新变种Emotet恶意样本分析

最新推荐文章于 2025-04-09 23:05:38 发布
最新推荐文章于 2025-04-09 23:05:38 发布
阅读量1.1k 收藏 5
点赞数
分类专栏: 恶意样本分析 文章标签: c++ c语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37431937/article/details/121789915
版权

样本信息

表1.1 样本信息表

文件

1.doc

大小

 190976 字节

修改时间

 2021年12月2日, 10:30:02

MD5

2EFBE18F2ED8AE0D4648B68596DFA00C

SHA1

0954D1E4BC63EB075703FB3D40B5CDB06F57E61E

CRC32

8969E72E

运行效果如图,很熟悉。

简介:本恶意样本为变种Emotet是一种典型的恶意木马,最早发现是于2014年6月份,传播至今,已经出现了多个版本的迭代。主要通过垃圾邮件进行传播,在早期的版本中通过JavaScript文件传播,后期版本通过office文档文件携带混淆代码的宏病毒,并嵌套PowerShell脚本等手段从C2服务器下载后进行传播。该恶意代码原本是一种窃取银行登录凭证的木马,当受害者感染后,恶意代码进而收集用户凭据、浏览器历史记录及重要文档信息,然后打包并发送至攻击者控制的存储服务器中,后来用来分发其他恶意软件。

样本分析

执行流程

 

分析工具:

  • 监控工具:Process Monitor/火绒剑  
  • 分析工具:olevba IDA OD hash
  • 编辑工具: 010Editor

分析思路:

遇到rtf文档,通常可能会怀疑office漏洞利用和宏病毒,olevba查看发现宏代码。

 

恶意行为分析

开发工具-->Visual Basic(alt+F11)查看宏代码,发现有密码。

 

首先解决密码保护,010Editor修改字段DPB为DPX,保存,再次打开Visual Basic右键添加保护密码为自己设置的(不设置会影响代码调试,调试过程报异常)

恶意宏代码

 单步调试,创建uvdhx.bat执行TextBox2中BoundValue内容。

 cmd脚本内容如下

 Cmd执行进程树,通过访问下载恶意PE文件(.dll后缀)

 调用Powershell命令执行脚本。

 

释放恶意dll文件。执行重命名

修改后的文件名添加注册表自启动,实现持久化。

 

DllEntryPoint主模块

 Powershell 首次调用rundll32.exe 执行dll,DllRegisterServer为执行功能模块

 而此样本主要功能为内存加载恶意PE文件执行外连,申请内存空间,加载内存马。

 内存马加载,偷个懒没分析具体执行,经验告诉我是远控。哈哈

 木马访问209.239.112.82已被标记为远控CS,银行窃密木马Dridex。

 

