事件来源

近日，HSCERT监测发现一款银行木马，Emotet是一种高度模块化的银行木马，具有基于决策树的算法来执行指定的任务。

由于Emotet能够通过可自我升级的模块提供恶意程序，因此它已成为一些组织发起针对性攻击中常用的payload载体。Emotet在多阶段和多向量攻击中的使用使其具有令人讨厌的名声。

Emotet的开发者采用了“恶意软件即服务”商业模式，其中特洛伊木马用于下载和分发其他恶意软件，如Trickbot。

自2014年银行特洛伊木马成立以来，Emotet发展成为一个多组件恶意软件。多年来，它采用了高度灵活的代码库，本样本包含以下功能：

l 使用打包器来规避恶意软件识别

l 使用反分析技术

l 间接执行payload以打破基于流程链的分析

l 通过将payload作为服务启动或通过窃取管理员凭据进行权限提升

l 跨越攻击阶段的混淆代码

l 使用多个持久性机制

l 加密的导入函数名称

l 代码中的多个JMP指令混淆了逆向工程工具

l 可自我升级的模块

l 能够在受损网络中横向移动

l 能够使受感染的主机通过从Web浏览器和电子邮件客户端窃取地址簿和凭据来发送网络钓鱼电子邮件活动

样本分析

Emotet使用超链接传播，下载Microsoft Word文档。打开时，文档会提示用户单击“启用内容”。默认情况下，如果文档包含宏或ActiveX控件，Microsoft Word会提示用户发出安全警告。通常，恶意软件作者会诱使用户单击“启用内容”按钮来运行下一阶段的攻击。

在这种情况下，启用内容会导致文档执行VBA AutoOpen宏。正如在Emotet VBA脚本中所预期的那样，字符串被严重混淆并包含许多碎片字符串。这是一种众所周知的技术，使静态分析引擎更难以检测恶意内容。

我们将遍历脚本并对代码进行反混淆处理。

AutoOpen宏

我们可以看到VBA脚本引用了WMI类winmgmts：Win32_ProcessStartup和winmgmts：Win32_Process。执行时，autoopen()Sub使用这些WMI类来启动在后台运行Base64编码混淆的PowerShell实例。

间接执行：

由于宏使用WMI运行PowerShell，是通过WmiPrvSe.exe在后台启动该进程。通过这种方式执行PowerShell，恶意软件作者可以逃避基于流程链的检测。

这是一种使用合法Windows进程从宏启动PowerShell的已知技术。

模糊的PowerShell命令：

解码Base64编码的字符串后，将生成下图中的输出。该命令使用相同的字符串连接进行模糊处理，以使分析师和扫描引擎更难分析出来。

解码后的字符串包含一个'+'字符，用于连接字符串，以及大写和小写字符的混合

可以简单地删除所有“+”字符以显示反混淆命令。

它使用Invoke-Expression cmdlet，别名'iex'的在内存中运行结果输出，这是恶意软件作者执行命令的另一种流行技术。为了实现这一点，它使用了包含字符串'SilentlyContinue'的变量$ Verbosepreference。从字符串中选择第一个和第三个字符('i'和'e')，然后用'X'连接，形成字符串'ieX'。

反混淆的PowerShell脚本：

反混淆的PowerShell脚本首先使用'@'字符作为分隔符拆分分配给变量$ XXQCZAxA的字符串，然后进入ForEach循环，该循环迭代生成的URI数组，使用Net.WebClient将可执行文件下载到受害者的系统。该脚本使用环境变量$ env：userProfile来获取当前登录用户的用户配置文件目录。下载的文件将保存到受害者的用户配置文件目录(例如C：\ Users \ [Username])，文件名为'15 .exe'。如果下载文件的大小大于40KB，则脚本将退出ForEach循环并使用Invoke-Item cmdlet运行“15 .exe”。

HTTP GET请求：

从下面的截图中可以看出，PowerShell命令发送HTTP GET请求以从hxxp：// dautudatnenhoalac [。] com / wp-admin / DYAsI检索第一阶段Emotet可执行文件，并且payload是PE格式文件。

行为分析：

下载payload后，PowerShell运行'15 .exe'(PID：2600)。然后，该进程从同一位置启动另一个'15 .exe'实例(PID：2412)。

15 .exe的第二个实例(PID：2412)将自身复制到名为'ipropmini.exe'的C：\ Windows \ SysWOW64目录。然后它创建一个服务，其中BinaryPath指向C：\ Windows \ SysWOW64 \ ipropmini.exe，DesiredAccess为18。DesiredAccess'18'给予SERVICE_CHANGE_CONFIG和SERVICE_START对服务的访问权限。

通过Windows服务启动二进制文件是一种流行的技术，原因如下。首先，它打破了基于进程链的检测，其次，在服务开始时，二进制文件总是被执行，即使它不是一个有效的服务可执行文件。

可执行文件“ipropmini.exe”(由services.exe启动)产生另一个自身实例，然后从Internet下载下一阶段payload。之后，可执行文件在第一个Emotet进程('15 .exe')上执行挖空进程，在这基础上编写了修改后的代码。

当运行时，Emotet从远程服务器下载更多有效负载并生成多个进程，收集系统信息并通过加密通道将其发送到C2服务器。

HTTP POST请求：

Emotet使用HTTP POST将系统相关信息发送到C2服务器，并从服务器接收进一步的命令作为响应。

IoCs

SHA256 (15.exe)

af2f82adf716209cd5ba1c98d0dcd2d9a171bb0963648bd8bd962edb52761241

SHA256(ipropmini.exe) af2f82adf716209cd5ba1c98d0dcd2d9a171bb0963648bd8bd962edb52761241

SHA256(ipropmini.exe) 00af24bb1be8c17106c19ba0c55acd011088c6c5b1cb01d44cc4b829b3449bcb

SHA256(5W8Jo1G2cQJW9lWLu.exe) 00af24bb1be8c17106c19ba0c55acd011088c6c5b1cb01d44cc4b829b3449bcb

SHA256(7hZs97N.exe) f58322a00b576deb9c1a26b28ca8fa84c793fc8baf3c4f780a9a77966dda89e3

SHA256(ipropmini.exe) 0eefd2619d77d7bafed95197e0c0ef30147acaddcd81eb2761ee9893fd55f91b

Delivery URL http[:]//dautudatnenhoalac[.]com/wp-admin/DYAsI/

Delivery URL http[:]//www.bewebpreneur[.]com/wp-admin/daHN/

Delivery URL http[:]//www.allgreennmb[.]com/wp-content/themes/pridezz/t9iV

Delivery URL http[:]//www.baiduwanba[.]com/css/Ubh/

Delivery URL http[:]//rileyaanestad[.]com/wp-includes/DXn1R/

参考信息

https://www.bromium.com/emotet-technical-breakdown/

如需帮助请咨询 hscert@hillstonenet.com