2019年2月,趋势科技在针对酒店行业的一个MDR( managed detection and response )监测端点中检测到了一种特殊的Emotet变体。此次攻击行动通过Emotet恶意软件下载Nymaim恶意软件,并利用Nymaim来加载Nozelesn勒索软件。在这次威胁调查中,我们还从遥测中获取了580个类似的Emotet文件附件样本,并收集了2019年1月9日至2019年2月7日之间的数据。
威胁调查
2月11日,我们开始对MDR监控端点的Emotet检测情况做调查。在端点EP01中,我们注意到以下可疑文件:
表1.Emotet恶意软件感染时间线
当我们观察可能再次感染的环境时,我们收到了一份报告,称在另一个端点(这次是服务器)上发现了名为How_Fix_Nozelesn_files.htm的文件。通过调用服务器S01显示,该服务器受到了Nozelesn勒索软件的感染,文件似乎是在2月15日前后被写入的磁盘。在进一步检验了这些活动后发现与它们大多都与初始事件相关。为了更好的理解这些事件,我们对EP01进行了二次调查,并将其称之为根源链分析(RCA)。
分析
图1.该Emotet样本感染的根本原因的分析图表
基于RCA的分析,恶意文件通过谷歌Chrome下载并用Microsoft Word打开。在打开恶意文档之后,会立即生成PowerShell.exe并连接到各种IP地址,最终在系统中创建了另一个名为942.exe的文件。
图2. 连接到各种IP地址并创建942.exe的PowerShell脚本
检测到的组件indexerneutral.exe是Emotet的主要组件,它实际上是移动到另一个位置的942.exe。它通过explorer.exe进程注入内存中并保持驻留。根据其行为,恶意软件可能会连接到多个IP地址并下载将在系统中执行的另一个恶意软件。我们注意到它还不断下载自身的更新,每次都联系一组新的命令和控制(C&C)服务器。除了更新Emotet变体之外,它还创建了两个带有随机文件名的文件(如表1中所示),我们将其识别为次级payload。应该注意的是,在相同的时间范围内,还有其他几个次级payload(gigabit-8.exe, wcdma-78.exe, etc等)会在EP01的不同位置创建,如下所示:
表2.次级payload
我们注意到,次级payload与Nymaim在文件命名和行为上有许多相似性,可以联想到去年的 Nozelesn勒索软件事件 。Nozelesn是攻击者于2018年7月在针对波兰的攻击行动中使用的勒索软件,它加密文件使用的文件扩展名为“.nozelesn”,并附带一份名为HOW_FIX_NOZELESN_FILES.htm的勒索信。虽然没有找到Nozelesn勒索软件样本,但我们安全基础设施的数据显示此次行动与Nymaim相关联,Nymaim是一种已知的恶意软件下载程序。对于这种情况,我们怀疑Nymaim可能已经下载了Nozelesn勒索软件,并使用无文件执行将勒索软件加载到机器的内存中。
RCA的另一个值得注意的亮点是Emotet能够通过管理共享将自身复制到网络中的多台机器上。 indexerneutral.exe的副本以[8位] .exe的形式分发给\\ {host} \ ADMIN $ \。
基于这些信息,我们提出了两个关于S01如何被Nozelesn勒索软件攻击的可能方案:
·Emotet被成功复制并通过管理共享执行到S01。之后,S01中复制的Emotet下载了Nymaim恶意软件,该恶意软件又加载了内存中的Nozelesn勒索软件;
·Nymaim在EP01中加载Nozelesn勒索软件,然后通过共享文件夹在S01中加密文件。
从这两种可能性来看,我们更倾向于第一种情况,因为我们的监测没有显示EP01中有任何Nozelesn勒索软件感染。
调查重点
以下是我们调查的重点,包括我们在MDR客户检测后从遥测中收集的数据。
