快捷搜索:  网络  CVE  渗透  后门  扫描  木马  黑客  as

Emotet的演化:从银行木马到收集威胁分销商

Emotet的演化:从银行木马到收集威胁分销商

有证据表明,Emotet违后的运营团队Mealybug已经从珍爱本人的自定义银行木马发铺成为了其他构造的恶意软件的分销商。

Mealybug是一个收集犯法构造,自2014年以来始终保持活跃。我们可以通过其使用的自定义恶意软件Trojan.Emotet来识别它。近几年来,Mealybug似乎已经改变了其商业模式,从针对欧洲的银行客户转变为了使用其基础举措措施为环球其他威胁举动者提供恶意软件包装以及交付服务。

由于Emotet可以自我传播,因此它给受害者构造带来了额外的挑战。收集蠕虫已经经历了一次再起,这里有一些尽人皆知的例子,如WannaCry(Ransom.Wannacry)以及Petya/NotPetya(Ransom.Petya)。通过收集传播还象征着受害者能够在不点击恶意链接或下载恶意附件的情形下受到感染。一旦降落到受害者构造的设备上,Emotet会下载并执行一个包含一个暗码列表的扩大模块,用于暴力走访同一收集上的其他设备。

Emotet的自我传播和暴力走访有可能会给受害者构造带来更大的麻烦,因为它可能会产生多次失败的登录尝试,进而导致用户被锁定在他们的收集账户之外。这也产生了对IT服务台的需求增添和一般生产力下降的连带反应,而这恰是臭名昭著的Conficker蠕虫(W32.Downadup)的一个代表性标志,在经历了十年以后,引起类似问题的始作俑者换成了Emotet。

除了通过暴力走访之外,Emotet还可以通过在受感染设备上装置的垃圾电子邮件模块来传播到其他设备上去。该模块生成的电子邮件使用了标准的社会工程手艺,其主题通常包含类似于“Invoice”如许的单词。一些主题还包含了被泄露的电子邮件账户所有者的名字,以使它看起来并不像是垃圾电子邮件。这些电子邮件通常包含恶意链接或恶意附件,要是被关上,受害者的设备将会被Trojan.Emotet所感染。

近来,Mealybug似乎已经扩铺了其营业,首要成为了其他攻击构造的恶意软件分销商。  

Emotet成为环球威胁

当Mealybug于2014年首次被发现时,它正在使用Emotet来传播银行木马,并专注于针对德国的银行客户。那时,Mealybug使用Trojan.Emotet作为Cridex银行木马的一个修改版本W32.Cridex.B的加载程序组件。在2015年,Mealybug最先瞄准瑞士银行客户,并将Emotet升级为更具模块化的恶意软件。新版本的Emotet为其加载程序、银行数据窃取、电子邮件凭据窃取、分布式拒尽服务(DDoS)攻击以及恶意电子垃圾邮件提供了单独的模块。

Mealybug首要致力于使用Emotet来交付银行木马。在2017年,它成为了第一个交付IcedID(Trojan.IcedID)银行木马的构造。一样在2017年,它还被观察到交付了Trojan.Trickybot以及Ransom.UmbreCrypt勒索软件。经过量年的发铺,Mealybug已经抬举了本人的能力,现在似乎提供了一种“端到端”的恶意软件交付服务。它不仅交付了恶意软件,而且还对它们进行了混淆以缩小被检出的机率,并提供了一个扩大模块来允许恶意软件自我传播。

Emotet通过发送包含能够导致文档被下载的恶意链接或附有恶意文档的电子邮件,在受害者的设备或收集上获得初步立足点。最少从2015年最先,Emotet就拥有了反阐发手艺。在2018年,Emotet的有用载荷包含了一个含有其首要组件以及一个反阐发模块的压缩文件。反阐发模块会执行多次检查以确保它并不是运行在用于恶意软件研究的设备上,然后才会加载首要组件。PowerShell或JavaScript都用于下载这个木马,该木马会将一个经打包的有用载荷文件交付到受害者的设备上。一旦降落到受害者的设备上,最新版本的Emotet将执行下列操作:

将自身挪移到其首选目录

在启动文件夹中创建指向自身的LNK文件

网络受害者的设备信息并将其发送到C&C服务器

然后,它可以从C&C服务器下载新的有用载荷,并执行它们。Emotet可下列载自身的更新版本或任何其他恶意软件。现有版本的Emotet将从C&C服务器下载模块,包括:

