自2014年首次被发现至今,Emotet银行木马不断地发展。美国政府估计Emotet事件需要花费一个企业100万美元来修复。Emotet是一款广泛传播的恶意软件,而且其开发者也在不断地加入新的功能、传播方法等。
通过对Emotet的流量分析可以看出新样本使用的是与之前样本不同的后感染流量。恶意软件尝试使用被黑的互联网设备作为代理C2服务器以重定向到真实的C2服务器。这些变化带来的C2流量复杂性的变化可以帮助其绕过检测。这些发现也表明恶意软件正被用来感染和收集有漏洞的联网设备,这些设备会被用作恶意用途。
通过垃圾邮件传输
Emotet主要通过垃圾邮件的方式到达受害者系统。研究人员发现的4月初的样本中恶意软件仍通过垃圾邮件在木马下载器Powload的帮助下进行传播。垃圾邮件消息会诱使用户下载邮件中的恶意文件(附件)。附件是一个ZIP文件,可以用邮件正文中的4位密码打开。分析zip文件发现含有一个Powload的变种,如果用户输入密码,文件就使用Powershell来下载可执行文件,也就是Emotet的payload。
图1. Emotet垃圾邮件示例
后感染流量的变化
研究人员是从2019年3月15日开始监控这波使用POST-infection流量的Emotet样本的。这也是研究人员首次使用POST-infection流量技术。
图2. Emotet post-infection HTTP Post请求流量
之前的Emotet流量中是连接并不使用URI路径,但是新样本中使用的是随机的单词和数字组合作为URL目录路径,如图2所示。URI路径中的随机字母可以帮助恶意软件绕过基于网络的检测。空URI路径是红色的flag,所以该技术可以帮助使流量看起来更加合法(非恶意)。
下面是新样本中的URI路径中使用的随机单词,这些单词也出现在Emotet可执行文件中。
图3. URI中使用的单词
除了URI路径外,HTTP POST消息主体中的数据也发生了变化。之前的Emotet样本使用HTTP GET请求来发送受害者信息到C2服务器,数据保存在Cookie header中。数据用RSA KEY和AES加密,然后用base64编码,再加入到cookie值中。
新样本的流量中,攻击者使用Cookie header并讲HTTP请求方法修改为POST。数据仍然使用RSA key和AES加密,然后用base64编码。但是是保存再HTTP POST消息主体而不是cookie值中。这一变化又增加了复杂性可以帮助恶意软件绕过检测或增加分析所需的时间。
图4. 新旧Emotet样本C2流量比较
使用联网设备作为C2代理服务器
Emotet的样本中有一个硬编码的IP地址列表作为C2服务器。平均每个Emotet样本中含有39个C2服务器,最多有44个,最少有14个。通过分析已知的Emotet C2服务器的活跃IP地址,研究人员发现这些IP其实是一些联网设备。其中一个是路由器的web接口,另一个是管理打印机和其他设备的嵌入式服务器,还有一个好像是DVR(Digital Video Recorders)的服务器接口。
通过分析Emotet C2服务器研究人员发现这些联网的设备都被用作C2通信的一个新加的层。天空彩
图5. Shodan细节
图6. 被黑的DVR的登陆页面
通过分析活跃的C2服务器的开放端口和服务,研究人员发现Emotet尝试利用这些有漏洞的联网设备作为第一层的C2服务器。这一层服务器作为代理会重定向受害者到真实的C2服务器,在C2服务器通信中加入一层可以使分析人员难以追踪攻击者。而且攻击者还可以使用这些有漏洞的设备来做其他恶意活动。
3月份Shodan扫描的C2列表表明Emotet已经在使用大量的联网设备了:
表1. Emotet黑掉的联网设备
如何应对?
POST-infection流量的变化和使用联网设备都表明Emotet仍在不断更新,而且是不断发展的一个威胁。恶意软件作者使用了新的绕过技术,如果不能检查或无法检测到,那么威胁就会继续发展,给企业带来更大的经济和数据损失。研究人员建议使用多层防御机制,保护网关、终端、网络和服务器在内的所有设备。
1996
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