主机排查

1.启动项中查找是否有随机生成的恶意文件名并且后缀也为随机产生

 2.Rundll32.exe 访问远程连接。

某些外连IP被情报库标记。

 通过威胁情报以及流量特征匹配为远控程序,除删除恶意程序自身外,应对主机全面检测。防止利用远控程序添加更多的持久化操作。

恶意样本分析手册
不忘初心,护天下安全!
10-14 1145
图解恶意样本分析的常用方法,你与安全专家的差距只有一篇文章!
Emotet分析报告
楠木种子的三亩地
06-30 1549
Emotet,是一种计算机恶意软件程序,最初是作为一种银行木马病毒开发的。其目的是访问外部设备并监视敏感的私有数据。Emotet 会骗过基本的防病毒程序并保持隐匿。一旦被感染,该恶意软件会像计算机蠕虫病毒一样传播,并试图渗透到网络中的其他计算机。 其中本样本在虚拟环境当中,不能直接运行,因为存在多种反逆向工程、反调试、反虚拟机技术,因此我们借助强大的第三方网站来帮助我们分析这个样...
恶意代码分析入门系列之 - 基础知识,从零基础到精通,收藏这篇就够了!
喜欢Python编程的程序员柚柚呀
03-06 681
本文为看雪论坛优秀文章看雪论坛作者ID:顾何在第一小节完成了环境的搭建,成功搭建好了一个可用于恶意样本分析的虚拟机环境,在这小节,先介绍一些关于恶意样本的相关知识,也算是为恶意样本分析做准备。首先,我没有写详细的汇编教程,论坛中有非常多的汇编教程,读者可以多多利用论坛的搜索功能,找到一些相关的知识点。大多数情况来说,遇到的问题之前都有人在论坛中求问过,只是措辞和询问的方式不一样,大家遇到问题的时候可以先利用论坛的搜索功能或结合google进行搜索。
一个恶意样本分析
信息安全
08-09 4457
1.1样本信息1.样本概况 病毒名称:bea213f1c932455aee8ff6fde346b1d1960d57ff MD5: 6E4B0A001C493F0FCF8C5E9020958F38 SHA1: BEA213F1C932455AEE8FF6FDE346B1D1960D57FF CRC32: 1CD8074D 1.2测试环境及工具 2.1.1 测试环境 Windows ...
恶意样本分析入门与实战
pandazhengzheng的博客
03-05 1865
恶意软件分析入门与实战资源
简单的恶意样本行文分析-入门篇
weixin_48421613的博客
06-21 1398
开篇引题,此篇文章为入门入门文章,里面的内容为后续软件安全分析铺垫,有点东西,但是不多,所以大家觉得有用就看一眼,觉得无用就不看哈,别喷;此类应用场景呢,其实就是恶意样本行为分析、在遇到后门、应急响应后将恶意样本拷贝走之后去做一个初步的排查,能发现样本做了些什么,他有哪些功能等等...
Emotet银行木马变种:深度分析与防护策略
恶意文件Emotet变种最近引起了关注,于2023年4月14日被发现。Emotet是一款知名的银行木马,专门用于窃取用户的敏感信息,如个人信息、密码和信用卡数据。它通常通过垃圾邮件进行传播,利用受害者的信任诱导他们...
恶意代码分析
aming小老弟
12-09 1442
著名防火墙公司Palo Alto Networks近日在官网公布了一个CVE-2024-3400的漏洞信息,该漏洞存在于部分PAN-OS系统的GlobalProtect功能中,在某些配置打开的情况下,攻击者可以对运行该系统的设备进行未授权RCE,并且拿到系统的root权限。A5.这一恶意代码会使用高层API函数连接到一个远程的FTP服务器,我们可以下载并建立一个本地FTP服务器,并将DNS请求重定向至这一服务器,以充分分析恶意代码。所以,其一旦广泛传播开便极难彻底清除。然后启动lab20-2.exe。
Parrot OS恶意软件分析指南:识别与处理方法全解
[Parrot OS恶意软件分析指南:识别与处理方法全解](https://img-blog.csdnimg.cn/20191117223107830.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3...
下载恶意pcap包的网站
djph26741的博客
08-19 2327
说几个我经常用的,免费的:1. Malware Traffic Analysis: http://www.malware-traffic-analysis.net/2018/index.html 这个网站每天更,主要是欧美地区的鲜流行木马样本,基本上当天更的马都很~2.Virus Bay: https://beta.virusbay.io/ 这个算是社区贡...
基于深度学习的恶意代码检测系统设计与实现
最新发布
teac_yang的博客
04-09 1005
在当今数字化时代,恶意软件(Malware)已成为网络安全的主要威胁之一。传统的基于签名的检测方法难以应对日益复杂的恶意代码变种。本文介绍一个基于深度学习的恶意代码检测系统的设计与实现,该系统结合静态特征分析、云端威胁情报和实时监控,提供了一套全面的恶意代码检测解决方案。
恶意样本分析报告
4SecNet团队专栏
03-20 733
分析报告 样本信息 文件大小 MD5 文件名称 72.07KB 44BCF2DD262F12222ADEAB6F59B2975B ab.exe 样本功能分析: 通过shellcode编写进行免杀,实现干扰分析人员进度: 通过多重跳转实现类似垃圾指令的功能,干扰分析人员,获取当前文件执行镜像名称与硬编码的数据进行对比,也是一种防止分析的手段(校验运行的进程名与预设的进程名是否相同) 对文件名称进行校验: 根据算法比较获取目标DLL文件 DLL算法(有可能是UNICODE,也有可能是AN
Emotet银行木马分析
信息安全
02-28 2525
文章目录前言样本运行流程样本分析宏文档分析恶意downloader分析窃密程序分析yara规则IOC 前言 Emotet是现如今流行的银行木马之一,变种极多,使用的混淆器也各不相同。Emotet主要以垃圾邮件传播,邮件中的宏文档是被用作后续下载Emotet进行持久化攻击的Downloader。此文是以1月份获取的变种样本进行分析样本运行流程 样本分析 宏文档分析 打开文档,文档中的图片诱导用...
利用AI+大数据的方式分析恶意样本(四十三)
至臻求学,胸怀云月
05-03 1576
一篇USENIX 2023关于人类与ML分析malware差别的文章阅读
GO恶意样本实例分析
zhangge3663的博客
01-15 862
最近在工作中遇到不少的go语言编写的恶意样本,也整理了在分析go恶意样本的一些基础知识,各位同学可以先看看这篇文章《GO恶意样本分析》,对go语言分析基础有一定了解。 在平常的工作中遇到的情况来看,go语言恶意样本可以分为如下的三个等级以及对应的等级的说明。 非常简单: 未去除符号以及未混淆的恶意软件。 一般简单: 去除符号的恶意软件。 困难:混淆的恶意软件。 我找了几个对应的样本,大家可以一起学习学习。 未去除符号以及未混淆的的恶意软件   WellMesss是疑似具有俄罗斯...
恶意软件样本行为分析
weixin_49816179的博客
12-17 278
本文介绍了恶意样本行为分析方式,包括:1) 熟悉 Process Moniter 的使用;2) 熟悉抓包工具 Wireshark 的使用;3) VMware 的熟悉和使用;4) 灰鸽子木马的行为分析
恶意软件样本行为分析——Process Monitor和Wireshark_process monitor抓包(1)
2401_83621541的博客
04-14 826
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!
恶意样本分析-Lab16-01 反调试1分析
LoopherBear的博客
05-25 591
恶意样本分析-Lab16-01 反调试1分析 这个样本是随书《恶意代码分析实战》第十六章的样本,主要用来熟悉反调试的一些手段,这个算是样本分析中需要掌握的基础知识。这篇笔记会包含了静态分析和静态分析。基本要求 在分析这个样本之前可以先看一下恶意样本分析–16Windows中一些常用的反调试记录 静态分析 静态分析就不做PE信息的分析,直接走IDA分析,这个过程尽量不走伪代码分析分析汇编指令,便于在x64dbg上分析时快速定位。 由于已经在第九章分析了,因此这里关注到反调试手段。首先来到入口处看到关键指令
利用AI+大数据的方式分析恶意样本(二十七)
至臻求学,胸怀云月
07-11 2393
NDSS2021一篇挖矿二进制检测的文章阅读
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值