Emotet目前的传播现状是利用垃圾邮件持续发展。在短短一个月的时间内(2019年1月9日至2019年2月7日),我们的遥测技术在全球范围内检测到超过14,000个类似的垃圾邮件。1月23日在英国检测到的次数最多,2月1日在塞浦路斯和德国,2月4日在塞浦路斯和委内瑞拉,2月5日发生在塞浦路斯和阿根廷。1月28日,我们在加拿大也发现了大量检测,而2月2日则是多个地点同时发生。
到1月底,我们观察到此Emotet垃圾邮件活动中使用的最常见的电子邮件主题是“最新的紧急出口地图”,而在2月则转换成了更为常见的主题,如“最新发票”,“配送详细信息”, “近日电报”和“紧急送达”等。虽然大多数电子邮件主题与付款有关,但我们注意到了犯罪分子使用的每一个变化,如下所示。
表3.在调查期间观察到的Emotet常见的垃圾邮件活动主题和电子邮件主题
我们还注意到,垃圾邮件的更改取决于预期的收件人。虽然它根据发送日期保持了类似的主题,但使用了不同的语言来针对使用这些语言的特定国家。例如,1月23日,除了“最新紧急出口地图”,我们还看到“NOTAUSGANGKARTE AKTUELLE”被发送给德国收件人。类似地,“Factura”(发票的西班牙语术语)也被发送到讲西班牙语的地方。在这个特别的行动中,我们观察了三种语言的使用:英语、德语和西班牙语。
图3.每个国家/地区Emotet常见的电子邮件主题的分布
无论垃圾邮件的变化如何,Emotet的主要感染流程都保持不变。一个典型的Emotet感染链始于垃圾邮件,并用恶意文档作为附件;打开附件后,宏会自动执行;然后最终调用PowerShell从远程位置下载其他恶意软件。但它的payload不是恒定的,既可以直接下载最终payload,如Qakbot;也可以如本例中那样,下载Emotet并充当另一个恶意软件的加载程序;还有一种情况是文件中含有一个指向XML文件的链接,通过嵌入恶意宏来躲避反恶意软件的检测,恶意宏用于将主要payload隐藏在伪装成Word文档的XML文件中。而预防这些感染的最简单的方法就是保持警惕,不轻易打开未知文件。
只有成功连接到C&C服务器,Emotet才会下载并执行最初不可见的多个文件。在某些情况下,它不会立即下载真实的payload。这也使得对它的分析特别困难。
Emotet感染不会在最初受影响的端点停止。它可能会传播到网络中其他连接的计算机上。
如何抵御这项棘手的威胁
新的一年,网络威胁仍旧大量出现,并利用复杂的技术不断发展壮大中,组织机构需要始终掌有对端点和网络安全的控制能力。Emotet就是我们发现的一个很好的例子,它首次出现是在2014年,是一种变化多端的威胁。它能够调整自身payload,使之适应网络安全防御系统。如果不加以发现,它会导致企业损失大量数据和金钱。然而这类威胁也只是内部安全团队需要警惕的众多威胁之一。
企业还应该采用最佳实践来使用和保护PowerShell。PowerShell是一个管理框架,它也是经常被滥用的系统管理 工具 之一。为确保将其安全地用于运营和云环境中,IT/系统管理员应遵循微软执行策略的指导方针,并将PowerShell设置为ConstrainedLanguageMode,这些才是本质上通过PowerShell命令增强系统的方法。企业客户还可以利用微软的新功能,对最初的感染点采取主动动作,例如,Office 2016可以阻止宏并帮助防止感染,企业可以从整体上考虑限制PowerShell。
IoC
此次攻击行动涉及许多文件、域名和IP地址。以下是值得注意的部分项目:
Emotet行动相关哈希值:
以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网
猜你喜欢:- 警惕Rapid勒索病毒新变种
- 勒索病毒(CrySiS家族)最新变种分析
- 深度解析勒索病毒GlobeImposter3.0变种
- KrakenCryptor2.0.7勒索变种来袭
- Matrix勒索病毒PRCP变种侵入政企单位
- “侠盗”勒索病毒V5.3新变种全面剖析
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。