吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 6863|回复: 55
收起左侧

[PC样本分析] Emotet木马病毒死灰复燃 瞄准企业用户发起攻击

  [复制链接]
火绒安全实验室 发表于 2021-11-26 21:28
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
近期,火绒监测到Emotet木马病毒再次大规模爆发,主要通过鱼叉邮件方式进行传播。当用户点击运行邮件附件后,病毒就会被激活,并在终端后台盗取各类隐私信息,由于鱼叉邮件主要针对特定用户、组织或企业,严重威胁企业信息安全,火绒在此紧急提示广大企业用户注意防范。火绒用户无需担心,火绒已对Emotet木马病毒进行查杀。

Image-4.png
查杀图

根据“火绒威胁情报中心”监测和评估,本次Emotet木马病毒来势汹汹,在11月份快速增长,并于中下旬集中爆发。

Image-5.png
Emotet近期增长趋势

Emotet曾是自2014年至今全球规模最大的僵尸网络之一,该僵尸网络在2021年1月被欧洲刑警组织查获,并于4月25日下发“自毁模块”后被彻底捣毁。主要通过鱼叉邮件进行传播的Emotet木马病毒,在过去的7年时间里,给社会带来了极大损失和影响。

火绒曾在《全球最大僵尸网络自毁 火绒起底Emotet与安全软件对抗全过程》一文中,详细分析了Emotet通过不断更换外层混淆器,调整自身的代码逻辑和更新C&C服务器,疯狂的与安全软件进行对抗的过程。


火绒再次提醒广大用户,尤其企业用户,请及时做好排查工作,发现可疑邮件可联系专业人员查看。也可以安装火绒安全软件,通过【文件实时监控】、【邮件监控】、【应用加固】和【系统加固】等关键性防护功能,避免遭受Emotet木马病毒威胁,保护终端网络安全。



一、        详细分析
鱼叉邮件中会将恶意文档(通常为doc、docx、xls、xlsx等)伪装为企业内部业务相关的沟通信息文档,从而诱导用户打开。恶意文档内的宏脚本被激活后,会启动powershell下载Emotet木马病毒,再由rundll32加载执行。Emotet最终会下载执行实质恶意模块(报告中仅以间谍木马模块为例,主要恶意行为为盗取用户数据)。病毒恶意代码执行流程,如下图所示:

Image-6.png
病毒恶意代码执行流程

用于病毒传播的鱼叉邮件内容,如下图所示:

Image-7.png
鱼叉邮件内容

本次用作Emotet木马病毒传播的恶意文档内容,如下图所示:

Image-8.png
恶意文档内容

Emotet木马病毒执行后会盗取用户数据,以盗取邮件客户端工具<Mozilla Thunderbird>数据文件为例,相关行为如下图所示:

Image-9.png
相关恶意行为

盗取邮件客户端工具<Mozilla Thunderbird>数据文件代码,如下图所示:

Image-10.png
盗取Thunderbird数据文件代码

二、        同源性分析
经分析发现,该病毒的传播途径、恶意行为代码与之前分析的Emotet病毒具有一定的相似性。以下为该病毒样本与2021年1月份捕获到的Emotet样本在关键解密函数的代码对比图:

Image-11.png
此前报告中Emotet关键代码与当前Emotet关键代码同源性对比

免费评分

参与人数 36吾爱币 +34 热心值 +33 收起 理由
Kirito2021 + 1 + 1 学到了,非常感谢!
newredtea + 1 谢谢@Thanks!
Shadow12 + 1 + 1 热心回复!
闪的好快啊 + 1 用心讨论,共获提升!
炸天帮王撕葱 + 1 + 1 用心讨论,共获提升!
AlanSilence + 1 + 1 谢谢@Thanks!
Ctrl十C + 1 + 1 谢谢@Thanks!
medsee + 1 + 1 谢谢@Thanks!
a'ゞ蘇 + 1 + 1 我很赞同!
AnoxiaY + 1 谢谢@Thanks!
wp19910107 + 1 + 1 用心讨论,共获提升!
lingyun011 + 1 + 1 热心回复!
唯爱丶雪 + 2 + 1 用心讨论,共获提升!
wanfon + 1 + 1 谢谢@Thanks!
LegendSaber + 1 + 1 我很赞同!
sunning-H-C + 1 + 1 用心讨论,共获提升!
海诚 + 1 + 1 我很赞同!
yy688go + 1 我很赞同!
无极166 + 1 谢谢@Thanks!
开心熊猫741 + 1 + 1 我很赞同!
LovenSar + 1 + 1 鼓励转贴优秀软件安全工具和文档!
jiushi + 1 + 1 热心回复!
lingli077 + 1 + 1 谢谢@Thanks!
xiaohanjss + 1 + 1 谢谢@Thanks!
chenmintian + 1 + 1 我很赞同!
会谦逊的陆逊 + 1 + 1 我很赞同!
2b菜鸟 + 1 谢谢@Thanks!
laolu + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
柑桔 + 1 + 1 用心讨论,共获提升!
努力加载中 + 1 + 1 谢谢@Thanks!
EauOtis + 1 + 1 未能按照本版块发帖要求发帖,请仔细阅读本版块版规再发帖,谢谢理解!
visaction + 1 + 1 谢谢@Thanks!
忆魂丶天雷 + 2 + 1 我很赞同!
I777 + 1 + 1 我很赞同!
vmcscat + 1 + 1 用心讨论,共获提升!
yunlongzhuhuo + 1 + 1 我很赞同!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

柠檬汁汁汁丶 发表于 2021-11-27 08:17
前段时间,我弟弟说他的电脑几乎不能用了,因为他平时就办公用,所以当初没有给他做杀毒软件,然后下了个火绒,扫描出来的貌似就是这个木马,即使清理了都没啥用,最后重做了系统。
中原一点红 发表于 2021-11-27 23:05
有些邮件有文档的,我大多都是使用在线浏览,很少下载;不清楚不下载只是在线浏览会不会就相对安全些;看来以后收到的文档文件最好也要查杀下病毒先,哈哈
dipper 发表于 2021-11-26 21:44
莫丶莫欺少年穷 发表于 2021-11-26 21:56
火绒就是强大
gdf87521 发表于 2021-11-26 22:35
收到!!!
YinYuanJiHui 发表于 2021-11-26 22:51
收到,感谢提醒
kudoushinichi 发表于 2021-11-26 23:00
感谢提醒,我以为是个发帖的,没想到是个官方的
skyadmin 发表于 2021-11-26 23:07
学习了 优秀
visaction 发表于 2021-11-26 23:57
感谢感谢,辛苦了。
kuangnuyishi 发表于 2021-11-27 00:08
有备无患,防患于未然,学习了
Cleanm 发表于 2021-11-27 05:41
学习了 谢谢
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 10:43

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表