6個月來，臭名昭著的Emotet僵尸網(wǎng)絡(luò)幾乎沒有任何活動，現(xiàn)在它正在分發(fā)惡意垃圾郵件。讓我們深入了解細節(jié)并討論您需要了解的有關(guān)打擊它的臭名昭著的惡意軟件的所有信息。

為什么每個人都害怕Emotet？

Emotet是迄今為止最危險的特洛伊木馬之一。該惡意軟件隨著規(guī)模和復(fù)雜性的增長而成為極具破壞性的程序。受害者可以是暴露于垃圾郵件活動的任何人，從公司用戶到私人用戶。

僵尸網(wǎng)絡(luò)通過包含惡意Excel或Word文檔的網(wǎng)絡(luò)釣魚進行分發(fā)。當用戶打開這些文檔并啟用宏時，Emotet DLL將下載并加載到內(nèi)存中。

它搜索電子郵件地址并竊取它們用于垃圾郵件活動。此外，僵尸網(wǎng)絡(luò)還會投放額外的有效載荷，例如Cobalt Strike或其他導(dǎo)致勒索軟件的攻擊。

Emotet的多態(tài)性及其包含的許多模塊使得惡意軟件難以識別。Emotet團隊不斷改變其策略、技術(shù)和程序，以確保無法應(yīng)用現(xiàn)有的檢測規(guī)則。作為在受感染系統(tǒng)中保持隱身的策略的一部分，惡意軟件使用多個步驟下載額外的有效負載。

Emotet行為的結(jié)果對網(wǎng)絡(luò)安全專家來說是毀滅性的：惡意軟件幾乎不可能被刪除。它傳播迅速，生成錯誤指標，并根據(jù)攻擊者的需要進行調(diào)整。

這些年來，Emotet是如何升級的？

Emotet是一種先進且不斷變化的模塊化僵尸網(wǎng)絡(luò)。該惡意軟件于2014年作為一個簡單的銀行木馬開始其旅程。但從那時起，它獲得了一系列不同的功能、模塊和活動：

• 2014.匯款、垃圾郵件、DDoS和地址簿竊取模塊。
• 2015.規(guī)避功能。
• 2016.垃圾郵件、RIG4.0漏洞攻擊包、其他木馬的傳播。
• 2017.一個傳播者和地址簿竊取器模塊。
• 2021.XLS惡意模板，使用MSHTA，由Cobalt Strike刪除。
• 2022。一些功能保持不變，但今年也帶來了一些更新。

這種趨勢證明，盡管頻繁“休假”，甚至官方關(guān)閉，Emotet也好不到哪兒去。惡意軟件發(fā)展迅速并適應(yīng)一切。

新的Emotet2022版本獲得了哪些功能？

經(jīng)過將近半年的休整，Emotet僵尸網(wǎng)絡(luò)以更加強大的姿態(tài)卷土重來。以下是您需要了解的有關(guān)2022新版本的信息：

• 它會釋放IcedID，一種模塊化的銀行木馬。
• 該惡意軟件加載XMRig，這是一種竊取錢包數(shù)據(jù)的礦工。
• 該木馬有二進制更改。
• Emotet使用64位代碼庫繞過檢測。
• 新版本使用新命令：

使用隨機命名的DLL和導(dǎo)出PluginInit調(diào)用rundll32.exe

• Emotet的目標是從Google Chrome和其他瀏覽器獲取憑據(jù)。
• 它還旨在利用SMB協(xié)議收集公司數(shù)據(jù)
• 與六個月前一樣，僵尸網(wǎng)絡(luò)使用XLS惡意誘餌，但這次它采用了一種新的誘餌：

如何檢測Emotet？

Emotet面臨的主要挑戰(zhàn)是在系統(tǒng)中快速準確地檢測到它。除此之外，惡意軟件分析師應(yīng)該了解僵尸網(wǎng)絡(luò)的行為，以防止未來的攻擊并避免可能的損失。

經(jīng)歷了漫長的發(fā)展歷程，Emotet在反逃避策略上加緊了步伐。通過進程執(zhí)行鏈的演變和受感染系統(tǒng)內(nèi)部惡意軟件活動的變化，惡意軟件已經(jīng)徹底改變了檢測技術(shù)。

例如，在2018年，可以通過查看進程的名稱來檢測這位銀行家——它是其中之一：

eventswrap, implrandom, turnavatar, soundser, archivesymbol, wabmetagen, msrasteps, secmsi, crsdcard, narrowpurchase, smxsel, watchvsgd, mfidlisvc, searchatsd, lpiograd, noticesman, appxmware, sansidaho

后來，在2020年第一季度，Emotet開始在注冊表中創(chuàng)建特定的密鑰——它將長度為8個符號（字母和字符）的值寫入密鑰HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER值。

當然，Suricata規(guī)則始終會識別此惡意軟件，但檢測系統(tǒng)通常會在第一波之后繼續(xù)進行，因為規(guī)則需要更新。

檢測此銀行家的另一種方法是其惡意文檔-騙子使用特定的模板和誘餌，即使其中存在語法錯誤。檢測Emotet最可靠的方法之一是通過YARA規(guī)則。

要克服惡意軟件的反規(guī)避技術(shù)并捕獲僵尸網(wǎng)絡(luò)——使用惡意軟件沙箱作為實現(xiàn)此目標的最便捷工具。在ANY.RUN中，您不僅可以檢測、監(jiān)控和分析惡意對象，還可以從樣本中獲取已提取的配置。

有一些功能僅供Emotet分析使用：

• 使用FakeNet揭示惡意樣本的C2鏈接
• 使用Suricata和YARA規(guī)則集成功識別僵尸網(wǎng)絡(luò)
• 從樣本的內(nèi)存轉(zhuǎn)儲中獲取有關(guān)C2服務(wù)器、密鑰和字符串的數(shù)據(jù)
• 收集新的惡意軟件的IOC

該工具有助于快速準確地執(zhí)行成功的調(diào)查，因此惡意軟件分析人員可以節(jié)省寶貴的時間。

Emotet尚未展示完整的功能和一致的后續(xù)有效負載交付。使用在線惡意軟件沙箱等現(xiàn)代工具來提高網(wǎng)絡(luò)安全并有效檢測此僵尸網(wǎng)絡(luò)。保持安全和良好的威脅狩獵！