银行营业模块:此模块用于拦截来自阅读器的收集流量,以窃取用户输入的银行具体信息。这就是Trojan.Emotet被分类为银行木马的缘故起因。

电子邮件客户端信息窃取模块:此模块用于窃取电子邮件客户端软件中的电子邮件凭据。

阅读器信息窃取模块:此模块用于窃取阅读历史记录以及已保存的暗码等信息。

PST信息窃取模块:此模块用于读取Outlook的电子邮件存档,并提取电子邮件的发件人姓名以及电子邮件地址,可能用于发送垃圾电子邮件。

由这些模块窃取的所有信息都将被发送到C&C服务器。Emotet还有一个DDoS模块,可以将受感染的设备添加到僵尸收集中,以执行DDoS攻击。

Emotet的演化:从银行木马到收集威胁分销商

图1.Trojan.Emotet首要关注位于美国的目标

多年来,Emotet的地理目标也在明明增添。在经历了2015年以来相对于平静的一段时期以后,在2017年下半年,Emotet的检出率最先激增。而在那一年,Mealybug的目标包括了位于加拿大、中国、英国以及墨西哥的受害者。然而,根据赛门铁克2018年上半年的远测数据显示,其关注的焦点目前首要集中在位于美国的目标身上。

Emotet的演化:从银行木马到收集威胁分销商

图2.按地理地区划分的Trojan.Emotet检出率

Qakbot木马

自2018年2月以来,Emotet已被用于传播W32.Qakbot,这是一个以收集蠕虫举动而闻名的银行木马家族。

就像Emotet同样,Qakbot也能够自我传播。Qakbot试图通过暴力走访来完成跨收集传播,同时也使用“ living-off-the-land(靠山吃山靠水吃水)”工具进行传播。它使用PowerShell来下载并运行Mimikatz(Hacktool.Mimikatz),这是一个开源的凭据窃取工具,允许攻击者在确立初始立足点以后,就可以在收集上快速挪移。

究竟上,Emotet以及Qakbot都具有自我传播的能力,这象征着一旦它们进入到你的收集中,就会迅速蔓延。两者都试图通过暴力走访在收集上传播,这也增添了用户被锁定在其设备之外的危害。在2018年2月,Qakbot检出率的飙升表明这类威胁的“两重传播”正在发生,这象征着Mealybug正在使用Emotet在收集上传播Qakbot,而Qakbot同时也在使用本人的自我传播能力。帐户锁定场景是一种无比现实的威胁,对于构造来说是一个潜伏的大问题。

 Emotet的演化:从银行木马到收集威胁分销商

图3. 2018年1月1日至5月28日期间的W32.Qakbot检测率

赛门铁克的阐发表明,Emotet以及Qakbot使用了相同的打包程序,但有多种身分表明,Mealybug仅为Qakbot违后的威胁举动者提供Emotet作为交付服务,并没有直接操控木马。

两种木马的C&C基础举措措施之间似乎没有任何重叠,阐发还揭示了它们首要组件的代码以及反阐发手艺存在悬殊。

Mealybug使用了两种不同的传播机制也是使人惊讶的,因为如上所述,两种尝试暴力破解暗码的木马都可以触发帐户锁定并阻断木马的传播。要是两种木马都是由Mealybug操控的,那么该构造不太可能同时使用两种不同的传播手艺。出于这些缘故起因,我们认为Emotet以及Qakbot是由两个自力的构造操控的,而Mealybug正在提供Emotet作为其他恶意软件的交付机制。

Emotet的进化

Mealybug似乎已经找到了本人的定位:为其他威胁举动者提供恶意软件交付服务。Trojan.Emotet的首要组件被用作一个加载程序,理论上可以支持任何有用载荷。虽然它仍旧首要用于分发银行木马,但从理论上讲,它可以传播任何恶意软件,并且有报导称它已经交付了Ransom.UmbreCrypt勒索软件。Mealybug大概是通过从使用其服务的威胁举动者那边获取利润来赢利的。根据我们所观察到的,Mealybug似乎一次同时服务于多个攻击构造,我们也没有证据能够表明它是某个构造的“专属”分销商。在2017年11月,Mealybug被观察到在多起活动中同时将Trojan.Trickybot以及W32.Qakbot交付到了同一台设备上,而这是在几分钟之内实现的。

Mealybug从将本人的银行木马交付给相对于较少的目标到首要作为其他威胁举动者的环球分销商的转变很故意思。我们观察到Mealybug正在不断发铺并改进他们的手艺以及商业模式,以最大化利润。看来,Mealybug似乎已经决定通过担任经销商这一角色,以最大限度地提高其收益。

这可能来源于Mealybug发现,仅通过银行木马赢利已经变得无比难题,黑客技术,所以他们不得不改变了本人的策略。随着银行对双身分身份验证(2FA)的普及以及使用,使得通过窃取凭据来损坏帐户变得愈加难题,并且随着网上银行营业的成熟,人们的安全意识以及维护措施也得到了改善。

构造面临的挑战

Mealybug的活动为构造带来了许多挑战,这包括:

它的像蠕虫同样的能力象征着它可以在构造中迅速传播。

Emotet的收集传播能力象征着设备可以在没有任何用户交互的情形下受到感染。

暴力走访增添了受害者构造中的用户被锁定在设备之外的可能性,并给IT团队带来麻烦并影响工作效劳。

*

您可能还会对下面的文章感兴趣: