的工具中以让您更好地了解浏览器自动化作业,并保持人为如果作业卡住或需要手动输入,则循环进行干预。 此处提供的开源版本是更高级且功能齐全的 Pro 版本的缩小、简化版本,其中包括可变带宽流以实现最佳用户体验以及共同浏览以启用实时交互支持等用例并使用共享浏览器进行培训。 因为它支持 RBI 和 CBII,所以 ViewFin
721个C&C服务器?不死的银行木马Emotet
小磨SBF111直播馆
01-04 580
趋势科技上周公布了知名银行木马Emotet的踪迹,发现它在今年6月1日到9月15日之间,于全球具备721个命令暨控制(C&C)服务器,采用8,528个独立的URL,使用5,849个文件Dropper以及571个执行档案。2014年被发现的Emotet是个模块化的先进银行木马程序,其主要功能就是作为一个可下载其它木马程序的Dropper,同时它也是个多态(Polymorphic)银行木马,能...
Emote木马分析
A13781798811的博客
03-01 385
前言:网上找的样本是EXE的,没有邮件样本,所以只做了exe分析。 一、Emote木马相关信息 文件: C:\Users\Desktop\Samp.exe 大小: 249856 bytes 文件版本:1, 4, 2, 50 修改时间: 2018年11月21日, 21:22:50 MD5: 681C...
Emotet银行木马分析
信息安全
02-28 2324
文章目录前言样本运行流程样本分析宏文档分析恶意downloader分析窃密程序分析yara规则IOC 前言 Emotet是现如今流行的银行木马之一,变种极多,使用的混淆器也各不相同。Emotet主要以垃圾邮件传播,邮件中的宏文档是被用作后续下载Emotet进行持久化攻击的Downloader。此文是以1月份获取的变种样本进行分析。 样本运行流程 样本分析 宏文档分析 打开文档,文档中的图片诱导用...
揭秘Emotet恶意软件新变种幕后攻击者的运营模式
systemino的博客
11-18 1325
概述 本文是FortiGuard SE团队关于Emotet威胁攻击者的最新研究成果,Emotet是当前网络环境中威胁较大的一个恶意组织。我们与网络威胁联盟的成员共同编写了一系列关于攻击者的手册,要查看更多信息,可以参考《网络威胁联盟手册》白皮书。此外,在FortiGuard Playbook Viewer中可以详细了解相关恶意活动,并查看MITRE的对抗策略、技术和常识(ATT&CK)模...
新变种Emotet恶意样本分析
PwnGuo的博客
12-08 943
样本信息 表1.1 样本信息表 文件 大小 190976 字节 修改时间 2021年12月2日, 10:30:02 MD5 2EFBE18F2ED8AE0D4648B68596DFA00C SHA1 0954D1E4BC63EB075703FB3D40B5CDB06F57E61E CRC32 8969E72E ...
Emotet进化史:从银行木马到恶意软件分发器
systemino的博客
11-24 560
Emotet在2014年出现时只是一款银行木马,经过近几年的发展,Emotet的功能不断扩展,已经进化成为完整的恶意软件分发服务。 Emotet发展史 Emotet 恶意软件第一个版本出现于2014年,通过拦截互联网流量来窃取银行凭证信息。当时,Emotet恶意软件的攻击目标是德国和奥地利的银行奇热。 很快,第二个版本出现了,并增加了一些额外的模块,比如转账、垃圾邮件、DDoS和地址簿窃取模块。Emotet 第三版出现于2015年,主要升级了反绕过功能,并将瑞士的银行加入了潜在攻击目标列表。 ..
简单的CreateRemoteThread例程-初学者必看
zzz822163的专栏
01-13 824
// _remotethreaddemo.cpp : Defines the entry point for the console application. // Author:秋镇菜 #include "stdafx.h" #include "windows.h" // ========== 定义一个代码结构,本例为一个对话框============ s
RSAC简介 RSAC 2020 最热门的36款网络安全产品
whatday的专栏
02-26 5323
美国时间2月24日至28日,RSA Conference 2020(RSAC2020)信息安全大会将在旧金山Moscone Center召开。此次会议参会人数预计达5万+,参展商达700多家,大会包含:研讨会、沙箱创新大赛、培训和教程、主题演讲、课堂等多种不同的活动。 从1991年成立至今,RSAC已成功召开29届,RSA信息安全大会对全球信息安全建设起着不可或缺的作用,它提供了安全市场中竞争对...
M钓鱼邮件 ↓附件 带宏文档↓启动 powershell命 令行↓下载执行 0 Emotet木马↓下载执行 更新 中间谍木马模块 将以上病毒代码执行流程描述成文字过程
06-06
以下是病毒代码的执行流程: 1. 攻击者发送M钓鱼邮件,其中包含一个带有恶意宏的文档附件。 2. 用户下载并打开该文档附件,启用其中的恶意宏。 3. 恶意宏通过powershell命令行下载并执行Emotet木马。 4. Emotet木马开始在受感染的系统上运行,并下载并执行更新以保持其功能的最新状态。 5. Emotet木马还会下载并执行中间谍木马模块,以便攻击者能够窃取系统中的敏感数据和信息。 总之,这种病毒代码的执行流程非常隐蔽和危险,用户必须保持警惕,避免打开不明来源的附件以及及时更新其计算机的防病毒软件

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值