Emotet银行木马分析报告

一、背景

近来一段光阴国外安然钻研职员在相关安然社交网站上公布了多个Emotet银行木马最新的变种样本,笃信服EDR安然团队对此事进行了相关跟进,获取到了响应的样本,并对此中一个最新的变种样本进行了具体阐发。

Emotet银行木马首次发明是在2014年6月份,此银行木马主要经由过程垃圾邮件的要领进行传播感染目标用户,是一款对照闻名且繁杂的银行木马。

二、样本运行流程

三、样本分析

邮件附件DOC样本(重命名为Emotet.doc),如下所示:

打开文档之后,如下:

应用VBA编辑器,查看里面包孕宏代码,如下:

提取里面的VBA,如下:

里面包孕自动可履行的恶意宏代码,响应的宏代码如下:

宏代码的布局表,如下:

动态调试,解密出响应的宏代码,如下:

是一段肴杂过的cmd敕令脚本,此CMD脚本运行之后会调用powershell脚本,响应的powershell脚本,如下:

从新收拾之后,如下:

此powershell脚本会遍历响应的恶意办事器网站,然后从网站下载响应的恶意法度榜样,并重命名为727.exe,运行DOC之后,如下:

727.exe阐发

1.核心代码是颠末加密的,如下所示:

2.经由过程动态调试阐发,如下:

3.获取操作系统的位数,名称及版本信息,如下:

4.在内存进行PE文件解密操作,然后履行到内存中PE文件进口点,如下:

5.创建互斥变量PEMA94,如下:

6.经由过程GetModuleFileName获取文件路径,如下:

7.调用CreateProcess启动法度榜样,创建子进程,如下:

[1] [2] [3]下一页

8.创建完子进程之后,经由过程ExitProcess退出父进程,如下:

运行之后响应的进程信息,如下:

对创建的子进程相关阐发

1.经由过程GetWindowsDirectory获取Windows目录下,如下:

2.获取磁盘信息,如下:

3.创建互斥变量GlobalM1A9E9938,如下:

4.创建窗口,如下:

捕获窗口消息,履行消息轮回操作,如下:

5.设置响应的注册表项,如下:

设置的注册表项,如下:

6.经由过程GetComputerNameW获取谋略机名,拼接成随机字符串,如下:

7.在临时目录创建44E0.tmp法度榜样,如下:

8.在系统目录创建tvoutduplex法度榜样,如下:

9.创建tvoutduplex办事,如下:

创建的响应的办事,如下:

10.罗列响应的办事状态,如下:

11.然后启动办事进程,如下:

12.销毁创建的窗口,如下:

13.退出子进程,如下所示:

运行之后响应的进程信息,如下:

tvoutduplex样本分析

1.获取谋略机操作系统版本信息,如下:

2.遍历主机中的进程,获取进程信息,如下:

上一页[1] [2] [3]下一页

获取到的主机进程列表,如下:

3.然后将之前获取的主机用户名,操作系统版本以及进程列表信息拼接成字符串,经由过程算法进行加密,如下:

4.获取远程办事器地址,如下:

5.经由过程GetTickCount获取随机数字,如下:

然后拼接之成加密的数据,如下:

着末经由过程Cookie发送到远程恶意办事器,下载响应的恶意模块,如下:

6.恶意办事器地址,会随机改变,如下:

获得的相关的恶意办事器地址,见IOC表

7.读取响应的恶意办事器网站数据,如下:

读取到的数据,如下:

收集流量阐发

1.下载Emotet母体样本,流量如下:

下载响应的Emotet母体样本,如下:

2.上传主机的相关信息,流量如下:

3.返回的响应的数据包,如下:

四、办理规划

笃信服EDR已经能有效检测御防此类银行木马家族及其变种,同时笃信服EDR安然团队提醒广大年夜用户:

1.不要点击滥觞不明的邮件附件,不从不明网站下载软件

2.及时给主机打补丁,修复响应的高危破绽

3.对紧张的数据文件按期进行非本地备份

4.只管即便关闭不需要的文件共享权限以及关闭不需要的端口,如:445,135,139,3389等

5.RDP远程办事器等连接只管即便应用强密码,不要应用弱密码

6.安装专业的终端安然防护软件,为主机供给端点防护和病毒检测清理功能

五、相关IOC

MD5

18080C897FEE73EFED43FD054CD8941F

509048748DA8071701D37B2E85698C09

99E71C359A0278A11FD3702D51157997

IP

50.23.215.155

206.198.226.9

207.150.220.204

78.100.162.222

63.230.124.249

186.71.61.91

5.32.119.58

80.69.56.6

149.62.173.247

103.59.201.76

108.170.54.171

49.62.173.247

3.230.124.249

80.69.56.5

208.97.32.81

173.197.222.214

190.143.132.114

186.71.61.91

190.131.167.194

208.104.22.125

190.131.6.100

204.184.25.164

98.190.202.177

DNS

vdtogt.nl

viciousenterprises.com

unclebudspice.com

thesilveramericaneagle.com

valiunas.com

URL

http://vdtogt.nl/amyQ

http://viciousenterprises.com/qXUuXq

http://unclebudspice.com/80d

http://thesilveramericaneagle.com/tb

http://valiunas.com/G8CooI

http://63.230.124.249:443/

http://82.28.208.186/

http://78.100.163.222/

http://24.224.45.166:8080/

http://149.62.173.247:8080/

http://108.170.54.171:8080

http://208.97.32.81:8080/

http://208.104.22.125:990/

http://80.69.56.5:50000/

http://173.197.222.214:443/

上一页[1] [2] [3]

赞(0) 打赏
分享到: 更多 (0)
免责申明:本站所有资料均来自于网络,版权归原创者所有!本站不提供任何保证,不保证真实性,并不承担任何法律责任

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

阿里云优惠网 更专业 更优惠

阿里云优惠券阿里云大礼包