Emotet的演变:从银行木马到网络威胁分销商

有证据注解,Emotet背后的运营团队Mealybug已经从掩护自己的自定义银行木马成长成为了其他组织的恶意软件的分销商。

Mealybug是一个收集犯罪组织,自2014年以来不停维持生动。我们可以经由过程其应用的自定义恶意软件Trojan.Emotet来识别它。近几年来,Mealybug彷佛已经改变了其商业模式,从针对欧洲的银行客户转变为了应用其根基举措措施为举世其他要挟行径者供给恶意软件包装和交付办事。

因为Emotet可以自我传播,是以它给受害者组织带来了额外的寻衅。收集蠕虫已经经历了一次中兴,这里有一些众所周知的例子,如WannaCry(Ransom.Wannacry)和Petya/NotPetya(Ransom.Petya)。经由过程收集传播还意味着受害者能够在不点击恶意链接或下载恶意附件的环境下受到感染。一旦降低到受害者组织的设备上,Emotet会下载并履行一个包孕一个密码列表的扩展模块,用于暴力造访同一收集上的其他设备。

Emotet的自我传播以及暴力造访有可能会给受害者组织带来更大年夜的麻烦,由于它可能会孕育发生多次掉败的登录考试测验,进而导致用户被锁定在他们的收集账户之外。这也孕育发生了对IT办事台的需求增添以及一样平常临盆力下降的连带反映,而这恰是臭名昭著的Conficker蠕虫(W32.Downadup)的一个代表性标志,在经历了十年之后,引起类似问题的始作俑者换成了Emotet。

除了经由过程暴力造访之外,Emotet还可以经由过程在受感染设备上安装的垃圾电子邮件模块来传播到其他设备上去。该模块天生的电子邮件应用了标准的社会工程技巧,其主题平日包孕类似于“Invoice”这样的单词。一些主题还包孕了被泄露的电子邮件账户所有者的名字,以使它看起来并不像是垃圾电子邮件。这些电子邮件平日包孕恶意链接或恶意附件,假如被打开,受害者的设备将会被Trojan.Emotet所感染。

近来,Mealybug彷佛已经扩大年夜了其营业,主要成为了其他进击组织的恶意软件分销商。

Emotet成为举世要挟

当Mealybug于2014年头?年月次被发明时,它正在应用Emotet来传播银行木马,并专注于针对德国的银行客户。当时,Mealybug应用Trojan.Emotet作为Cridex银行木马的一个改动版本W32.Cridex.B的加载法度榜样组件。在2015年,Mealybug开始瞄准瑞士银行客户,并将Emotet进级为更具模块化的恶意软件。新版本的Emotet为其加载法度榜样、银行数据偷取、电子邮件凭据偷取、散播式回绝办事(DDoS)进击和恶意电子垃圾邮件供给了零丁的模块。

Mealybug主要致力于应用Emotet来交付银行木马。在2017年,它成为了第一个交付IcedID(Trojan.IcedID)银行木马的组织。同样在2017年,它还被察看到交付了Trojan.Trickybot和Ransom.UmbreCrypt打单软件。颠末多年的成长,Mealybug已经提升了自己的能力,现在彷佛供给了一种“端到端”的恶意软件交付办事。它不仅交付了恶意软件,而且还对它们进行了肴杂以削减被检出的机率,并供给了一个扩展模块来容许恶意软件自我传播。

Emotet经由过程发送包孕能够导致文档被下载的恶意链接或附有恶意文档的电子邮件,在受害者的设备或收集上得到初步容身点。至少从2015年开始,Emotet就拥有了反阐发技巧。在2018年,Emotet的有效载荷包孕了一个含有其主要组件和一个反阐发模块的压缩文件。反阐发模块会履行多次反省以确保它并不是运行在用于恶意软件钻研的设备上,然后才会加载主要组件。PowerShell或JavaScript都用于下载这个木马,该木马会将一个经打包的有效载荷文件交付到受害者的设备上。一旦降低到受害者的设备上,最新版本的Emotet将履行以下操作:

将自身移动到其首选目录

在启动文件夹中创建指向自身的LNK文件

网络受害者的设备信息并将其发送到C&C办事器

然后,它可以从C&C办事器下载新的有效载荷,并履行它们。Emotet可以下载自身的更新版本或任何其他恶意软件。现有版本的Emotet将从C&C办事器下载模块,包括:

银行营业模块:此模块用于拦截来自浏览器的收集流量,以偷取用户输入的银行具体信息。这便是Trojan.Emotet被分类为银行木马的缘故原由。

电子邮件客户端信息偷取模块:此模块用于偷取电子邮件客户端软件中的电子邮件凭据。

浏览器信息偷取模块:此模块用于偷取浏览历史记录和已保存的密码等信息。

PST信息偷取模块:此模块用于读取Outlook的电子邮件存档,并提取电子邮件的发件人姓名和电子邮件地址,可能用于发送垃圾电子邮件。

由这些模块偷取的所有信息都将被发送到C&C办事器。Emotet还有一个DDoS模块,可以将受感染的设备添加到僵尸收集中,以履行DDoS进击。

图1.Trojan.Emotet主要关注位于美国的目标

多年来,Emotet的地舆目标也在显明增添。在经历了2015年以来相对镇定的一段时期之后,在2017年下半年,Emotet的检出率开始激增。而在那一年,Mealybug的目标包括了位于加拿大年夜、中国、英国和墨西哥的受害者。然而,根据赛门铁克2018年上半年的遥测数据显示,其关注的焦点今朝主要集中在位于美国的目标身上。

图2.按地舆区域划分的Trojan.Emotet检出率

Qakbot木马

自2018年2月以来,Emotet已被用于传播W32.Qakbot,这是一个以收集蠕虫行径而驰誉的银行木马家族。

[1] [2]下一页

就像Emotet一样,Qakbot也可以自我传播。Qakbot试图经由过程暴力造访来实现跨收集传播,同时也应用“ living-off-the-land(靠山吃山靠水吃水)”对象进行传播。它应用PowerShell来下载并运行Mimikatz(Hacktool.Mimikatz),这是一个开源的凭据偷取对象,容许进击者在建立初始容身点之后,就可以在收集上快速移动。

事实上,Emotet和Qakbot都具有自我传播的能力,这意味着一旦它们进入到你的收集中,就会迅速伸展。两者都试图经由过程暴力造访在收集上传播,这也增添了用户被锁定在其设备之外的风险。在2018年2月,Qakbot检出率的飙升注解这种要挟的“双重传播”正在发生,这意味着Mealybug正在应用Emotet在收集上传播Qakbot,而Qakbot同时也在应用自己的自我传播能力。帐户锁定场景是一种异常现实的要挟,对付组织来说是一个潜在的大年夜问题。

图3. 2018年1月1日至5月28日时代的W32.Qakbot检测率

赛门铁克的阐发注解,Emotet和Qakbot应用了相同的打包法度榜样,但有多种身分注解,Mealybug仅为Qakbot背后的要挟行径者供给Emotet作为交付办事,并没有直接操控木马。

两种木马的C&C根基举措措施之间彷佛没有任何重叠,阐发回揭示了它们主要组件的代码和反阐发技巧存在差异。

Mealybug应用了两种不合的传播机制也是令人惊疑的,由于如上所述,两种考试测验暴力破解密码的木马都可以触发帐户锁定并阻断木马的传播。假如两种木马都是由Mealybug操控的,那么该组织不太可能同时应用两种不合的传播技巧。出于这些缘故原由,我们觉得Emotet和Qakbot是由两个自力的组织操控的,而Mealybug正在供给Emotet作为其他恶意软件的交付机制。

Emotet的进化

Mealybug彷佛已经找到了自己的定位:为其他要挟行径者供给恶意软件交付办事。Trojan.Emotet的主要组件被用作一个加载法度榜样,理论上可以支持任何有效载荷。虽然它仍旧主要用于分发银行木马,但从理论上讲,它可以传播任何恶意软件,并且有报道称它已经交付了Ransom.UmbreCrypt打单软件。Mealybug大年夜概是经由过程从应用其办事的要挟行径者那里获图利润来赢利的。根据我们所察看到的,Mealybug彷佛一次同时办事于多个进击组织,我们也没有证据能够注解它是某个组织的“专属”分销商。在2017年11月,Mealybug被察看到在多起活动中同时将Trojan.Trickybot和W32.Qakbot交付到了同一台设备上,而这是在几分钟之内完成的。

Mealybug从将自己的银行木马交付给相对较少的目标到主要作为其他要挟行径者的举世分销商的转变很故意思。我们察看到Mealybug正在赓续成长并改进他们的技巧和商业模式,以最大年夜化利润。看来,Mealybug彷佛已经抉择经由过程担负经销商这一角色,以最大年夜限度地前进其收益。

这可能滥觞于Mealybug发明,仅经由过程银行木马赢利已经变得异常艰苦,以是他们不得不改变了自己的策略。跟着银行对双身分身份验证(2FA)的遍及和应用,使得经由过程偷取凭据来破坏帐户变得加倍艰苦,并且跟着网上银行营业的成熟,人们的安然意识和保护步伐也获得了改良。

组织面临的寻衅

Mealybug的活动为组织带来了许多寻衅,这包括:

它的像蠕虫一样的能力意味着它可以在组织中迅速传播。

Emotet的收集传播能力意味着设备可以在没有任何用户交互的环境下受到感染。

暴力造访增添了受害者组织中的用户被锁定在设备之外的可能性,并给IT团队带来麻烦并影响事情效率。

上一页[1] [2]

赞(0) 打赏
分享到: 更多 (0)
免责申明:本站所有资料均来自于网络,版权归原创者所有!本站不提供任何保证,不保证真实性,并不承担任何法律责任

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

阿里云优惠网 更专业 更优惠

阿里云优惠券阿里云大礼包