深入了解Emotet多层操作机制

在短短5年的时间里，Emotet已成功演变成目前最臭名昭著的网络威胁之一。据US-CERT称，Emotet的每次现身，都伴随着平均高达100万美元的修复费用。在 最近一篇分析Emotet的文章 中，我们介绍了Emotet的活动及其两个基础设施的设置，以及在对其跟踪后发现的一些信息：Emotet在去年6月至9月间全球共有721个C&C服务器、8258个独立的URL、5849个文件Dropper和571个可执行样本；并阐述了对Emotet研究的三个主要发现，包括多层操作机制、至少两个平行运作的构架，和Emotet的所在地的大致时区；而这篇后续文章主要关注Emotet的多层操作机制，这也是该恶意软件最值得注意的特性之一。在研究论文“ 探索Emotet的活动” 中，我们对这种模块化恶意软件的运行方式有了更深入的了解，并讨论了Emotet与讲俄语的攻击者有关的可能性。

多层操作机制:文件dropper和打包的可执行文件

Emotet所使用的文件dropper和打包的可执行样本——其出现的活动迹象在时间上有一定差异性。创建和传播文件dropper的基础设施不同于打包和部署其可执行文件的基础设施。

对于Emotet的文件dropper，由于其经常被恶意软件创作者使用，且容易收集和大规模创建，于是我们决定观察其创作者是在什么时候创建它们的。然后我们统计每天各时段文件dropper唯一时间戳的生成规律。

图1. 按天统计的Emotet文件dropper的生成模式

图2. 按小时统计的 Emotet文件dropper的生成模式

图1和图2显示，创作者创建文件dropper的规律是每周休息一到两天，并且在1点到6点(UTC)之间的非工作时间段不活跃。我们还注意到，创作者在9月份每天使用文件dropper工具的次数都超过了20次。

与此同时，Emotet的可执行样本也激发激发了我们的研究兴趣，这些样本是由自制的打包 工具 打包的。我们注意到，与通常清除或伪造已打包样本中的编译时间戳的恶意软件打包程序不同，Emotet在使用了打包程序仍然保留了一些可能是合法的时间戳。

我们发现，根据编译时间戳，哈希值为SHA256 30049dadda36afb06677655aa8b3e9066511f47e017561bee7e456d4c0236d和2f93cc97f99c77880027b149d257268f45bce1255aeaefdc4f21f5bd744573f的Emotet样本在编译后，仅有几分钟的时间就出现在了野外。为了确定一个Emotet样本从被编译到出现在野外的时间，我们使用如下表达式:

delta = Math.Floor(样本首次现身时间 – 样本中的汇编时间戳)

由于delta在-24到+24小时之间绘制都是合法的，所以我们从571个样本中选择了371个具有合法时间戳的样本。

在计算过程中，我们发现以更短的时间间隔(比如以分钟为单位)绘制delta时，我们能够得到两组delta分布。注意这一点很重要，因为如果时间戳是随机伪造的，那么计算结果应当显示为均匀分布。

图3. delta值的分布示意图

其中，有101个Emotet样本从被封装好，到首次观测到出现在野外，中间的间隔时间为7小时，我们将其称为第一个示例组，其机器可能设置为UTC +7时区；其他267个样本的delta分布信息显示，间隔时间都小于60分钟，我们将其称为第二示例组，其机器可能设置为UTC +0时区；但是，由剩下的Emotet样本组成的第三组，我们却缺乏足够的信息，因为编译时间戳已经被篡改了。

我们在前两组之间发现了一个有趣的点:从它们在野外的出现情况看，Emotet参与者似乎在轮流地使用它们。

图4. 两组(UTC +0和UTC +7)的可执行样本的首次发现日期，每个圆的半径代表当天找到的样本数量

两个Emotet组在野外出现的时间每次持续1到5天，这可能意味着每个组的机器在那些天被连续用来生成和部署打包好的可执行文件。

下图展示了文件dropper和打包的可执行样本的活动模式。可以看出，当出现新的文件dropper时，不会出现可执行样本，反之亦然。这可能意味着存在用于创建文件dropper和生成可执行样本的多层操作机制。

图5. 文件dropper(蓝色)和打包的可执行样本(红色)的活动模式

如何预防Emotet

Emotet通过欺骗用户打开恶意邮件的方式传播，因此避免打开可疑邮件可以帮助降低这种威胁的感染风险。Emotet的参与者通常用与财务相关的电子邮件主题和文件附件欺骗受害者，比如不同语言的“发票”、“付款”和“收据”。而使用嵌入式URL发送的电子邮件，则可以传递Emotet文件dropper，因此需要注意URL的信息——与此恶意软件相关的恶意URL通常包含国家信息，如US或DE，以及常用的关键字，如“商业”、“小企业”和“工资单”等。

下面是一些Emotet参与者使用的URL示例:

·hxxp://arad-net.ir/files/En_us/Invoice-for-sent/Deposit/

· hxxp://arendaufa02.ru/files/En_us/Aug2018/Invoice-067831

· hxxp://cestenelles.jakobson.fr/521EHMUI/BIZ/Personal

· hxxp://checkout.spyversity.com/9iifVzAhH4pD3D/BIZ/Firmenkunden

· hxxp://challengerballtournament.com/9773605LDMSIR/identity/Smallbusiness

除了警惕可疑的电子邮件之外，Emotet还会误导用户进行操作系统的更新，因为Emotet会删除SMB漏洞以进行传播。众所周知，它可以通过删除浏览器和密码获取模块来窃取用户信息，以及使用黑客工具来恢复用户密码，因此定期更改密码的做法将有助于防范这种恶意软件。

在我们题为 “探索Emotet的活动” 的研究中，可以找到更多的Emotet感染技术，以及对Emotet活动、操作模型、感染链和二进制文件的更多分析。