木马病毒工具大全:恶意软件Emotet又现新变种 不再是 简单
木马病毒工具大全:恶意软件Emotet又现新变种 不再是 简单Emotet的足迹遍布全球,不特定于哪一个国家,也不特定于哪一个地区。Base64编码的PowerShell命令能够从指定的位置下载有效载荷,而有效载荷将被保存为一个EXE可执行文件。Emotet的第一个升级版本会破坏受感染设备上的注册表,并将窃取到的数据以加密形式存储在注册表中。这种方法可以有效地避免Emotet被发现,进而实现在受感染设备上的长久驻留。Emotet被认为出自某个黑客组织之手,而该黑客组织还被认为与Bugat、Feodo、Geodo、Heodo、Cridex、Dridex等银行木马恶意软件家族存在。在过去几年里,Emotet还曾分发过AZORult、IcedID、Zeus Panda和TrickBot,如今更是能同时分发多种恶意软件,也因此获得了杀毒软件厂商、执法机构和安全研究人员的高度关注。Emotet的最新变种仍主要通过社会工程技术(主要通过电子邮件)进行传播的,恶意
2014年,Emotet首次被发现。在当时,它还只是一种用于窃取财务数据的“简单”银行木马。之所以“简单”二字要打双引号,是因为随着时间的推移,这种木马病毒不仅已经演变成了僵尸网络,而且还具备了模块化的结构。
如今的Emotet能够向蠕虫病毒一样传播,具有非常强的感染性,美国国土安全部对它的评价是“给州、地方、部落和地区(SLTT)政府、私有部门和公共部门造成经济损失最大、最具破坏力的恶意软件之一”。
Emotet的罪恶史有关Emotet的首份分析报告来自Joie Salvio,时间是在2015年。在当时,它的感染媒介非常简单,主要运用了社会工程技术(例如:垃圾邮件),借助恶意下载链接传播。
下载的文件包含两个有效载荷:一个是配置文件,其中包含一份目标银行列表,另一个是DLL文件,可以将其注入到各种进程之中,以拦截出站网络流量并在Web浏览器中收集详细信息。
Emotet的第一个升级版本会破坏受感染设备上的注册表,并将窃取到的数据以加密形式存储在注册表中。这种方法可以有效地避免Emotet被发现,进而实现在受感染设备上的长久驻留。
Emotet被认为出自某个黑客组织之手,而该黑客组织还被认为与Bugat、Feodo、Geodo、Heodo、Cridex、Dridex等银行木马恶意软件家族存在。在过去几年里,Emotet还曾分发过AZORult、IcedID、Zeus Panda和TrickBot,如今更是能同时分发多种恶意软件,也因此获得了杀毒软件厂商、执法机构和安全研究人员的高度关注。
最新变种技术细节Emotet的最新变种仍主要通过社会工程技术(主要通过电子邮件)进行传播的,恶意电子邮件附件通常是一个ZIP压缩文件,其中包含一个恶意Word文档和一个恶意宏,而该恶意宏能够调用PowerShell。
Base64编码的PowerShell命令能够从指定的位置下载有效载荷,而有效载荷将被保存为一个EXE可执行文件。
几乎遍布全球的C2服务器Emotet的足迹遍布全球,不特定于哪一个国家,也不特定于哪一个地区。
37.157.194.134(捷克)
与样本SHA-256:9A0A40DAD123B16C404EB3B786E72AC8F3A4EBAF9E8A14682977C69FFF4F379E相关的IP地址37.157.194.134连接到一台位于捷克的服务器,访问该网站最为频繁的前5个国家如下:
活动时间表如下:
45.79.188.67(美国)
与样本SHA-256:9A0A40DAD123B16C404EB3B786E72AC8F3A4EBAF9E8A14682977C69FFF4F379E相关的IP地址45.79.188.67连接到一台位于美国新泽西州纽瓦克的服务器,访问该网站最为频繁的前5个国家如下: