圣诞大礼:Emotet重现江湖

 

一、前言

如果大家读过minerva实验室之前发表的文章,那么应该对Emotet有所了解。最近minerva又阻挡了Emotet新发起的一波攻击,这波攻击以圣诞节主题,我们将其称之为“Emotet Grinch”(Emotet圣诞怪杰)。

 

二、技术分析

网络犯罪分子最近正在紧锣密鼓推广这款恶意软件,想方设法绕过基本防线,突破目标系统。在十二月底时,Minerva阻止了Emotet新发起的一波攻击浪潮,这次攻击与时俱进,以圣诞节为主题。与之前的攻击类似,“Emotet Grinch”同样以钓鱼邮件为攻击起点,该邮件中包含指向恶意文档的一条链接,文档名为“Your Holidays eCard.doc”(你专属的假日电子贺卡.doc)。这份文档同样会想方设法诱使用户启动文档中内置的恶意宏,如下图所示:

接下来,攻击行为与之前的Emotet攻击活动类似:恶意宏会使用如下字符串作为参数,运行cmd.exe

这个脚本中有一些冗余信息,使用多个变量用来掩盖“powershell”这个字符串,可以看出攻击者精心伪造了下一阶段的攻击载荷,下一阶段使用的是PowerShell无文件攻击载荷。在之前的攻击活动中,Emotet所使用的攻击载荷开头部分为经过混淆的Invoke-Expression调用语句,后面跟着字符串形式的一段PowerShell脚本:

如上图所示,老版的Emotet样本在内嵌的PowerShell载荷之前,会对“iex”字符串进行混淆处理。

其中,“comspec”这个环境变量对应的是cmd.exe的具体路径,攻击者精心选择该路径中的几个字符,最终组成了“iex”这个字符串,该字符串也是Invoke-Expression的别名(alias)。

与之前的攻击活动不同,这一次Emotet Grinch使用了三重“Invoke-Expression”混淆来给受害者送份“大礼”。每一层混淆都会使用一条命令返回预定的一个值,再以这个值为输入来构造最终的“iex”字符串:

第一层,使用“MaximumDriveCount”:

第二层,使用“$Shellid”变量:

第三层,使用“$VerbosePreference”:

攻击者将这种“iex套娃”混淆技术与字符串替换方法(如将“garBaGe”替换为“c”)结合在一起,这样就能绕过静态扫描技术,许多安全产品难以揭开足够多的掩护层,无法触摸到最里面的恶意功能。

去混淆处理完成后,恶意软件会在受害者系统上执行如下脚本:

经过去混淆处理后,我们可以看到最终的PowerShell脚本结构比较清晰,该脚本可以从5个域名下载Emotet的可执行载荷,这些域名已经硬编码到脚本中,下载的可执行文件被重命名为随机数字名,然后再加以执行。

值得注意的是,与早期的Emotet可执行载荷类似,用户可以使用Minerva出品的DIY Emotet防护方法来对抗此次Emotet攻击浪潮:

此外,Minerva的Anti-Evasion Platform包含各种安防功能,可以防止用户被Emotet感染。该平台中位于最前线的为Malicious Document Prevention(恶意文档预防)模块,该模块可以在攻击活动的初始阶段打破整个感染链,使攻击者无法通过恶意文档执行第一阶段的攻击,因此能保护用户安全。

 

三、IoC

恶意文档SHA256哈希:

abd5d939438d963e05e59e137e7679e1408e0f9c7f4b0690287aecb807cd2909

托管可执行载荷的URL:

hxxp://metricinvestmentsgroup[.]com/bAtOQlC/
hxxp://dopplmeister[.]com/897zkkf/
hxxp://starklogic[.]com/xr5e/
hxxp://archersdelathur[.]org/Zw1Db/
hxxp://lephamtech[.]com/gIhZm/

此外,@NelsonSecurity也公布了一个Pastebin页面,该页面每天会更新相关URL地址。

托管恶意文档的URL:

hxxp://roberthempsall[.]co[.]uk/Your-Holidays-eCard/
hxxp://www.printit[.]com[.]pk/Your-holidays-Gift-Card/
(完)